2024-07-12
한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina
Eine Firewall ist ein Netzwerksicherheitssystem, das den Internetverkehr von und zu einem privaten Netzwerk oder innerhalb eines privaten Netzwerks einschränkt.
Die Kernaufgaben der Firewall –> Kontrolle und Schutz –> Sicherheitsrichtlinie –> Die Firewall identifiziert den Datenverkehr anhand von Sicherheitsrichtlinien und ergreift entsprechende Maßnahmen.
Firewalls können in mehrere Kategorien unterteilt werden:
Der Entwicklungsprozess der Firewall ist ein Prozess der kontinuierlichen Aktualisierung und Verbesserung, und auch der entsprechende Funktionsschutz ist umfangreicher.
Frühe Paketfilter-Firewalls verwendeten einen „Paket-für-Paket-Inspektion“-Mechanismus. Jedes Mal, wenn eine vom Gerät empfangene Nachricht gemäß den Paketfilterregeln überprüft wurde, wurde entschieden, ob die Nachricht freigegeben werden sollte. Daher ist diese Methode offensichtlich weniger effizient.
Informationen zum Urteil: Quell-IP-Adresse, Ziel-IP-Adresse, Quell-Port, Ziel-Port, Protokolltyp (Fünf-Tupel)
Der Umfang der Arbeit: Netzwerkschicht, Transportschicht (Schicht 3-4)
Vorteil: Einfache Implementierung für kleine Websites, schnelle Verarbeitungsgeschwindigkeit und günstiger Preis
Nachteile: Die Regeltabelle wird bald groß, komplex und schwierig zu bedienen und zu warten. Sie kann nur auf Fünf-Tupeln basieren und nicht auf die Anwendungsschicht aktualisiert werden.
Der größte Unterschied zwischen einer Proxy-Firewall und einer Paketfilter-Firewall besteht darin, dass die Proxy-Firewall Daten auf der Anwendungsebene erkennen kann. Der Host verfügt über mehrere Netzwerkschnittstellen und kann bestimmte Datentypen weiterleiten zwischen zwei Verbindungen auf der Anwendungsebene, was auch einer seiner Mängel ist. Jede Anwendung muss entsprechende Proxy-Funktionen entwickeln, sonst kann sie kein Proxy sein.
Informationen zum Urteil: Alle Pakete der Anwendungsschicht
Der Umfang der Arbeit: Anwendungsschicht (Schicht 7)
Vorteil: Überprüfte Daten der Anwendungsschicht
Nachteile: Geringe Erkennungseffizienz, äußerst schwierige Konfiguration sowie Betrieb und Wartung sowie schlechte Skalierbarkeit
Die Stateful-Inspection-Firewall ist eine Erweiterung der Paketfilter-Firewall.Es nutzt „Session-Table-Technologie“ – erste Paketerkennung, sodass die Leistung besser ist
Informationen zum Urteil: IP-Adresse, Portnummer, TCP-Flag
Der Umfang der Arbeit: Datenverbindungsschicht, Netzwerkschicht, Transportschicht (Schicht 2-4)
Vorteil: Statuserkennungstechnologie
Nachteile: Die Anwendungsschicht verfügt über eine schwache Kontrolle und überprüft den Datenbereich nicht
UTM wird auch als einheitliches Bedrohungsmanagement bezeichnet. Als einzelnes Produkt kann es eine Vielzahl von Sicherheitsfunktionen bereitstellen, darunter Antiviren-, Anti-Malware-, Firewall-, IPS- und IDS-Funktionen in Funktionen.
Enthaltene Funktionen: FW, IDS, IPS, AV
Der Umfang der Arbeit: (2-7 Etagen)
Vorteil: Die All-in-One-Funktion reduziert Hardwarekosten, Arbeitskosten und Zeitkosten
Nachteile: Die Erkennung von Modulreihen weist eine geringe Effizienz, einen hohen Leistungsverbrauch und keine WEB-Anwendungsschutzfunktionen auf
Die Next-Generation-Firewall ist das Produkt der nächsten Generation der oben genannten herkömmlichen Stateful-Firewalls und UTM-Geräte. Sie enthält nicht nur alle Funktionen herkömmlicher Firewalls (grundlegende Paketfilterung, Stateful-Inspektion, NAT, VPN usw.), sondern integriert auch Anwendung und Benutzer Identifizierung und Kontrolle, erweiterte Sicherheitsfunktionen wie Intrusion Prevention (IPS). Im Vergleich zu UTM-Geräten verfügt NGFW über eine schnellere Verarbeitungseffizienz und stärkere externe Erweiterungs- und Verknüpfungsmöglichkeiten.
