2)透明模式:
如果华为防火墙通过第二层对外连接(接口无IP地址),则防火墙工作在透明模式下 。如果华为防火墙采用透明模式进行工作,只需要在网络中像连接交换机一样连接华为防火墙设备即可,其最大的优点是无须修改任何已有的IP配置;此时防火墙就像一个交换机一样工作,内部网络和外部网络必须处于同一个子网 。此模式下,报文在防火墙当中不仅进行二层的交换,还会对报文进行高层分析处理 。
3)混合模式:
如果华为防火墙存在工作在路由模式的接口(接口具有IP地址),又存在工作在透明模式的接口(接口无IP地址),则防火墙工作在混合模式下 。这种工作模式基本上是透明模式和路由模式的混合,目前只用于透明模式下提供双机热备份的特殊应用中,其他环境不太建议使用 。
华为防火墙的安全区域划分
安全区域(Security Zone),简称为区域(Zone) 。防火墙通过区域区分安全网络和不安全网络,在华为防火墙上安全区域是一个或者多个接口的集合,是防火墙区分于路由器的主要特性 。防火墙通过安全区域来划分网络,并基于这些区域控制区域间的报文传递 。当数据报文在不同的安全区域之间传递时,将会出发安全策略检查 。
几种常见的区域如下:
Trust区域:主要用于连接公司内部网络,优先级为85,安全等级较高 。
【如何打开防火墙 手机防火墙在哪打开】DMZ区域:非军事化区域,是一个军事用语,是介于严格的军事管制区和公共区域之间的一种区域,在防火墙中通常定义为需要对外提供服务的网络,其安全性介于Trust区域和Untrust区域之间,优先级为50,安全等级中等 。
Untrust区域:通常定义外部网络,优先级为5,安全级别很低 。Untrust区域表示不受信任的区域,互联网上威胁较多,所以一般把Internet等不安全网络划入Untrust区域 。
Local区域:通常定义定义防火墙本身,优先级为100.防火墙除了转发区域之间的报文之外,还需要自身接收或发送流量,如网络管理、运行动态路由协议等 。由防火墙主动发起的报文被认为是从local区域传出的,需要防火墙响应并处理(不是穿越)的报文被认为是由local区域接收并进行相应处理的 。
其他区域:用户自定义区域,默认最多自定义16个区域,自定义区域没有默认优先级,所以需要手工指定 。
防火墙的Inbound和Outbound
防火墙基于区域之间处理流量,即使由防火墙自身发起的流量也属于local区域和其他区域之间的流量传递 。当数据流在安全区域之间流动时,才会激发华为防火墙进行安全策略的检查,即华为防火墙的安全策略通常都是基于域间(如Untrust区域和Trust区域之间)的,不同的区域之间可以设置不同的安全策略 。域间的数据流分为两个方向:
入方向(Inbound):数据由低级别的安全区域向高级别的安全区域传输的方向 。
出方向(Outbound):数据由高级别的安全区域向低级别的安全区域传输的方向 。
状态化信息(防火墙实现安全防护的基础技术)
在防火墙技术中,通常把两个方向的流量区别对待,因为防火墙的状态化检测机制,所以针对数据流通常只重点处理首个报文,安全策略一旦允许首个报文允许通过,那么将会形成一个会话表,后续报文和返回的报文如果匹配到会话表将会直接放行,而不再查看策略,从而提高防火墙的转发效率 。如,Trust区域的客户端访问UNtrust区域的互联网,只需要在Trust到UNtrust的Outbound方向应用安全策略即可,不需要做UNtrust到Trust区域的安全策略 。
以上关于本文的内容,仅作参考!温馨提示:如遇健康、疾病相关的问题,请您及时就医或请专业人士给予相关指导!
「四川龙网」www.sichuanlong.com小编还为您精选了以下内容,希望对您有所帮助:- 如何使用word文档 如何使用word编排文档
- 如何安装ssd 笔记本怎么外接固态硬盘
- 如何提高审美 如何提高自己的眼光和审美
- 如何删除打印机驱动 打印机驱动卸载不干净
- 电瓶车如何 新电动车骑着老是吱吱响
- 淘宝如何换货 第一次退货不懂怎么寄过去
- 如何隐藏磁盘 机械硬盘有个分区读不出来
- 如何释放压力 性是释放压力的方法吗
- 如何成为讲师 想做培训讲师怎么做
- 如何改字体 如何免费设置奶酪字体