Huawei社のファイアウォール製品の導入と動作原理

開発 2019-08-03 20:09:11 訪問数: null

ボーエン概要

  • Huawei社のファイアウォール製品
  • ファイアウォールが動作します
    1、ファイアウォールの動作モード
    2を、Huawei社ゾーニングファイアウォールのセキュリティ
    はいファイアウォールインバウンドおよびアウトバウンドあるもの3、?
    4、意味の状態情報
    関連概念5、セキュリティポリシー

Huawei社のファイアウォール製品

USG2000、USG5000、USG6000とUSG9500 Huawei社は、4つの部品、USG2000とUSG5000シリーズはUTM(統合脅威管理)製品を対象と異なる環境のニーズにそれぞれ適しを構成するファイアウォール、USG6000シリーズは、ファイアウォール製品の次の世代である、USG9500シリーズハイエンドのファイアウォール製品。

製品の各シリーズは、以下に記載されています。

1、USG2110:中小企業のリリースとチェーンのUSG2110 Huawei社、SOHO企業のファイアウォール機能がファイアウォールによってカバーされ、デバイス、UTM、仮想プライベートネットワーク(私はそれが調和した短い言葉を書き、自分のイニシャルを参照してください)、ルーティング、無線など。USG2110その高性能、高信頼性、容易な設定や他の機能が、低価格、複数の仮想プライベートネットワークネットワーキングのためのサポートに比べて。

2、USG6600:大企業のデータセンターやネットワーク環境への媒体のためのファイアウォール製品の次の世代のためのHuawei社のネットワーク環境、アクセス制御、正確、包括的な保護の範囲、シンプルなセキュリティ管理、保護、および高いパフォーマンス、企業のネットワーク境界の保護を行うことができるとともに、インターネットネットワーキング・アプリケーションの終了保護、保護周囲のクラウドデータセンター、仮想プライベートネットワーク、インターネットや他のリモート。

3、USG9500:このシリーズに含まれるUSG9520、USG9560、USG9580シリーズの3種類、クラウドサービスプロバイダー、大規模なデータセンター、大企業のキャンパスネットワークに適しています。これは、先頭の「NP +マルチシステム+分散」アーキテクチャと最も豊富な仮想化、最も正確なアクセス制御、最も実用的NGFW特性を有し、最も安定した信頼性の高いセキュリティゲートウェイ製品として知られているが、大規模なデータセンターのために使用することができ、境界保護、ラジオやテレビのネットワークと第2のキャリアの安全保障輸出、輸出教育ネットワークセキュリティおよびその他のネットワークシナリオ。

4、NGFWは:フルネームは、新たなネットワーク環境を構築するためにNGFWは、より適切な、次世代ファイアウォールです。NGFW機能性の面だけでなく、このようなネットワークアドレス変換、ステートフルインスペクション、仮想プライベートネットワークや大企業などの標準のファイアウォール機能は、機能する必要がなく、簡単にではなく、真に統合されたIPS(侵入防止システム)およびファイアウォールを達成するために持っていますモジュールに基づきます。また、NGFWはまた、強力なアプリケーションおよびアプリケーション対応の可視化機能を持つアプリケーションに基づいて統合戦略、統計情報を記録、アプリケーションのセキュリティ機能と深さは、そのようなアイデンティティ認識などの情報セキュリティポリシーを、改善するために、より多くの外部の助けを使用する必要があります。

:伝統的なファイアウォール、ファイアウォールNGFW差
NGFW制御およびファイアウォール保護が6次元、即ち、アプリケーション、ユーザ、コンテンツ、時間、脅威、位置に基づくながら従来のファイアウォールのみ、時間、IP及びポート知覚に基づくことができます。どこで:

  • ベースのアプリケーションは:正確に正確な制御及びトラフィック・アクセス・加速を行うために、Webアプリケーション内のアプリケーション層プロトコルと6000の以上の補助機能を識別するために様々な手段を使用します。また、別の制御戦略を実現するために、流れのファイアウォール、音声とテキストで区別することができ、マイクロチャネルとしてモバイルアプリケーションを、含んでいます。

