華為防火墻的默認(rèn)策略組合及方向

防火墻的默認(rèn)策略組合

1.默認(rèn)防火墻和內(nèi)網(wǎng)區(qū)域允許進(jìn)和出，即相互通信;

2.防火墻和外網(wǎng)區(qū)域之間，只能出，不能進(jìn)。即防火墻可以ping通外網(wǎng)，外網(wǎng)無法ping通防火墻；

3.同樣防火墻訪問DMZ也是只能出，不能進(jìn)。即防火墻可以ping通DMZ的server，但server無法ping通防火墻。

防火墻策略的方向

1.outbound：高優(yōu)先級訪問低優(yōu)先級

2.inbound：低優(yōu)先級訪問高優(yōu)先級

注意：“訪問”僅指的是出包即主動發(fā)起的di一個報(bào)文，即建立會話（session）的過程。

默認(rèn)高優(yōu)先級可以訪問低優(yōu)先級，但是低優(yōu)先級無法回包，相當(dāng)于回執(zhí)路由回不來。所以無法ping通。但是我的確是訪問了，防火墻就會記錄這一條信息。

華為防火墻應(yīng)用層過濾技術(shù)

1.文件類型過濾：主要針對不同類型（擴(kuò)展名不同）的文件過濾，USG防火墻可以識別數(shù)據(jù)包攜帶的應(yīng)用層文件類型。其檢查過程并非只查詢文件的擴(kuò)展名，而是基于文件內(nèi)容進(jìn)行識別，如果發(fā)送方將a.exe文件改為a.docx，防火墻根據(jù)內(nèi)容將識別為EXE文件。

2.內(nèi)容過濾：基于HTTP中發(fā)送博客內(nèi)容、論壇發(fā)送帖子內(nèi)容、SMTP中的發(fā)送郵件主題及正文內(nèi)容、FTP中上傳和xia載文件的名稱，文件共享服務(wù)中的文件名稱等過濾，可以基于特定的文本過濾，也可以通過正則表達(dá)式過濾。

3.URL過濾：主要針對用戶訪問的互聯(lián)網(wǎng)頁面URL進(jìn)行過濾，允許或拒絕用戶訪問某些類型的URL網(wǎng)站資源，以控制用戶對互聯(lián)網(wǎng)資源的使用。

華為防火墻的網(wǎng)絡(luò)層防火墻

網(wǎng)絡(luò)層防火墻可視為一種 IP 封包的過濾器（允許或拒絕封包資料通過的軟硬結(jié)合裝置），運(yùn)作在底層的 TCP/IP 協(xié)議堆棧上。我們可以以枚舉的方式，只允許符合特定規(guī)則的封包通過，其余的一概禁止穿越防火墻（病毒除外，防火墻不能防止病毒侵入）。這些規(guī)則通常可以經(jīng)由管理員定義或修改，不過某些防火墻設(shè)備可能只能套用內(nèi)置的規(guī)則。

我們也能以另一種較寬松的角度來制定防火墻規(guī)則，只要封包不符合任何一項(xiàng)“否定規(guī)則”就予以放行。現(xiàn)在的操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備大多已內(nèi)置防火墻功能。

較新的防火墻能利用封包的多樣屬性來進(jìn)行過濾，例如：來源 IP 地址、來源端口號、目的 IP 地址或端口號、服務(wù)類型(如 WWW 或是 FTP)。也能經(jīng)由通信協(xié)議、TTL 值、來源的網(wǎng)域名稱或網(wǎng)段...等屬性來進(jìn)行過濾。