防火墙通俗讲是用于控网络之间的隔离,***讲是用于保护一个安全区域免受另外一个安全区域的网络攻击和入击行为。什么是安全区域呢?安全区域,也称为区域,是一个逻辑概念,用于管理防火墙设备上安全需求相同的多个接口,也就是说它是一个或多个接口的集合。管理员将安全需求相同的接口进行分类,并划分到不同的安全域,下一代 防火墙价格,能够实现安全策略的统一管理。
讲安全区域前讲我们先了解一个术语,安全级别(Security Level),在华为防火墙上,每个安全区域都有一个安全级别,用1-100 的字表示,数字越大,则代表该区域内的网络越可信。对于默认的安全区域,它们的安全级别是固定的:Local 区域的安全级别是100,Trust 区域的安全级别是85,DMZ 区域的安全级别是50,Untrust 区域的安全级别是5。
华为防火墙默认预定义了四个固定的安全区域,分别为:
Trust:该区域内网络的受信任程度高,通常用来定义内部用户所在的网络。
Untrust:该区域代表的是不受信任的网络,通常用来定义Internet 等不安全的网络。
DMZ:该区域内网络的受信任程度中等,通常用来定义内部服务器(公司OA系统,ERP系统等)所在的网络。
Local:防火墙上提供了Local 区域,代表防火墙本身。比如防火墙主动发起的报文(我们在防火墙执行ping测试)以及抵达防火墙自身的报文(我们要网管防火墙telnet、ssh、http、https)。
Local 区域中不能添加任何接口,但防火墙上所有接口本身都隐含属于Local 区域。也就是说,报文通过接口去往某个网络时,目的安全区域是该接口所在的安全区域;报文通过接口到达防火墙本身时,目的安全区域是Local 区域。
一、什么是Waf?
Waf的全拼为:Web Application Firewall,顾名思义waf是一款针对web端的防火墙产品。目前基于web端的业务往来越来越多,大部分数据和工作信息都转移到了web端,这就导致会将web端成为了攻击的主要目标,所以对于web的安全防护就变得非常重要了。而waf则是web防护的道防线,waf在web的安全防护上起着重要的作用。
二、Waf形态分类
目前市场上一共分为3种类型的waf
①云waf
②软件waf
③硬件waf
硬件waf一般需要需要安装硬件防护,将waf串行在web服务器前端,用户阻断、检测异常流量。常规硬件Waf的实现方式是通过代理来自外部的流量,并对请求包进行解析,通过安全规则库的攻击规则进行匹配,邵阳下一代防火墙,如成功匹配规则库中的规则,则识别为异常并进行请求阻断。
软件Waf则是安装在需要防护的服务器上,实现方式通常是Waf端口或以Web容器扩展方式进行请求检测和阻断。
云Waf是近年来随着云计算的推动衍生出来的新产品,下一代防火墙价格,云WAF,也称WEB应用防火墙的云模式,这种模式让用户不需要在自己的网络中安装软件程序或部署硬件设备,就可以对网站实施安全防护,它的主要实现方式是利用DNS技术,通过移交域名解析权来实现安全防护。用户的请求首先发送到云端节点进行检测,如存在异常请求则进行拦截否则将请求转发至真实服务器。
三、优缺点总结
不同形态的waf产品适用于不同的用户,并且不同形态的waf产品优缺点也不同。
在智能化弱电项目组网中,防火墙,路由器和核心交换机所处的层级不同对应的功能也不同,但3种设备也有部分功能重叠。下面从网络拓扑架构和产品设备的功能以及设备之间的联系来做***介绍。
1、网络拓扑架构
从网络拓扑中可以知道路由器一般位于出口处,主要功能是NAT功能以及支持多种路由协议,能支持多种业务接口,比如运营商甩过来的是ATM,支持移动,联通,电信等运营商出口网络接入和备份;防火墙主要部署在内外网的交汇处,主要是对内网的防护,防止流量的访问;核心交换机则是内网的重要设备,核心交换机需要具备很高的可靠性和以及吞吐量。
主要设备产品介绍
①防火墙
防火墙作用阻止数据的连通,具备丰富的攻击预防功能,支持land,***urf,fraggle,ping of Death,IP分片报文,ARP欺骗,ARP主动反向查询等功能,深信服下一代防火墙,可扩展多种业务接口,具备电信级设备高可靠性。
防火墙
②路由器
具备NAT功能,以及支持OSPF/RIP/BGP动态路由协议,支持OSPFV3/RIPng/BGP的IPsec加密,支持丰富的路由策略的控制功能,保证数据和外网联通。
路由器
③核心交换机
核心交换机位于内网网络中的核心部位,产品都是配置这种机框,然后里面根据网络中的业务需求搭配业务板,硬件上支持双电源,双引擎,热插拔等技术,支持IRF2虚拟化,多级clos架构,RPR环网等功能,具有高速数据转发,高的吞吐量,高可靠性等特点。
版权所有©2025 产品网
