华为防火墙的默认策略组合及方向
防火墙的默认策略组合
1.默认防火墙和内网区域允许进和出,即相互通信;
2.防火墙和外网区域之间,只能出,不能进。即防火墙可以ping通外网,外网无法ping通防火墙;
3.同样防火墙访问DMZ也是只能出,不能进。即防火墙可以ping通DMZ的server,但server无法ping通防火墙。
防火墙策略的方向
1.outbound:高优先级访问低优先级
2.inbound:低优先级访问高优先级
注意:“访问”仅指的是出包即主动发起的di一个报文,即建立会话(session)的过程。
默认高优先级可以访问低优先级,但是低优先级无法回包,相当于回执路由回不来。所以无法ping通。但是我的确是访问了,防火墙就会记录这一条信息。
华为防火墙应用层过滤技术
1.文件类型过滤:主要针对不同类型(扩展名不同)的文件过滤,USG防火墙可以识别数据包携带的应用层文件类型。其检查过程并非只查询文件的扩展名,而是基于文件内容进行识别,如果发送方将a.exe文件改为a.docx,防火墙根据内容将识别为EXE文件。
2.内容过滤:基于HTTP中发送博客内容、论坛发送帖子内容、SMTP中的发送邮件主题及正文内容、FTP中上传和xia载文件的名称,文件共享服务中的文件名称等过滤,可以基于特定的文本过滤,也可以通过正则表达式过滤。
3.URL过滤:主要针对用户访问的互联网页面URL进行过滤,允许或拒绝用户访问某些类型的URL网站资源,以控制用户对互联网资源的使用。
华为防火墙的网络层防火墙
网络层防火墙可视为一种 IP 封包的过滤器(允许或拒绝封包资料通过的软硬结合装置),运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙(病毒除外,防火墙不能防止病毒侵入)。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。
我们也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。
较新的防火墙能利用封包的多样属性来进行过滤,例如:来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 WWW 或是 FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段...等属性来进行过滤。