2024-07-12
한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina
Un pare-feu est un système de sécurité réseau qui restreint le trafic Internet vers et depuis un réseau privé ou au sein d'un réseau privé.
Les tâches principales du pare-feu –> Contrôle et protection –> Politique de sécurité –> Le pare-feu identifie le trafic via des politiques de sécurité et prend les actions correspondantes.
Les pare-feu peuvent être divisés en plusieurs catégories :
Le processus de développement du pare-feu est un processus de mise à niveau et d'amélioration continue, et sa protection fonctionnelle correspondante est également plus abondante.
Les premiers pare-feu de filtrage de paquets utilisaient un mécanisme « d'inspection paquet par paquet ». Chaque fois qu'un message reçu par l'appareil était vérifié conformément aux règles de filtrage de paquets, il était décidé de libérer ou non le message. Donc évidemment cette méthode est moins efficace.
Informations sur le jugement : Adresse IP source, adresse IP de destination, port source, port de destination, type de protocole (cinq tuples)
L'étendue des travaux : Couche réseau, couche transport (couche 3-4)
Avantage: Facile à mettre en œuvre pour les petits sites, vitesse de traitement rapide et prix bon marché
Désavantages: La table de règles deviendra bientôt volumineuse, complexe et difficile à exploiter et à maintenir. Elle ne pourra être basée que sur cinq tuples et ne pourra pas être mise à niveau vers la couche application.
La plus grande différence entre un pare-feu proxy et un pare-feu de filtrage de paquets est que le pare-feu proxy peut détecter les données au niveau de la couche application. Le pare-feu proxy peut également être appelé pare-feu de passerelle d'application. L'hôte dispose de plusieurs interfaces réseau et peut relayer des types de données spécifiques. entre deux connexions au niveau du trafic applicatif, ce qui est également l'un de ses défauts. Chaque application doit développer des fonctions proxy correspondantes, sinon elle ne peut pas être proxy.
Informations sur le jugement : Tous les paquets de couche application
L'étendue des travaux : Couche d'application (couche 7)
Avantage: Données de la couche application vérifiées
Désavantages: Faible efficacité de détection, configuration, exploitation et maintenance extrêmement difficiles, et faible évolutivité
Le pare-feu d'inspection avec état est une extension du pare-feu de filtrage de paquets.Il utilise la "technologie de table de session" - première détection de paquet, donc les performances sont meilleures
Informations sur le jugement : Adresse IP, numéro de port, indicateur TCP
L'étendue des travaux : Couche liaison de données, couche réseau, couche transport (couche 2-4)
Avantage: Technologie de détection d'état
Désavantages: La couche application a un contrôle faible et ne vérifie pas la zone de données
UTM est également appelé gestion unifiée des menaces. Il s'agit d'un produit de sécurité complet, en tant que produit unique, qui peut fournir une variété de fonctions de sécurité, notamment un antivirus, un anti-malware, un pare-feu, un IPS, un IDS et d'autres fonctions. dans les fonctions.
Fonctionnalités incluses : Microprogramme, ID, IPS, AV
L'étendue des travaux : (2-7 étages)
Avantage: La fonction tout-en-un réduit les coûts de matériel, les coûts de main-d'œuvre et les coûts de temps
Désavantages: La détection des séries de modules a une faible efficacité, une consommation de performances élevée et n'a pas de capacités de protection des applications WEB
Le pare-feu de nouvelle génération est le produit de nouvelle génération des pare-feu dynamiques traditionnels et des dispositifs UTM ci-dessus. Il contient non seulement toutes les fonctions des pare-feu traditionnels (filtrage de paquets de base, inspection dynamique, NAT, VPN, etc.), mais intègre également les applications et les utilisateurs. identification et contrôle, capacités de sécurité plus avancées telles que la prévention des intrusions (IPS). Par rapport aux équipements UTM, NGFW a une efficacité de traitement plus rapide et des capacités d'expansion et de liaison externes plus fortes.