  • ユーザーに基づいて: ADアクティブディレクトリ、ディレクトリサーバまたはAAAサーバなど、ユーザーベースのアクセス制御、QoS管理、および深層防護の手段によって。

  • 場所に基づいて:アプリケーションと***を開始する位置を得るために開始されたトラフィックを識別するためのグローバルな位置情報、ロケーションインテリジェンスと組み合わせます。位置情報は、トラフィック制御の異なる領域を区別し、IPに従って位置に基づいてカスタム情報をサポートします。

実際には、アプリケーションは、任意のポートを使用することができるではなく、従来のファイアウォール制御アプリケーションとポート識別が記載します。NGFW進歩は、より多くのファイングレイン・アクセス・コントロールです。アプリケーション制御+ +ホワイトリスト最低限の権限に基づいて原則を最適に使用。

次に、私はUSG6600はそれが動作書くファイアウォール製品の種類に焦点を当てます。

ファイアウォールの作品

ファイアウォールの作業モード

ルーティングモード、透過モード、ハイブリッドモード:Huawei社のファイアウォールは、3つの動作モードがあります。

1、ルーティングモード:ファイアウォールは最初のルータであり、他のファイアウォールを提供するネットワーク接続のIPアドレスのファイアウォールインターフェイス構成、ルーティングモードで動作ファイアウォール。ほとんどのファイアウォールでは、社内外の間およびネットワークの外部、ルートモードです。

2、トランスペアレントモード:それはスイッチとして考えて、インターフェイスのIPが透過モードで動作するように構成されていない、会社は一般的にあまり求めているスイッチ、ルータなどを使用しません。

図3に示すように、混合モード:ファイアウォールは、Huawei社ルーティングモード(IPインタフェースの設定)場合があり、透明モード(非IPアドレス)で作業インターフェイスがあることインターフェイス、次いでファイアウォールが混在モードで動作し、このモードでは、実質的に透過モードおよび混合ルーティングモードは、ホットスタンバイモードでは、現在の特殊なアプリケーションのみを透過するために使用され、他の環境では推奨されません。

Huawei社のファイアウォールセキュリティゾーニング

Huawei社のファイアウォールの既定の既存のエリア:

  • 信頼領域は、内部ネットワーク、優先順位85、より高いレベルのセキュリティを接続するために使用されます。
  • UNTRUST領域:通常、外部ネットワークに接続され、優先度5は、セキュリティレベルが非常に低いです。領域は、インターネット上の領域信頼されていない、あまりにも多くのセキュリティリスクを表し、インターネットが一般的にUNTRUST面積が含まれています。
  • DMZ:非武装地帯、サーバを接続するために使用されるが、その安全性、優先順位50、中セキュリティレベルの領域との間の信頼およびUntrust間サービスを提供する必要があります。
  • ローカルエリアはファイアウォール自体を指し、優先順位100は、領域間のファイアウォール転送パケットに加えて、我々はまた、このような遠隔管理など、動的ルーティングプロトコルを、それ自身のトラフィックを受け入れるか、または送信する必要があります。
  • その他の地域:ユーザー定義領域、デフォルトのエリア16は、カスタムまで、カスタムのデフォルトの優先エリアを手動で指定する必要はありません。

図の直感的な感覚の下の領域を分割します:

Huawei社のファイアウォール製品の導入と動作原理

地域の設定のことを知っておく必要があります。

  • 優先順位のセキュリティゾーンは一意である必要があります。
  • インターフェースは、セキュリティゾーンを追加することができるが、セキュリティゾーンは、複数のインターフェースを有することができます。
  • デフォルトでは、Huawei社NGFWファイアウォールは、あなたが、優先度の低いゾーンのトラフィックのデフォルトリリースに優先度の高い分野での政策(Huawei社の伝統的なファイアウォールのデフォルトを設定する必要が解放フローに指定した任意の領域が、最新のNGFW間のトラフィックを拒否しますファイアウォールは、デフォルトですべてのトラフィックを無効になっています)

3、ファイアウォールのインバウンドおよびアウトバウンドはい何ですか?

