華為防火墻的網(wǎng)絡(luò)安全

一個防火墻（作為阻塞點、控制點）能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進出受保護網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時可以保護網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個主機上相比，防火墻的集中安全管理更經(jīng)濟。例如在網(wǎng)絡(luò)訪問時，一次一密口令系統(tǒng)和其它的身份認證系統(tǒng)完可以不必分散在各個主機上，而集中在防火墻一身上。

防火墻inbound和outbound不同區(qū)域之間可以設(shè)置不同的安全策略，域間的數(shù)據(jù)流分兩個方向

入方向（Inbound）：數(shù)據(jù)由低級別的安全區(qū)域向更高一層級別的安全區(qū)域傳輸?shù)姆较颉?/p>

出方向（Outbound）：數(shù)據(jù)由更高一層級別的安全區(qū)域向低級別的安全區(qū)域傳輸?shù)姆较颉?/p>

因為防火墻的狀態(tài)化檢測機制，所以針對數(shù)據(jù)流通常只重點處理首報文，安全策略一旦允許首報文允許通過，那么將會形成一個會話表，后續(xù)報文和返回的報文如果匹配到會話表將會直接放行，而不再查看策略，從而提升防火墻的轉(zhuǎn)發(fā)效率。如，Trust區(qū)域的客戶端訪問UNtrust區(qū)域的互聯(lián)網(wǎng)，只需要在Trust到UNtrust的Outbound方向應(yīng)用安全策略即可，不需要做UNtrust到Trust區(qū)域的安全策略。

華為防火墻區(qū)別與傳統(tǒng)的安全策略，一體化策略具有以下特點

區(qū)別與傳統(tǒng)的安全策略，一體化策略具有以下特點：

策略配置基于全局，不再基于區(qū)域間配置，安全區(qū)域只是條件的可選配置項，也可在一條規(guī)則中配置多個源區(qū)域或目標區(qū)域。

默認情況拒絕所有區(qū)域間的流量，包括Outbound流量。必須通過策略配置放行所需流量。

安全策略中的默認動作代替了默認過濾。傳統(tǒng)的防火墻的過濾基于區(qū)域間的，只針對特定的區(qū)域間生效，而新一代防火墻的默認動作全局生效，且默認動作為拒絕，即拒絕一切流量，除非允許。