Fonctionnalités incluses : Microprogramme, IDS, IPS, AV, WAF
L'étendue des travaux : 2-7 étages
La différence entre UTM et UTM :
Par rapport à UTM, la fonction de protection des applications Web est ajoutée ; UTM est un mécanisme de traitement en série, tandis que NGFW est un mécanisme de traitement parallèle qui offre des performances plus élevées et une gestion plus efficace.
Les pare-feu logiciels sont généralement développés sur la base d'une certaine plate-forme de système d'exploitation, et le logiciel est installé et configuré directement sur l'ordinateur. En raison de la diversité des systèmes d'exploitation parmi les clients, les pare-feu logiciels doivent prendre en charge plusieurs systèmes d'exploitation tels que « Unix, Linux, SCO-Unix, Windows », etc. Parmi eux, il existe de nombreux pare-feu logiciels pour PC relativement simples à utiliser, tels que : le pare-feu Comodo, TinyWall, le pare-feu ZoneAlarm, etc. Les avantages des pare-feu logiciels sont un faible coût, une configuration simple et plus adaptés à un usage domestique.
Les pare-feu matériels intègrent en fait des « pare-feu logiciels » dans le matériel, et le matériel remplit ces fonctions, réduisant ainsi la charge du processeur sur l'ordinateur ou le serveur. Par rapport aux pare-feu logiciels, les pare-feu matériels sont plus sécurisés, et le prix relatif et la difficulté de configuration le sont également. relativement élevé, ses scénarios d'application sont plus courants dans les moyennes et grandes entreprises.Parmi eux, les fabricants les plus connus et faisant autorité incluent Huawei, H3C, Sangfor, etc.
Selon les différentes performances, les pare-feu peuvent être divisés en pare-feu de classe 100M et en pare-feu de classe Gigabit. Des centaines de pare-feu mégabits conviennent généralement aux environnements réseau à faible bande passante, tandis que les pare-feu gigabits conviennent aux environnements réseau à large bande passante. Le pare-feu Gigabit offre des capacités de transmission de données plus élevées et des capacités de protection de sécurité plus fortes
Un pare-feu à hôte unique est un pare-feu traditionnel. Il est situé à la limite du réseau et est indépendant des autres périphériques réseau. Semblable à un PC, il comprend également une série de composants de base tels que le processeur, la mémoire, le disque dur et le réseau. carte mère. Elle a une très grande stabilité, une grande praticité et des performances de débit relativement élevées.
Un pare-feu intégré au routeur est un dispositif de sécurité réseau qui combine les fonctions d'un routeur et d'un pare-feu. Il peut mettre en œuvre un contrôle des politiques de routage et de sécurité à la limite du réseau et protéger l'intérieur du réseau local contre les accès non autorisés et les attaques réseau. Cet équipement présente généralement les caractéristiques suivantes :
1. Fonction de routage : capable de transmettre des paquets de données d'un réseau à un autre pour réaliser la communication et le transfert de données entre les réseaux.
2. Fonction pare-feu : il peut détecter et filtrer les paquets de données entrant et sortant du réseau, et autoriser ou refuser le trafic de données selon des politiques de sécurité prédéfinies pour protéger le réseau contre les attaques malveillantes, les virus et les accès non autorisés.
3. Intégration : L'intégration des fonctions de routage et des fonctions de pare-feu simplifie l'architecture réseau, réduit le nombre de périphériques et réduit les coûts de gestion et de maintenance.
4. Flexibilité : dispose généralement d'une fonction de définition de politique de sécurité flexible et peut personnaliser différentes règles de sécurité et stratégies de contrôle d'accès en fonction des besoins du réseau.
5. Performances : il dispose de capacités de traitement de données hautes performances et peut gérer efficacement de grandes quantités de trafic de données pour garantir une communication réseau fluide et sûre.
Les pare-feu intégrés au routage sont largement utilisés dans des scénarios tels que les réseaux d'entreprise et les petits bureaux/bureaux à domicile (SOHO), et constituent un élément important de l'infrastructure de sécurité réseau.En intégrant des fonctions de routage et de pare-feu, il peut fournir aux utilisateurs une protection de sécurité réseau pratique, efficace et fiable.
