市场资讯
福建华为防御系统欢迎来电 盈富迈胜科技有限公司毒液家族大全
2023-10-03 21:01  浏览:22
1分钟前 福建华为防御系统欢迎来电 盈富迈胜科技有限公司[北京盈富迈胜ce37732]内容:

华为防火墙的网络安全

监控网络存取和访问

如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生嫌疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

防止内部信息的外泄

通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,登录时间和使用shell类型等。但是Finger显示的信息非常容易让攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。

华为防火墙的基本架构

防火墙的硬件体系结构曾经历过通用CPU架构、ASIC架构和网络处理器架构,他们各自的特点分别如下:

通用CPU架构

通用CPU架构常见的是基于Intel X86架构的防火墙,在百兆防火墙中Intel X86架构的硬件以其高灵活性和扩展性一直受到防火墙厂商的青睐;由于采用了PCI总线接口,Intel X86架构的硬件虽然理论上能达到2Gbps的吞吐量甚至更高,但是在实际应用中,尤其是在小包情况下,远远达不到标称性能,通用CPU的处理能力也很有限。

国内安全设备主要采用的就是基于X86的通用CPU架构。

ASIC架构

ASIC技术是国外网络设备几年前广泛采用的技术。由于采用了硬件转发模式、多总线技术、数据层面与控制层面分离等技术, ASIC架构防火墙解决了带宽容量和性能不足的问题,稳定性也得到了很好的保证。

ASIC技术的性能优势主要体现在网络层转发上,而对于需要强大计算能力的应用层数据的处理则不占优势,而且面对频繁变异的应用安全问题,其灵活性和扩展性也难以满足要求。

网络处理器架构

由于网络处理器所使用的微码编写有一定技术难度,难以实现产品的性能,因此网络处理器架构的防火墙产品难以占有大量的市场份额。

防火墙inbound和outbound不同区域之间可以设置不同的安全策略,域间的数据流分两个方向

入方向(Inbound):数据由低级别的安全区域向更高一层级别的安全区域传输的方向。

出方向(Outbound):数据由更高一层级别的安全区域向低级别的安全区域传输的方向。

因为防火墙的状态化检测机制,所以针对数据流通常只重点处理首报文,安全策略一旦允许首报文允许通过,那么将会形成一个会话表,后续报文和返回的报文如果匹配到会话表将会直接放行,而不再查看策略,从而提升防火墙的转发效率。如,Trust区域的客户端访问UNtrust区域的互联网,只需要在Trust到UNtrust的Outbound方向应用安全策略即可,不需要做UNtrust到Trust区域的安全策略。

传统防火墙与华为防火墙的区别

传统防火墙与华为防火墙的区别:

传统的防火墙只能基于时间、IP和端口进行感知,而NGFW防火墙基于六个维度进行管控和防护,分别是应用、用户、内容、时间、威胁、位置。其中:

基于应用:运用多种手段正确识别web应用内超过6000以上的应用层协议及其附属功能,从而进行准确的访问控制和业务加速。其中也包含移动应用,如可以通过防火墙区分微信流量中的语音和文字,进而实现不同的控制策略。

基于用户:借助于AD活动目录、目录服务器或AAA服务器等,基于用户进行访问控制、QoS管理和深度防护。

发表评论
0评