処理領域間のファイアウォールのセキュリティゾーン間のトラフィックフローは、ファイアウォールのセキュリティポリシーのチェックを刺激するトラフィックを、ベース、それは見ることができ、ファイアウォールのセキュリティポリシーは、通常、ドメイン間(例えばUNTRUST地域との信頼に基づいています領域)との間で、データストリームは、ドメイン間の2つの方向に分割されています。

方向(インバウンド):高レベルのセキュリティゾーン転送を低レベルのセキュリティゾーンからデータ方向。フローUntrustゾーン(優先5)信頼ゾーン(優先85)へのインバウンド流れ方向に属します。

アウトバウンド(発信):低レベルのセキュリティゾーン転送に高レベルのセキュリティゾーンによってデータ方向。Untrustゾーンに信頼ゾーントラフィック・フロー(優先85)(優先5)は送信方向に属します。

4、情報の状態を意味します

ファイアウォール技術では、通常、ステートフルインスペクションファイアウォールメカニズムとして扱わトラフィックの二つの方向の違い、そのデータ・ストリームは、通常だけだろう、一度許可許可するように、セキュリティポリシー、最初のパケットの最初のパケット処理に焦点を当てていますセッションテーブルを形成し、その後のパケットおよび返信パケットは、一致を直接前方にファイアウォールの効率を向上させるポリシーを表示するのではなく、セッションテーブルに放出される場合。例えば、単にアウトバウンド方向UNTRUSTアプリケーションへの信頼のセキュリティポリシーに、インターネットのUntrust領域にアクセスするにはTrustゾーン内のクライアントは、セキュリティポリシーのUNTRUST信託面積を行う必要はありません。

ファイアウォールは、五重唯一つのデータストリーム、すなわち、送信元IP、宛先IP、プロトコル、送信元ポート番号、宛先ポートを区別します。データ・ストリームと同じ五重コンテンツを持つファイアウォールのデータは、五重のパケットは、それ以外の場合は、フォローアップするための一致戦略を継続し、この戦略考慮すべき指定された試合を一致させる必要があり、また、停止に合わせて、一致したルールです。

ファイアウォールで、前述したようにパケットがセッションテーブルを作成し、セッションテーブルは、同じトラフィックタプルを一致させることができた後に、最初の、他のトラフィック(IPターゲットが異なる場合があり、それは別のポートをターゲットにすることができる)、また、を一致させることはできません正のポリシーチェックは、効率的かつ厳密に同じセッション転送中のデータストリームの安全性を確保します。セッションに一致するメッセージがない場合は、システムリソースを節約するために、このセッションを必要としなくなり、双方が通信を切断したことを証明し、その後、永久的な、長い時間のセッションテーブルが動的に生成されていることを指摘していないではなく、しなければなりません、セッションは、この時間は、セッションの時間を老化と呼ばれ、一定時間後に削除されます。一般的ではない、あまりにも長い間、私は時間のエージングシスコのファイアウォールのデフォルトのセッションテーブルを覚えていることはそれのように300秒です。

5、セキュリティポリシーの概念

ファイアウォールの基本的な役割は、「不信任」のネットワークから特定のネットワークを保護するためですが、また、2つのネットワーク間の正規のトラフィックをさせなければなりません。セキュリティポリシーの役割は、ファイアウォールインスペクション、ファイアウォールを通過する正当なトラフィックに合わせたセキュリティポリシーを通じてストリーミングすることです。あなたは異なる方向別のコントロールにドメイン間で異なるセキュリティポリシーを適用することができます。

Huawei社は、現在のネットワークのニーズに合わせて、現在USG6000シリーズファイアウォールV100R001のバージョンが統合されたセキュリティ戦略を使用して、統合されたセキュリティポリシーを提案しました。いわゆる統合は、他のビジネスであり、1がポリシーに達成するために、このような参照プロファイルによる抗ウイルス、スパムフィルタリング、コンテンツフィルタリング、アプリケーションフィルタリングなどのセキュリティ検査の行為としての構成の統合、ある、二つの側面に反映させることができます積分は、一度だけパケット検出用の統合ポリシーは、マルチサービス機能は、それによって処理効率を向上させる、並列に処理することができます。そのようなUTM、シリアルモードなどの従来のファイアウォール製品は、各モジュールを通る流れは、テストを実施します。

