私の連絡先情報
郵便メール:
2024-07-12
한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina
ファイアウォールは、プライベート ネットワークとの間のインターネット トラフィック、またはプライベート ネットワーク内のインターネット トラフィックを制限するネットワーク セキュリティ システムです。
ファイアウォールの中心的なタスク –> 制御と保護 –> セキュリティ ポリシー –> ファイアウォールはセキュリティ ポリシーを通じてトラフィックを識別し、対応するアクションを実行します。
ファイアウォールはいくつかのカテゴリに分類できます。
ファイアウォールの開発プロセスは継続的なアップグレードと改善のプロセスであり、それに対応する機能保護もより充実しています。
初期のパケット フィルタリング ファイアウォールでは、デバイスが受信したメッセージがパケット フィルタリング ルールに従ってチェックされるたびに、メッセージを解放するかどうかが決定されました。したがって、明らかにこの方法は効率が低くなります。
判定情報: 送信元IPアドレス、宛先IPアドレス、送信元ポート、宛先ポート、プロトコルタイプ(5タプル)
作業範囲: ネットワーク層、トランスポート層(層3~4)
アドバンテージ: 小規模サイトでも導入しやすく、処理速度も速く、価格も安い
短所: ルール テーブルは間もなく大きくなり、複雑になり、運用と保守が困難になります。ルール テーブルは 5 つのタプルにのみ基づいており、アプリケーション層にアップグレードすることはできません。
プロキシ ファイアウォールとパケット フィルタリング ファイアウォールの最大の違いは、プロキシ ファイアウォールはアプリケーション層でデータを検出できることです。プロキシ ファイアウォールはアプリケーション ゲートウェイ ファイアウォールとも呼ばれ、ホストには複数のネットワーク インターフェイスがあり、特定の種類のデータを中継できます。これは、すべてのアプリケーションが対応するプロキシ機能を開発する必要があり、そうでない場合はプロキシとして使用できません。
判定情報: すべてのアプリケーション層パケット
作業範囲: アプリケーション層(層7)
アドバンテージ: アプリケーション層データを確認しました
短所: 検出効率が低く、設定と運用保守が非常に難しく、拡張性が低い
ステートフル インスペクション ファイアウォールは、パケット フィルタリング ファイアウォールの拡張機能です。最初のパケット検出である「セッション テーブル テクノロジー」を使用しているため、パフォーマンスが向上します。
判定情報: IPアドレス、ポート番号、TCPフラグ
作業範囲: データリンク層、ネットワーク層、トランスポート層(層2~4)
アドバンテージ: 状態検知技術
短所: アプリケーション層の制御は弱く、データ領域のチェックは行いません。
UTMは統合脅威管理とも呼ばれ、ウイルス対策、マルウェア対策、ファイアウォール、IPS、IDSなどのさまざまなセキュリティ機能を1つの製品として提供できます。関数で。
含まれる機能: FW、IDS、IPS、AV
作業範囲: (2階~7階)
アドバンテージ: オールインワン機能により、ハードウェアコスト、人件費、時間コストを削減
短所: モジュール シリーズ検出は効率が低く、パフォーマンス消費が高く、WEB アプリケーション保護機能がありません
次世代ファイアウォールは、上記の従来のステートフル ファイアウォールと UTM デバイスの次世代製品であり、従来のファイアウォールのすべての機能 (基本的なパケット フィルタリング、ステートフル インスペクション、NAT、VPN など) が含まれているだけでなく、アプリケーションとユーザーも統合されています。識別と制御、侵入防止 (IPS) などのより高度なセキュリティ機能。 NGFW は UTM 装置と比較して、処理効率が高く、外部拡張および連携機能が強力です。
含まれる機能: FW、IDS、IPS、AV、WAF
作業範囲: 2~7階
UTM と UTM の違い:
UTM と比較すると、Web アプリケーション保護機能が追加されており、UTM は逐次処理メカニズムですが、NGFW はより強力なパフォーマンスとより効率的な管理を備えています。
ソフトウェア ファイアウォールは通常、特定のオペレーティング システム プラットフォームに基づいて開発され、ソフトウェアはコンピュータに直接インストールされて構成されます。顧客のオペレーティング システムは多様であるため、ソフトウェア ファイアウォールは「Unix、Linux、SCO-Unix、Windows」などの複数のオペレーティング システムをサポートする必要があります。その中には、Comodo ファイアウォール、TinyWall、ZoneAlarm ファイアウォールなど、比較的使いやすい PC ソフトウェア ファイアウォールが多数あります。ソフトウェア ファイアウォールの利点は、低コストで構成が簡単で、家庭での使用に適していることです。
ハードウェア ファイアウォールは、実際には「ソフトウェア ファイアウォール」をハードウェアに埋め込み、ハードウェアがこれらの機能を実行することで、コンピュータまたはサーバーの CPU 負荷を軽減します。ソフトウェア ファイアウォールと比較して、ハードウェア ファイアウォールはより安全であり、相対的な価格と設定の難易度も低くなります。比較的高いほど、そのアプリケーション シナリオは中規模および大企業でより一般的です。その中で、より有名で権威のあるメーカーには、Huawei、H3C、Sangforなどが含まれます。
ファイアウォールは性能の違いにより、100M クラスのファイアウォールとギガビットクラスのファイアウォールに分けられます。 通常、数百メガビットのファイアウォールは低帯域幅のネットワーク環境に適しており、ギガビット ファイアウォールは高帯域幅のネットワーク環境に適しています。 ギガビット ファイアウォールは、より高いデータ転送能力と強力なセキュリティ保護機能を備えています。
