云南华为下一代防火墙公司免费咨询 北京盈富迈胜烟火绚丽打一生肖

华为防火墙的网络安全

一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完可以不必分散在各个主机上，而集中在防火墙一身上。

华为防火墙对于数据流的处理

状态化信息防火墙对于数据流的处理，是针对首报文在访问发起的方向检查安全策略，如果允许转发。同时将生成状态化信息-会话表，而后续的报文及返回的报文如果匹配到该会话表，将直接转发而不经过策略的检查，进而提高转发效率。

防火墙通过五元组来区分一个数据流，即源IP、目标IP、协议、源端口号、目标端口。防火墙把具有相同五元组内容的数据当做一个数据流。

如果长时间没有报文匹配，则说明双方已经断开链接，不需要该会话了。此时防火墙会在一定时间后删除该会话。

华为防火墙安全策略

华为防火墙一条规则中，不需要配置所有的条件，可以一个或少数几个条件。如果配置规则的条件为源区域为Trust，目标区域为Untrust，而不配置其他条件，那就意味着其他条件为any，即源区域为Trust，目标区域为Untrust，用户任意、应用任意、服务任意、时间段任意的报文可以匹配该规则

条件中的各个元素如果在多条规则中重复调用，或者该元素本身包含多个相关内容，可以考虑配置为对象，对象可被多条规则调用。