在防火墙技术中,通常把两个方向的流量区别对待,因为防火墙的状态化检测机制,所以针对数据流通常只重点处理首ge报文,安全策略一旦允许首ge报文允许通过,那么将会形成一个会话表,华三h3c下一代防火墙设备,后续报文和返回的报文如果匹配到会话表将会直接放行,而不再查看策略,从而提高了防火墙的转发效率。如,trust区域的---访问untrust区域的互联网,只需要在trust到untrust的outbound方向应用安全策略即可,不需要做untrust到trust区域的安全策略。
防火墙通过五元组来唯yi的区分一个数据流,即源ip、目标ip、协议、源端口号、目标端口。防火墙把具有相同五元组内容的数据当做一个数据流,数据包必须同时匹配zhi定的五元组才算匹配到这条策略,否则会继续匹配后续策略,它的匹配规则同样是匹配即停。
前面说到,在防火墙上,首ge报文通过后会创建一个会话表,该会话表只能匹配元组相同的流量,无法匹配其他流量(可能目标ip不同,可能目标端口不同),这也正---了同一会话的数据流gao效转发及严格的安全策略检查。需要注意的是,会话表是动态生成的,下一代防火墙设备,但不是长久存在的,如果长时间没有报文匹配该会话,则证明通信双方已经断开了连接,华三h3c下一代防火墙设备,不再需要这条会话,为了节约系统资源,会在一定时间后删除该会话,这个时间被称为会话的老化时间。一般不会太久,记得cisco防火墙上的会话表默认老化时间好像是300s。
入方向(inbound):数据由低级别的安全区域向更高一层级别的安全区域传输的方向。
出方向(outbound):数据由更高一层级别的安全区域向低级别的安全区域传输的方向。
因为防火墙的状态化检测机制,所以针对数据流通常只重点处理首报文,安全策略一旦允许首报文允许通过,那么将会形成一个会话表,后续报文和返回的报文如果匹配到会话表将会直接放行,而不再查看策略,从而提升防火墙的转发效率。如,trust区域的---访问untrust区域的互联网,只需要在trust到untrust的outbound方向应用安全策略即可,不需要做untrust到trust区域的安全策略。
网络层防火墙可视为一种 ip 封包的过滤器(允许或---封包资料通过的软硬结合装置),运作在底层的 tcp/ip 协议堆栈上。我们可以以枚举的方式,华三h3c下一代防火墙设备,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙(---除外,防火墙不能防止---侵入)。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。
我们也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。
较新的防火墙能利用封包的多样属性来进行过滤,例如:来源 ip 地址、来源端口号、目的 ip 地址或端口号、服务类型(如 www 或是 ftp)。也能经由通信协议、ttl 值、来源的网域名称或网段...等属性来进行过滤。
下一代防火墙设备-盈富迈胜科技有限公司由北京盈富迈胜科技发展有限公司提供。北京盈富迈胜科技发展有限公司是从事“交换机,路由器,防火墙,无线ap,光模块”的企业,公司秉承“诚信经营,用心服务”的理念,为您提供---的产品和服务。欢迎来电咨询!联系人:田经理。
联系我们时请一定说明是在100招商网上看到的此信息,谢谢!
本文链接:https://tztz340201a1.zhaoshang100.com/zhaoshang/282113578.html
关键词:
滇公网安备 53011202000392号