単一ホスト ファイアウォールは、ネットワークの境界に位置し、PC と同様に、CPU、メモリ、ハードディスクなどの一連の基本コンポーネントも備えています。非常に高い安定性、実用性を備え、比較的強力なスループット性能を備えたマザーボードです。
ルーター一体型ファイアウォールは、ルーターとファイアウォールの機能を組み合わせたネットワークセキュリティ装置です。ネットワーク境界でルーティングとセキュリティ ポリシー制御を実装し、不正なアクセスやネットワーク攻撃から LAN の内部を保護できます。この機器には通常、次のような特徴があります。
1. ルーティング機能: ネットワーク間の通信とデータ転送を実現するために、あるネットワークから別のネットワークにデータ パケットを送信できます。
2. ファイアウォール機能: ネットワークに出入りするデータ パケットを検出およびフィルタリングし、事前に設定されたセキュリティ ポリシーに従ってデータ トラフィックを許可または拒否し、悪意のある攻撃、ウイルス、不正アクセスからネットワークを保護します。
3. 統合: ルーティング機能とファイアウォール機能を統合することで、ネットワーク アーキテクチャが簡素化され、デバイスの数が減り、管理およびメンテナンスのコストが削減されます。
4. 柔軟性: 通常、柔軟なセキュリティ ポリシー設定機能があり、ネットワークのニーズに応じてさまざまなセキュリティ ルールとアクセス制御戦略をカスタマイズできます。
5. パフォーマンス: 高性能のデータ処理機能を備えており、大量のデータ トラフィックを効果的に処理して、スムーズで安全なネットワーク通信を保証します。
ルーティング統合ファイアウォールは、企業ネットワークや小規模オフィス/ホーム オフィス (SOHO) などのシナリオで広く使用されており、ネットワーク セキュリティ インフラストラクチャの重要な部分です。ルーティング機能とファイアウォール機能を統合することで、ユーザーに便利で効率的かつ信頼性の高いネットワーク セキュリティ保護を提供できます。
分散ファイアウォールは、ファイアウォール機能を複数の場所に分散することで、より効果的なネットワーク セキュリティ保護を提供するネットワーク セキュリティ テクノロジです。従来の集中型ファイアウォールは通常、ネットワーク境界に配置され、ネットワーク内外のトラフィックの監視と制御を担当します。分散ファイアウォールは、ファイアウォール機能をネットワーク内の複数のノードにプッシュし、ネットワーク トラフィックを複数の場所で検査およびフィルタリングできるようにすることで、攻撃や脅威に対するネットワークの保護を強化します。
分散ファイアウォールは通常、集中管理と分散実行のアーキテクチャを採用し、集中管理を通じてルールとポリシーの一貫性を実現します。同時に、ネットワーク内の各ノードで実際のファイアウォール機能を実行し、ネットワークのより正確な監視とフィルタリングを可能にします。 。 流れ。このアーキテクチャは、集中型ファイアウォールによる単一点の圧力を効果的に軽減し、大規模なネットワーク トラフィックや複雑なセキュリティの脅威に適切に対応できます。
分散ファイアウォールは、より柔軟な導入方法も提供し、ネットワーク トポロジと要件に応じてさまざまな場所にファイアウォール ノードを導入できるため、複雑で多様なネットワーク環境に適切に適応できます。同時に、分散ファイアウォールは、内部ネットワーク リソースをより有効に活用することで、ネットワーク トラフィックの処理効率とセキュリティを向上させることもできます。
全体として、分散ファイアウォールは、組織がさまざまなネットワークの脅威からネットワークをより適切に保護できる、より柔軟で効率的かつ安全なネットワーク セキュリティ テクノロジです。
まず、ensp にはファイアウォール機器パッケージが必要です。ここでは Huawei USG6000V ファイアウォールが使用されます。
1. まず、圧縮パッケージを圧縮する必要があります
リンク: 型式
抽出コード:1314
2. Cloud1 とファイアウォールを配置する
3. ファイアウォールを右クリックして、上記で解凍した vfw_usg.vdi をインポートし、インポートしてファイアウォールを起動し、しばらく待ちます。
4. 起動後のデフォルトアカウント: admin パスワード: Admin@123
後でパスワードを変更するよう求められます。簡単すぎるとエラーが報告されます。
5. system-view がセッションモードに入る
デフォルトでは、G0/0/0 には Web 制御と DHCP が設定されています。また、管理サービスを有効にするには、G0/0/0 インターフェイスを入力する必要があります。手動で有効にする必要があります。
[USG6000V1-GigabitEthernet0/0/0]service-manage all許可 - 管理サービスを有効にする
6. 管理サービスの開始
7. クラウドの構成
8. UDP ポートを追加し、「追加」をクリックします。
9. 次に、バインド情報で別のネットワーク カードをバインドします。ネットワーク カードのネットワーク セグメントをファイアウォールと同じネットワーク セグメントに変更する必要があります。デバイス マネージャーに移動してネットワーク カードを追加することもできます。仮想ネットワーク カードを見つけて、そのネットワーク カードに移動して IP を構成するだけです。デフォルトのファイアウォール IP は 192.168.0.1/24 であるため、IP を 192.168.0.2 に設定できます。
10. クラウドとファイアウォールを接続する
11. 192.168.0.1 アドレスにアクセスできない場合は、ポート 8443 を追加してみてください。
基本的にはこれで完了ですが、次にファイアウォールの具体的な使い方について詳しく説明していきます。
彼は 30 年以上テクノロジーの研究に専念しており、java、linux、javascript、php、css などのさまざまな言語に堪能であり、オープンソース分野で多くの貢献を行っています。将来の参考のために技術開発におけるいくつかの問題を共有する開発者ドキュメント ステーション。
郵便メール: