其实防火墙安全区域是一个非常重要的概念,简称为区域(Zone)。安全区域是一个或多个接口的集合,h3c下一代防火墙,是防火墙区别于路由器的主要特征。防火墙默认情况下为我们提供了三个安全区域,分别是Trust、DMZ和Untrust。Trust区域,该区域内网络的受信任程度高,通常用来定义内部用户所在的网络。DMZ区域,该区域内网络的受信任程度中等,通常用来定义内部服务器所在的网络。Untrust区域,华为下一代防火墙,该区域代表的是不受信任的网络,通常用来定义Internet等不安全的网络除了以上三个安全区域外,我们可以根据自身的业务来规划不能安全区域,可以通过以下命令添加。
[USG6000V1]firewall zone name yewu
添加完需要对安全区域设置优先级,可以执行如下命令,优先级的范围为0-100。
[USG6000V1-zone-yewu]set priority 30
1、使用终结者( http://www.netsoft2005.com/chs/index.htm )或者聚生网管( http://www.grabsun.com/ )等网络流量管理软件
2、在路由器屏蔽迅雷或者其他软件常用端口
迅雷端口:3076,3077,3078
BT端口:6881-6889和6969
3、封掉种子所在的服务器的IP地址4、用QOS进行网速限制
滤防火墙
滤防火墙控制OSI的三、四层,一般是通过***来匹配数据包内容,以决定哪些包被允许和哪些包被拒绝。
优点:
能以很快的速度处理数据包
易于匹配绝大多数的3、4层报头信息
缺点:
***过多导致配置复杂
不能阻止应用层的攻击
不能检测和阻止某些类型的TCP/IP攻击,比如TCP SYN泛洪和IP欺骗
状态检测防火墙
控制OSI的三、四、五层
状态检测防火墙工作在数据链路层和网络层之间,对于新建的应用连接,湛江下一代防火墙,它从这里截取数据包提取出的信息,并根据对应的安全策略及过滤规则处理数据包,生成状态表,这样防火墙确保了截取和检查所有通过网络的原始数据包。然后将相关信息组合起来,进行一些逻辑或数算,获得相应的结论,进行相应的操作,如允许数据包通过、拒绝数据包、认证连接,加密数据等。状态检测防火墙虽然工作在协议栈较低层,但它检测所有应用层的数据包,从中提取有用信息,如IP地址、端口号等,这样安全性得到很大提高。另外在这种防火墙中一旦一个连接建立起来,就不用再对这个连接做更多工作,系统可以去处理别的连接,执行效率明显提高。
状态检测防火墙实现了基于UDP应用的安全,锐捷 下一代防火墙,通过在UDP通信之上保持一个虚拟连接来实现。防火墙保存通过网关的每一个连接的状态信息,允许穿过防火墙的UDP请求包被记录,当UDP包在相反方向上通过时,依据连接状态表确定该UDP包是否被***的,若已被***,则通过,否则拒绝。如果在的一段时间内响应数据包没有到达,连接超时,则该连接被阻塞,这样所有的攻击都被阻塞。状态检测防火墙可以控制无效连接的连接时间,避免大量的无效连接占用过多的网络资源,可以很好的降低攻击的风险。
版权所有©2025 产品网
