需要避免的五个防火墙配置错误

1.未能正确配置和协调防火墙，并使用越来越多基于云计算的安全基础设施

网络安全和存储产品供应商Barracuda Networks公司咨询工程师Stefan Schachinger表示，网络边界几乎已经消失，如今防火墙只是分布式安全生态系统的一个组成部分。

将数据中心与分支机构、移动工作者和维护人员连接的***需要连续的远程访问。与此同时，应用程序和数据资源正迅速转向IaaS和SaaS平台。Schachinger指出，“大多数公司正在向混合云环境过渡。保护这样的基础设施不仅仅需要防火墙。当今不断发展并且更加分散的环境需要一种分层的纵深防御方法，在这种方法中，防火墙需要与安全生态系统的其余部分协同工作。”

2.误用端口转发规则进行远程访问

在不限制端口或源IP地址的情况下，使用端口转发规则来完成对LAN端机的远程访问并不是一个好主意。Mushroom网络公司首席执行官Jay Akin说，cisco 下一代防火墙，“这是一个常见的错误，因为它是设置远程访问的方法。”该公司是一家结合防火墙和其他安全属性的SD-WAN设备开发商。

而粗心大意的端口转发进行远程访问会显著增加安全漏洞的风险。“如果本地可信设备通过这个安全漏洞被未经***的***和个人实施访问和攻击，h3c 下一代防火墙，则可以进一步利用网络LAN部分中的可信设备来攻击其他设备或资产。”Akin解释说。

攻击防范之单包攻击及防御

九十年代，攻击随着互联网的蓬勃发展从实验室走向了Internet。***的攻击爱好者由于共同的信仰“Open Free Share（开源、免费、共享）”建立了同盟，很多年以后这帮人被叫做“黑hei客”。开始的黑hei客一般都是一些厉害的技术人员，他们热衷于挑战、崇尚自由并主张信息的共享。随着Internet在***的迅猛发展，***、经济、军事、科技、教育、文化、生活等各个方面都逐渐网络化，信息已经成为物质和能量以外维持人类社会的第三资源，黑hei客也逐渐变成了一种有特殊目的的产业。

什么是DoS攻击？

DoS是Denial of Service的简称，即拒绝服务，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。

***常见的DoS攻击就是我们常常提到的单包攻击。这类攻击一般都是以个人为单位的黑hei客发动的，攻击报文也比较单一，虽然***力强大，但是只要掌握了攻击的特征，深信服 下一代防火墙，防御起来还是比较容易的。

防火墙支持的单包攻击包括以下三大类：

1、畸形报文攻击：通常指攻击者发送大量有缺陷的报文，从而造成主机或服务器在处理这类报文时系统崩溃。

2、扫描类攻击：是一种潜在的攻击行为，并不具备直接的***行为，通常是攻击者发动真正攻击前的网络探测行为。

3、特殊控制报文攻击：也是一种潜在的攻击行为，不具备直接的***行为，攻击者通过发送特殊控制报文探测网络结构，为后续发动真正的攻击做准备。

单包攻击防御是防火墙具备的***基本的防范功能，华为全系列防火墙都支持对单包攻击的防御。

华为USG6305/6310S/6320桌面型下一代防火墙是专为小型企业、行业分支、连锁商业机构设计开

发的安全网关产品，其集成多种安全能力于一身，支持IPV4/IPV6下的多种路由协议，适用于

各种小型网络接入场景。下行提供GE及WIFI接口，可直接提供WIFI接入服务；上行提供GE接口，

及3G/4G LTE备份链路，方便提供应急上网服务。

产品特性与优势

多重防护，满足合规要求

1，兼具防火墙、ipsec、上网行为管理等9大***防护能力，能够满足安全合规要求。

2，可扩展64GB SD卡本地存储，珠海下一代防火墙，记录用户访问日志（如NAT前后地址、URL等），可进行合规性审计。

3，1.2亿URL分类库，防止恶意、***网站的伤害，满足合规要求。支持URL黑白名单，阻止/放行对

特定网站的访问。

简单管理，快速部署

1，配套云管理平台，用户可购买MSP的管理服务，节省网管软件及网管人员***。

2，支持U盘零配置部署，提升部署效率。

3，Web化管理配置，可使用eSight网管管理多台设备。

4，识别常见应用，基于应用管理带宽，优先转发关键应用流量。

5，差异化的用户带宽管理和配额管理，公平使用带宽，关键用户体验更好。

6，可修改对特定URL分类访问的流量优先级，加速对关键网站的访问。

精准营销，业务拓展

1，主动推送APP、广告等内容拓展业务。

2，支持微信、Portal等多种认证方式，Portal页面可定制。

典型应用场景

小型企业网络接入

1， 下行提供GE及WIFI接口，可直接提供WIFI接入服务；上行提供GE接口，及3G/4G LTE备份链路，

方便提供应急上网服务。

2，可以与Agile Controller联合组网，形成企业分支安全接入方案，为分支网络提供微信认证、有线无

线用户一体化认证、Portal定制等服务。集中的业务管理不仅可以减轻分支机构管理压力，还可为

商业门店精准营销提供灵活的业务定制平台。

3，可扩展64GB SD卡本地存储，记录用户访问日志（如NAT前后地址、URL等），可进行合规性审计

深信服 下一代防火墙-华思特(在线咨询)-珠海下一代防火墙由深圳市华思特科技有限公司提供。深圳市华思特科技有限公司（www.fastchina.net）拥有很好的服务与产品，不断地受到新老用户及业内人士的肯定和信任。我们公司是全网商盟认证会员，点击页面的商盟***图标，可以直接与我们***人员对话，愿我们今后的合作愉快！同时本公司（www.hst333.com）还是从事深圳华为交换机，广州华为交换机，东莞华为交换机的厂家，欢迎来电咨询。