Huaweiの次世代ファイアウォールは、従来の5タプル(送信元IP、宛先IP、送信元ポート、宛先ポート、プロトコル)、またベースのアプリケーション、コンテンツ、時間、ユーザ、脅威の位置とトラフィックに基づいて、加えてパケットを検出します深いプローブ、真の完全な三次元の検出能力と精密なアクセス制御のため。

統合されたセキュリティポリシーは複数のルールですが、条件、アクション、およびオプションの構成ファイル構成の規則は、役割がそのアンチウイルス、侵入防御、URLフィルタリング、ファイルを含む、メッセージ内容セキュリティ検出をプロファイリングすることですフィルタリング、コンテンツフィルタリング、アプリケーション制御、および電子メールフィルタリングの振る舞い。ルールは、1つ以上のプロファイルを参照することができます。プロファイルは、それが挙げることができるだけで、場合にアクションを許可します。地図上に!

Huawei社のファイアウォール製品の導入と動作原理

同図において、条件は、複数の要素を含む見ることができる、条件の各要素は、つまり、データ・パケットは、パケットがルールに一致するだけで、これらの要素と一致している必要があり、ある「AND」。同じ要素の複数のオブジェクトのうち、条件「または」関係、すなわち、オブジェクトの1つを一致するパケットは、そのパケットがこの要素に一致すると考えられること。送信元アドレスは、A、B、Cの3つのアドレスで定義された条件があれば、パケットの送信元アドレスが属するのいずれか一方が、それはソースアドレスが要素に一致することを示すためながら栗のため。しかし、メッセージなど、宛先アドレス、時間、サービス、ユーザー、などの他の属性条件を一致させるために同じ時間は、このルールに一致するように考慮されます。

従来のセキュリティポリシーとは異なり、統合セキュリティ戦略は次の特徴があります。

  • セキュリティゾーンに基づいて、グローバルでない地域の設定に基づいてポリシー設定は、オプション設定項目の条件は、ルールに複数のソース領域またはターゲット領域を設定することができます。
  • デフォルトでは、ポリシーによって必要な流量を解放する必要があり、すべての地域でトラフィックを拒否します。
  • 代わりに、デフォルトのパケットフィルタリングのデフォルトのセキュリティポリシーアクション。のみに基づく従来のパケットフィルタリングファイアウォールが許可されていない限り、すべてのトラフィックを拒否するように、すなわち、否定する地域間およびグローバルを有効にする次世代ファイアウォールのデフォルトのアクション、およびデフォルトのアクションの間で指定された領域のために有効になります。

デフォルトでは、Huawei社のファイアウォール戦略は次の特徴があります。

  1. 任意の2つのセキュリティゾーンの優先順位は異なっている必要があります。
  2. このフィルタリングされていないストレートフォワード内の異なるインターフェース間のメッセージ。
  3. インターフェイスがドメインに参加していない前に、パケットを転送することはできません。
  4. USGシリーズはつまり、ファイアウォールのセキュリティポリシーではありません上のデフォルトでは、どんな領域の間の相互訪問、それはメッセージ配信の同じ領域にある場合を除き、セキュリティポリシーを設定するにはなりません。

--------この記事の最後に、これまで、読んでくれてありがとう--------

おすすめ

転載: blog.51cto.com/14154700/2426220
おすすめ
ランキング
Python 描画 3D 動的ヒストグラム コード チュートリアル
[vue3 共通エラー 5] Uncaught (in Promise) TypeError: xxx は関数ではありません
シンプルアップロードExcelファイルやデータベースにデータを追加
springboot における import アノテーションの役割
numpy 多维矩阵的维度交换
WMS システム - ウェーブ管理
Redis(7)マスター/スレーブレプリケーション
三北斗七星星座コアグローバルシステムの導入は完了です!グローバルネットワークを推進するために、
sql server语法——排序查询
続行することはできません立ち往生
アーカイブ
もっと
2024-05-16(24)
2024-05-15(5)
2024-05-14(9)
2024-05-13(8)
2024-05-12(27)
2024-05-11(31)
2024-05-10(33)
2024-05-09(30)
2024-05-08(18)
2024-05-07(34)

コードワールド

© 2018 codetd.com