Le pare-feu distribué est une technologie de sécurité réseau qui offre une protection de sécurité réseau plus efficace en distribuant les fonctions de pare-feu à plusieurs emplacements. Les pare-feu centralisés traditionnels sont généralement situés à la limite du réseau et sont chargés de surveiller et de contrôler le trafic entrant et sortant du réseau. Les pare-feu distribués transmettent les fonctions de pare-feu à plusieurs nœuds du réseau, permettant ainsi d'inspecter et de filtrer le trafic réseau à plusieurs emplacements, améliorant ainsi la protection du réseau contre les attaques et les menaces.
Les pare-feu distribués adoptent généralement une architecture de gestion centralisée et d'exécution décentralisée pour assurer la cohérence des règles et des politiques grâce à une gestion centralisée. En même temps, ils exécutent de véritables fonctions de pare-feu sur chaque nœud du réseau, permettant une surveillance et un filtrage plus précis du réseau. . couler. Cette architecture peut réduire efficacement la pression exercée sur un seul point par les pare-feu centralisés et mieux répondre au trafic réseau à grande échelle et aux menaces de sécurité complexes.
Les pare-feu distribués peuvent également fournir une méthode de déploiement plus flexible. Les nœuds de pare-feu peuvent être déployés à différents emplacements en fonction de la topologie et des exigences du réseau, s'adaptant ainsi mieux aux environnements réseau complexes et diversifiés. Dans le même temps, les pare-feu distribués peuvent également améliorer l'efficacité du traitement et la sécurité du trafic réseau en utilisant mieux les ressources réseau internes.
Dans l'ensemble, le pare-feu distribué est une technologie de sécurité réseau plus flexible, plus efficace et plus sécurisée qui peut aider les organisations à mieux protéger leurs réseaux contre diverses menaces réseau.
Tout d'abord, ensp a besoin d'un package d'équipement de pare-feu. Le pare-feu Huawei USG6000V est utilisé ici.
1. Tout d’abord, vous devez compresser le package compressé
Lien: USG6000V
Code d'extraction : 1314
2. Placez un Cloud1 et un pare-feu
3. Cliquez avec le bouton droit sur le pare-feu pour importer le vfw_usg.vdi décompressé ci-dessus, importez et démarrez le pare-feu, et attendez un moment.
4. Compte par défaut après le démarrage : admin Mot de passe : Admin@123
Il vous sera demandé de modifier votre mot de passe ultérieurement. Cela ne peut pas être trop simple, sinon une erreur sera signalée.
5. La vue système passe en mode session
Par défaut, G0/0/0 a une adresse IP. Le pare-feu par défaut est le contrôle Web et DHCP. Vous devez également entrer dans l'interface G0/0/0 pour activer le service de gestion. La simulation du périphérique réel est activée par défaut. doit être activé manuellement.
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit — Activer le service de gestion
6. Démarrez le service de gestion
7. Configurer le cloud
8. Ajoutez un port UDP et cliquez sur Ajouter
9. Ensuite, associez une autre de vos cartes réseau dans les informations de liaison. Vous devez remplacer le segment réseau de la carte réseau par le même segment réseau que le pare-feu. Vous pouvez accéder au gestionnaire de périphériques pour ajouter une carte réseau. trouvez simplement une carte réseau virtuelle et accédez à la carte réseau pour la configurer IP : étant donné que l'adresse IP par défaut du pare-feu est 192.168.0.1/24, vous pouvez définir l'adresse IP sur 192.168.0.2.
10. Connectez le cloud et le pare-feu
11. Accédez à l'adresse 192.168.0.1 Si cela ne fonctionne pas, essayez d'ajouter le port 8443.
Ceci est fondamentalement complet, puis j'expliquerai en détail l'utilisation spécifique du pare-feu.
Il se consacre à la recherche technologique depuis plus de 30 ans et maîtrise divers langages tels que java, linux, javascript, php, css, etc. Il a apporté de nombreuses contributions dans le domaine de l'open source. station de documentation pour les développeurs pour partager certains problèmes de développement technologique pour référence future.