Enthaltene Funktionen: FW, IDS, IPS, AV, WAF
Der Umfang der Arbeit: 2-7 Etagen
Der Unterschied zwischen UTM und UTM:
Im Vergleich zu UTM wurde die Webanwendungsschutzfunktion hinzugefügt; UTM ist ein serieller Verarbeitungsmechanismus, während NGFW ein paralleler Verarbeitungsmechanismus ist, der eine stärkere Leistung und eine effizientere Verwaltung bietet.
Software-Firewalls werden im Allgemeinen auf Basis einer bestimmten Betriebssystemplattform entwickelt und die Software wird direkt auf dem Computer installiert und konfiguriert. Aufgrund der Vielfalt der Betriebssysteme bei Kunden müssen Software-Firewalls mehrere Betriebssysteme wie „Unix, Linux, SCO-Unix, Windows“ usw. unterstützen. Darunter gibt es viele PC-Software-Firewalls, die relativ einfach zu verwenden sind, wie zum Beispiel: Comodo-Firewall, TinyWall, ZoneAlarm-Firewall usw. Die Vorteile von Software-Firewalls sind niedrige Kosten, einfache Konfiguration und besser für den Heimgebrauch geeignet.
Hardware-Firewalls betten tatsächlich „Software-Firewalls“ in die Hardware ein, und die Hardware führt diese Funktionen aus, wodurch die CPU-Belastung des Computers oder Servers verringert wird. Im Vergleich zu Software-Firewalls sind Hardware-Firewalls sicherer und auch der relative Preis und die Schwierigkeit der Konfiguration sind höher Relativ hoch, seine Anwendungsszenarien sind häufiger in mittleren und großen Unternehmen anzutreffen.Zu den bekannteren und renommierteren Herstellern zählen unter anderem Huawei, H3C, Sangfor usw.
Je nach Leistung können Firewalls in Firewalls der 100M-Klasse und Firewalls der Gigabit-Klasse unterteilt werden. Hunderte Megabit-Firewalls eignen sich normalerweise für Netzwerkumgebungen mit geringer Bandbreite, während Gigabit-Firewalls für Netzwerkumgebungen mit hoher Bandbreite geeignet sind. Eine Gigabit-Firewall verfügt über höhere Datenübertragungsfunktionen und stärkere Sicherheitsschutzfunktionen
Eine Single-Host-Firewall ist eine herkömmliche Firewall. Sie befindet sich an der Grenze des Netzwerks und ist unabhängig von anderen Netzwerkgeräten. Sie umfasst auch eine Reihe grundlegender Komponenten wie CPU, Speicher, Festplatte usw Das Motherboard verfügt über eine sehr hohe Stabilität, Praktikabilität und eine relativ starke Durchsatzleistung.
Eine routerintegrierte Firewall ist ein Netzwerksicherheitsgerät, das die Funktionen eines Routers und einer Firewall kombiniert. Es kann Routing- und Sicherheitsrichtlinienkontrolle an der Netzwerkgrenze implementieren und das Innere des LAN vor unbefugtem Zugriff und Netzwerkangriffen schützen. Dieses Gerät weist normalerweise die folgenden Eigenschaften auf:
1. Routing-Funktion: Möglichkeit, Datenpakete von einem Netzwerk an ein anderes zu übertragen, um Kommunikation und Datenweiterleitung zwischen Netzwerken zu erreichen.
2. Firewall-Funktion: Sie kann in das Netzwerk ein- und ausgehende Datenpakete erkennen und filtern und den Datenverkehr gemäß voreingestellten Sicherheitsrichtlinien zulassen oder verweigern, um das Netzwerk vor böswilligen Angriffen, Viren und unbefugtem Zugriff zu schützen.
3. Integration: Die Integration von Routing-Funktionen und Firewall-Funktionen vereinfacht die Netzwerkarchitektur, reduziert die Anzahl der Geräte und reduziert Verwaltungs- und Wartungskosten.
4. Flexibilität: Verfügt normalerweise über eine flexible Einstellungsfunktion für Sicherheitsrichtlinien und kann verschiedene Sicherheitsregeln und Zugriffskontrollstrategien entsprechend den Netzwerkanforderungen anpassen.
5. Leistung: Es verfügt über leistungsstarke Datenverarbeitungsfunktionen und kann große Mengen an Datenverkehr effektiv verarbeiten, um eine reibungslose und sichere Netzwerkkommunikation zu gewährleisten.
Routenintegrierte Firewalls werden häufig in Szenarien wie Unternehmensnetzwerken und kleinen Büros/Heimbüros (SOHO) eingesetzt und sind ein wichtiger Bestandteil der Netzwerksicherheitsinfrastruktur.Durch die Integration von Routing- und Firewall-Funktionen kann es Benutzern einen bequemen, effizienten und zuverlässigen Netzwerksicherheitsschutz bieten.
