華為防火墻的網(wǎng)絡(luò)安全

一個(gè)防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。

通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問時(shí)，一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完可以不必分散在各個(gè)主機(jī)上，而集中在防火墻一身上。

華為防火墻對(duì)于數(shù)據(jù)流的處理

狀態(tài)化信息防火墻對(duì)于數(shù)據(jù)流的處理，是針對(duì)首報(bào)文在訪問發(fā)起的方向檢查安全策略，如果允許轉(zhuǎn)發(fā)。同時(shí)將生成狀態(tài)化信息-會(huì)話表，而后續(xù)的報(bào)文及返回的報(bào)文如果匹配到該會(huì)話表，將直接轉(zhuǎn)發(fā)而不經(jīng)過策略的檢查，進(jìn)而提高轉(zhuǎn)發(fā)效率。

防火墻通過五元組來區(qū)分一個(gè)數(shù)據(jù)流，即源IP、目標(biāo)IP、協(xié)議、源端口號(hào)、目標(biāo)端口。防火墻把具有相同五元組內(nèi)容的數(shù)據(jù)當(dāng)做一個(gè)數(shù)據(jù)流。

如果長時(shí)間沒有報(bào)文匹配，則說明雙方已經(jīng)斷開鏈接，不需要該會(huì)話了。此時(shí)防火墻會(huì)在一定時(shí)間后刪除該會(huì)話。

華為防火墻安全策略

華為防火墻一條規(guī)則中，不需要配置所有的條件，可以一個(gè)或少數(shù)幾個(gè)條件。如果配置規(guī)則的條件為源區(qū)域?yàn)門rust，目標(biāo)區(qū)域?yàn)閁ntrust，而不配置其他條件，那就意味著其他條件為any，即源區(qū)域?yàn)門rust，目標(biāo)區(qū)域?yàn)閁ntrust，用戶任意、應(yīng)用任意、服務(wù)任意、時(shí)間段任意的報(bào)文可以匹配該規(guī)則

條件中的各個(gè)元素如果在多條規(guī)則中重復(fù)調(diào)用，或者該元素本身包含多個(gè)相關(guān)內(nèi)容，可以考慮配置為對(duì)象，對(duì)象可被多條規(guī)則調(diào)用。