华为防火墙的策略特点
1.任何两个安全区域的优先级不能相同。
2.本域内不同接口间的报文不过滤直接转发。
3.接口没有加入域之前不能转发报文。
4.在USG系列的防火墙上默认是没有安全策略的,也就是说,不管是什么区域之间相互访问,都必须要配置安全策略,除非是同一区域报文传递。
区别于传统的安全策略,一体化的安全策略具有如下特点:
1.策略配置基于全局,不再基于区域间配置,安全区域只是条件的可选配置项,也可在一条规则中配置多个源区域或目标区域。
2.默认情况拒绝所有区域间的流量,必须通过策略配置放行所需流量。
3.安全策略中的默认动作代替了默认bao过滤。传统的防火墙的bao过滤基于区域间的,只针对zhi定的区域间生效,而新一代防火墙的默认动作全局生效,目默认动作为拒绝,即拒绝一切流量,除非允许。
华为防火墙管理方式的配置
1.通过Telnet方式管理配置
这个的网络环境没什么好说的,我这里使用eNSP拉了一台防火墙,连接上宿主机即可,连接宿主机主要是为了验证,若需要在eNSP上验证效果,需要给模拟器上的防火墙导入系统,我这里使用的是USG6000的防火墙,可以xia载我提供的防火墙系统文件。
2、配置web方式登录防火墙配置
3、配置SSH方式登录设备和Telnet相比,SSH安全性更高,所以一般不推荐使用Telnet方式登录设备,而是通过ssh来登录设备,下面开始配置SSH方式登录设备(注意:防火墙所有配置都没了,现在又是重新开始配置)
传统防火墙与华为防火墙的区别
传统防火墙与华为防火墙的区别:
传统的防火墙只能基于时间、IP和端口进行感知,而NGFW防火墙基于六个维度进行管控和防护,分别是应用、用户、内容、时间、威胁、位置。其中:
基于应用:运用多种手段正确识别web应用内超过6000以上的应用层协议及其附属功能,从而进行准确的访问控制和业务加速。其中也包含移动应用,如可以通过防火墙区分微信流量中的语音和文字,进而实现不同的控制策略。
基于用户:借助于AD活动目录、目录服务器或AAA服务器等,基于用户进行访问控制、QoS管理和深度防护。