本文介绍防火墙的概念和发展历史,然后介绍华为USG6000系列防火墙架构、安全区域及策略、NAT、VPN、双机热备等知识,最后介绍本书实验所使用的设备、实验拓扑以及实验台操作。
要点
防火墙的概念防火墙的发展历史华为USG6000系列防火墙介绍1.1 防火墙的概念防火墙属于网络安全设备,其主要作用是通过各种配置,拒绝非授权的访问,保护网络安全。防火墙作为一个独立的硬件设备,可以通过访问控制、身份验证、数据加密、VPN技术等安全功能,形成一个信息进出的“屏障”。它不仅可以确保内部网络安全地访问互联网,同时还可以保护内部网络的安全。图1-1-1所示为防火墙在企业生产环境中的应用。在企业生产环境中,防火墙可以对来自内部以及外部的安全问题、内外部相互访问等进行有效控制。
图1-1-1
1.2 防火墙的发展历史防火墙从出现到现在,主要经历了包过滤防火墙、代理防火墙和状态检测防火墙等三代,统一威胁管理和下一代防火墙是最近几年提出的概念。
1.2.1 包过滤防火墙包过滤防火墙属于第一代防火墙。这种防火墙通过配置访问控制列表对数据报文进行过滤,并根据策略转发或丢弃数据报文,其设计简单且易于实现。但是包过滤不检查会话状态且不分析数据,攻击者可以使用假冒地址进行欺骗,然后通过防火墙。
1.2.2 代理防火墙代理防火墙属于第二代防火墙。代理检查来自用户的请求,匹配安全策略后代表外部用户与真正的服务器建立连接,转发外部用户请求。代理防火墙安全性较高,但软件限制处理速度,同时需要为每一种应用开发对应的代理服务,开发周期长且升级困难。
1.2.3 状态检测防火墙状态检测防火墙属于第三代防火墙。1994年,网络安全厂商Check Point发布了第一台基于状态检测技术的防火墙。状态检测属于包过滤技术的延伸,对基于连接状态的数据报文进行检查时,它会考虑数据报文前后的关系,这意味着每个数据报文都不是独立存在的,而是前后有状态联系的。基于这样的状态联系,发展出了状态检测技术。状态检测防火墙通过动态分析激活的TCP会话和UDP会话状态采取动作,处理速度快且安全性高。
1.2.4 统一威胁管理防火墙统一威胁管理(United Threat Management,UTM)防火墙属于新一代防火墙。除了具备基本防火墙功能外,它还将入侵检测、访问控制、防病毒、URL过滤等功能集成于一身,实现全面的安全防护功能。
1.2.5 下一代防火墙下一代防火墙(Next Generation Firewall,NGFW)概念在2008年由网络安全厂商Palo Alto Networks提出,最初的目的是解决UTM防火墙运行多个功能后性能下降的问题。2009年Gartner对下一代防火墙重新进行了定义,明确了下一代防火墙除了具有UTM防火墙功能外,还可以基于用户、应用、内容进行管控。
1.3 华为USG6000系列防火墙介绍华为USG6000系列防火墙于2013年9月正式发布,标志着华为防火墙进入一个新的发展阶段。同年,华为成为国内首家进入Gartner防火墙和UTM魔力象限的厂商。
1.3.1 精准的访问控制华为USG6000系列防火墙将安全能力与应用识别进行深度融合,实现安全防护一体化,其应用识别经过10多年的积累,在业界排名第一。图1-3-1所示为安全能力与应用识别深度融合的6维控制,包括应用、内容、时间、用户、威胁和位置6个维度。
图1-3-1
1.3.2 简单的策略管理华为USG6000系列防火墙优化了策略的管理,即使是一名新的管理人员也可以轻松对策略进行调整,快速完成部署。同时,策略管理可以自动找出重复以及无用的策略,管理人员可以对其进行删除或调整。图1-3-2所示为系统预置安全策略模板以及系统预置应用类别和风险组。
图1-3-2
1.3.3 全面的威胁防护华为USG6000系列防火墙能够提供全面的威胁防护,主要包括入侵检测、反病毒、识别伪装、文件过滤、URL过滤、内容过滤、Qos优化、SSL加密等。图1-3-3所示为华为USG6000系列防火墙集成了企业所需要的各种防护功能以及FORRESTER最新报告。
图1-3-3
1.3.4 快速的性能体验华为USG6000系列防火墙通过智能感知引擎(Intelligent Awareness Engine,IAE)能够快速地部署各种策略,提供高性能的全面防护功能。图1-3-4所示为全新的IAE引擎。
图1-3-4
1.3.5 华为USG6000系列防火墙产品线华为USG防火墙主要包括USG2000系列、USG5000系列、USG6000系列以及高端的USG9000系列。其中USG2000、USG5000系列属于入门级UTM防火墙产品,USG6000系列属于下一代防火墙产品,USG9000系列属于高端防火墙产品。
USG6000系列防火墙作为市面主流防火墙,其产品线非常完善,从华为USG6300到USG6600有多个型号,如图1-3-5所示。企业可以根据实际情况进行选择,如果华为USG6000系列防火墙无法满足企业需求,可以考虑华为高端的USG9000系列防火墙。华为USG9500系列防火墙作为业界首款T级数据中心防火墙,成功通过美国NSS实验室测试,被评为业界最快防火墙。
图1-3-5
-END-
喜欢的朋友欢迎转发到朋友圈