Distributed Firewall ist eine Netzwerksicherheitstechnologie, die durch die Verteilung von Firewall-Funktionen auf mehrere Standorte einen effektiveren Netzwerksicherheitsschutz bietet. Herkömmliche zentralisierte Firewalls befinden sich normalerweise an der Netzwerkgrenze und sind für die Überwachung und Steuerung des Datenverkehrs innerhalb und außerhalb des Netzwerks verantwortlich. Verteilte Firewalls übertragen Firewall-Funktionen auf mehrere Knoten im Netzwerk, sodass der Netzwerkverkehr an mehreren Standorten überprüft und gefiltert werden kann, wodurch der Schutz des Netzwerks vor Angriffen und Bedrohungen verbessert wird.
Verteilte Firewalls nutzen in der Regel eine Architektur mit zentraler Verwaltung und dezentraler Ausführung, um durch eine zentrale Verwaltung einheitliche Regeln und Richtlinien zu erreichen. Gleichzeitig führen sie auf jedem Knoten im Netzwerk tatsächliche Firewall-Funktionen aus, was eine genauere Überwachung und Filterung des Netzwerks ermöglicht . fließen. Diese Architektur kann den Einzelpunktdruck zentralisierter Firewalls wirksam reduzieren und besser auf großen Netzwerkverkehr und komplexe Sicherheitsbedrohungen reagieren.
Verteilte Firewalls können auch eine flexiblere Bereitstellungsmethode bieten. Firewall-Knoten können je nach Netzwerktopologie und -anforderungen an verschiedenen Standorten bereitgestellt werden, wodurch sie sich besser an komplexe und vielfältige Netzwerkumgebungen anpassen lassen. Gleichzeitig können verteilte Firewalls auch die Verarbeitungseffizienz und Sicherheit des Netzwerkverkehrs verbessern, indem sie interne Netzwerkressourcen besser nutzen.
Insgesamt handelt es sich bei der verteilten Firewall um eine flexiblere, effizientere und sicherere Netzwerksicherheitstechnologie, mit der Unternehmen ihre Netzwerke besser vor verschiedenen Netzwerkbedrohungen schützen können
Zunächst benötigt ensp ein Firewall-Ausstattungspaket. Hier kommt die Huawei USG6000V-Firewall zum Einsatz.
1. Zuerst müssen Sie das komprimierte Paket komprimieren
Verknüpfung: USG6000V
Extraktionscode: 1314
2. Platzieren Sie eine Cloud1 und eine Firewall
3. Klicken Sie mit der rechten Maustaste auf die Firewall, um die oben dekomprimierte Datei vfw_usg.vdi zu importieren, importieren und starten Sie die Firewall und warten Sie eine Weile.
4. Standardkonto nach dem Start: admin Passwort: Admin@123
Sie werden später aufgefordert, Ihr Passwort zu ändern. Es darf nicht zu einfach sein, sonst wird ein Fehler gemeldet.
5. Systemansicht wechselt in den Sitzungsmodus
Standardmäßig hat G0/0/0 eine IP. Die Firewall ist standardmäßig auf Websteuerung und DHCP eingestellt. Sie müssen auch die G0/0/0-Schnittstelle eingeben, um den Verwaltungsdienst zu aktivieren muss manuell aktiviert werden.
[USG6000V1-GigabitEthernet0/0/0]Service-Manage All Permit – Verwaltungsdienst aktivieren
6. Starten Sie den Verwaltungsdienst
7. Cloud konfigurieren
8. Fügen Sie einen UDP-Port hinzu und klicken Sie auf Hinzufügen
9. Binden Sie dann eine andere Ihrer Netzwerkkarten in die Bindungsinformationen ein. Sie müssen das Netzwerksegment der Netzwerkkarte auf dasselbe Netzwerksegment wie die Firewall ändern. Sie können zum Gerätemanager gehen, um eine Netzwerkkarte hinzuzufügen Suchen Sie einfach eine virtuelle Netzwerkkarte und gehen Sie zur Netzwerkkarte, um sie zu konfigurieren: Da die Standard-Firewall-IP 192.168.0.1/24 ist, können Sie die IP auf 192.168.0.2 festlegen
10. Cloud und Firewall verbinden
11. Greifen Sie auf die Adresse 192.168.0.1 zu. Wenn das nicht funktioniert, versuchen Sie, Port 8443 hinzuzufügen.
Dies ist im Grunde genommen abgeschlossen, und dann werde ich die spezifische Verwendung der Firewall im Detail erläutern.
Er widmet sich seit mehr als 30 Jahren der Technologieforschung und beherrscht verschiedene Sprachen wie Java, Linux, Javascript, PHP, CSS usw. Er hat viele Beiträge im Open-Source-Bereich geleistet Entwicklerdokumentationsstation, um einige Themen in der Technologieentwicklung als zukünftige Referenz zu teilen
