一、华为防火墙产品介绍
USG2000、USG5000 USG6000和USG9500构成了华为防火墙的四大部分,分别适合于不同环境的网络需求,其中,USG2000和USG5000系列定位于UTM(统一威胁管理)产品,USG6000系列属于下一代防火墙产品,USG9500系列属于高端防火墙产品。
1, USG2110
USG2110为华为针对中小企业及连锁机构,SOHO企业等发布的防火墙设备,其功能涵盖防火墙,UTM、虚拟专用网(请自行看首字母,我写简写的话就被和谐了),路,由无线等.USG2110其具有性能高,可靠性高,配置方便等特性,且价格相对较低,支持多种虚拟私人网络组网方式,为用户提供安全、灵活,便捷的一体化组网解决方案。
2, USG6600
USG6600是华为面向下一代网络环境防火墙产品,适用于大中型企业及数据中心等网络环境,具有访问控制精准,防护范围全面,安全管理简单,防护性能高等特点,可进行企业内网边界防护,互联网出口防护,云数据中心边界防护,虚拟专用网远程互联等组网应用。
3, USG9500
USG9500系列包含USG9520, USG9560, USG9580三种系列,适用于云服务提供商,大型数据中心,大型企业园区网络等。它拥有最精准的访问控制,最实用的NGFW特性,最领先的“NP +多核+分布式”架构及最丰富的虚拟化,被称为最稳定可靠的安全网关产品,可用于大型数据中心边界防护,广电和二级运营商网络出口安全防护,教育网出口安全防护等网络场景。
4, NGFW
NGFW,全称下一代防火墙,即下一代防火墙,最早由Gartner提出.NGFW更适用于新的网络环境.NGFW在功能方面不仅要具备标准的防火墙功能,如网络地址转换,状态检测,虚拟专用网和大企业需要的功能,而且要实现IPS和防火墙真正的一体化,而不是简单地基于模块。另外,NGFW还需要具备强大的应用程序感知和应用可视化能力,基于应用策略,日志统计,安全能力与应用识别深度融合,使用更多的外部信息协助改进安全策略,如用户身份识别等。
5,传统防火墙与NGFW防火墙的区别:
传统的防火墙只能基于时间,IP和端口进行感知,而NGFW防火墙基于六个维度进行管控和防护,分别是应用,用户,内容,时间,威胁,位置,其中:
<李>
基于应用:运用多种手段精确识别网络应用内超过6000年以上的应用层协议及其附属功能,从而进行精准的访问控制和业务加速。其中也包含移动应用,如可以通过防火墙区分微信流量中的语音和文字,进而实现不同的控制策略。
李 <李>基于用户:借助于广告活动目录,目录服务器或AAA服务器等,基于用户进行访问控制,QoS管理和深度防护。
李 <李>基于位置:结合全球位置信息,智能识别流量的发起位置,从而获取应用和龚~击的发起位置。其根据位置信息实现对不同区域访问流量的差异化控制,同时支持根据IP信息自定义位置。在实际应用中,应用可能使用任意端口,而传统FW无法根据端口识别和控制应用.NGFW的进步在于更精细的访问控制。其最佳使用原则为基于应用+白名单控制+最小授权。
目前,华为的NGFW产品主要是USG6000系列,覆盖从低端的固定化模块产品到高端的模块产品。华为下一代防火墙的应用识别能力范围领先同行业产品20%。
<强>下面围绕USG6600型号的防火墙产品聊一聊它的工作原理
二、防火墙的工作原理
1,防火墙的工作模式
华为防火墙具有三种工作模式:路由模式,透明模式,混合模式。
1)路由模式:
如果华为防火墙连接网络的接口配置IP地址,则认为防火墙工作在路由模式下,当华为防火墙位于内部网络和外部网络之间时,需要将防火墙与内部网络,外部网络以及非军事区三个区域相连的接口分别配置不同网段的IP地址,所以需要重新规划原有网络拓扑,此时防火墙首先是一台路由器,然后提供其他防火墙功能。路由模式需要对网络拓扑进行修改(内部网络用户需要更高网关,路由器需要更改路由配置等)。
2)透明模式:
如果华为防火墙通过第二层对外连接(接口无IP地址),则防火墙工作在透明模式下。如果华为防火墙采用透明模式进行工作,只需要在网络中像连接交换机一样连接华为防火墙设备即可,其最大的优点是无须修改任何已有的IP配置;此时防火墙就像一个交换机一样工作,内部网络和外部网络必须处于同一个子网。此模式下,报文在防火墙当中不仅进行二层的交换,还会对报文进行高层分析处理。
华为防火墙及它的工作原理
