「干货」超硬核的华为防火墙安全攻略分享

「干货」超硬核的华为防火墙安全攻略分享

首页角色扮演Spine更新时间:2024-11-24

防火墙概述


“防火墙”一词起源于建筑领域,用来隔离火灾,阻止火势从一个区域蔓延到另一个区域。引入到通信领域,防火墙这一具体设备通常用于两个网络之间有针对性的、逻辑意义上的隔离。这种隔离是选择性的,隔离“火”的蔓延,而又保证“人”可以穿墙而过。这里的“火”是指网络中的各种攻击,而“人”是指正常的通信报文。

为什么需要防火墙?




安全无处不在。路由器和交换机构建了互联互通的网络,带来便利的同时也带来了安全隐患。


例如在网络边界,企业有了如下安全诉求:

什么是防火墙?

在通信领域,防火墙是一种安全设备。它用于保护一个网络区域免受来自另一个网络区域的攻击和入侵,通常被应用于网络边界,例如企业互联网出口、企业内部业务边界、数据中心边界等。


防火墙根据设备形态分为,框式防火墙、盒式防火墙和软件防火墙,支持在云上云下灵活部署。



严格意义上,防火墙还有更多的部署形态,例如桌面型防火墙(盒式防火墙的一种)。桌面型防火墙适用于小型企业、行业分支、连锁商业机构等场景。华为盒式防火墙同时支持传统模式和云管理模式。云管理模式由云端统一管理分支机构的安全接入,支持设备即插即用、业务配置自动化、运维可视化和网络大数据分析。

防火墙与交换机、路由器功能对比

以园区网为例,交换机作用是接入终端和汇聚内部路由,组建内部互联互通的局域网。


路由器作用是路由的分发、寻址和转发,构建外部连接网络。


防火墙作用是流量控制和安全防护,区分和隔离不同安全区域。


防火墙与路由器转发流程对比

防火墙的转发流程比路由器复杂。以框式设备为例,硬件上除了接口、LPU(Line Processing Unit)、交换网板等外,防火墙还特有SPU(Service Processing Unit),用于实现防火墙的安全功能。


防火墙的典型应用场景




DMZ(Demilitarized Zone)起源于军方,是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。防火墙设备引用了这一术语,指代一个逻辑上和物理上都与内部网络和外部网络分离的安全区域。在企业中一般用于服务器的放置。


数据中心网络一般采用Spine-Leaf架构。Spine为骨干节点负责流量高速转发,Leaf为叶子节点负责服务器、防火墙或其他设备接入。Spine-Leaf之间全三层互联。

防火墙的发展历程

纵观防火墙的发展历史,防火墙经历了从低级到高级、从功能简单到功能复杂的过程。网络技术的不断发展和新需求的不断提出,推动着防火墙的发展。


防火墙从包过滤防火墙发展起经历了状态检测、统一威胁管理、NGFW等到AI防火墙,有以下特点:

包过滤防火墙


包过滤是指基于五元组对每个数据包进行检测,根据配置的安全策略转发或丢弃数据包。


包过滤防火墙的基本原理是:通过配置访问控制列表(Access Control List,ACL)实施数据包的过滤。


包过滤防火墙主要基于数据包中的源/目的IP地址、源/目的端口号、IP 标识和报文传递的方向等信息。


包过滤防火墙的设计简单,非常易于实现,而且价格便宜。


包过滤防火墙的缺点主要表现以下几点:

状态检测防火墙


状态检测是包过滤技术的发展,它考虑报文前后的关联性,检测的是连接状态而非单个报文。


状态检测防火墙就是支持状态检测功能的防火墙。


状态检测防火墙通过对连接的首个数据包(后续简称首包)检测而确定一条连接的状态。后续数据包根据所属连接的状态进行控制(转发或阻塞)。

AI防火墙


AI防火墙是结合AI技术的新一代防火墙。它通过结合AI算法或AI芯片等多种方式,进一步提高了防火墙的安全防护能力和性能。


华为AI防火墙,内置的恶意文件检测引擎CDE、诱捕Sensor、APT检测引擎和探针,支持与沙箱和华为大数据分析平台CIS联动检测,打造智能防御体系。




华为HiSecEngine USG6000E系列是业界首批推出的AI防火墙。AI防火墙没有统一的标准,例如通过用大量数据和算法“训练”防火墙,让其学会自主识别威胁;通过内置AI芯片,提高应用识别和转发性能,都可以被称为AI防火墙。


APT(Advanced Persistent Threat,高级持续性威胁)是指用先进的攻击手段对特定目标进行长期持续性攻击的攻击形式。


沙箱(Sandbox)是一个用于检测病毒的安全设备,它为疑似病毒构建虚拟环境,通过观察其后续行为检测病毒。沙箱是APT检测的重要设备。华为的沙箱产品为Firehunter。


CIS(Cybersecurity Intelligence System)能够对网络中的流量及各类设备的网络、安全日志等海量网络基础数据执行有效采集,通过大数据实时及离线分析,结合机器学习技术、专家信誉、情报驱动,有效的发现网络中的潜在威胁和高级威胁,实现企业内部的全网安全态势感知,同时可以结合华为HiSec解决方案高效地完成威胁的处置闭环,防患未然。


自研恶意文件检测引擎(CDE)引入PE Class 2.0 AI算法,对全文件进行还原,对文件内容进行深度检测。(业界主流基于流检测。流检测的检测速度快,但只还原文件头,不对文件内容进行检查。


华为独创的AIE APT检测引擎,引入AI算法,持续防御最新威胁。


查看全文
大家还看了
也许喜欢
更多游戏

Copyright © 2024 妖气游戏网 www.17u1u.com All Rights Reserved