支援透明、路由和混合三種工作模式。
支援基於物件的網路訪問控制,包括網路層、應zz用層等多層次的訪問控制;支援url、指令碼、關鍵字、郵件等多種形式的內容過濾。
支援多種網路位址轉換(nat) 方式。
支援多種認證方式,如本地認證、證書認證、radius認證、 tacacs、securld、 ldap、 域認證等。
支援標準虛擬專用網。
內建ids模組,能夠自防禦land、smurf、 tearofdrop、 ping of death、synflood、targa3和ipsweep等 十幾種攻擊,具有抗dos/ddos攻擊功能。
基於topsec協議,實現與ids等多種安全產品的聯動。
支援天融信防火牆雙機熱備。
支援ipx、netbeui、vod、h.323v1/v2、 ssh協議。
支援dhcp,包括dhcp server、dhcp client以及dhcp relay
支援vlan與生成樹。
支援adsl接入與鏈路備份。
支援伺服器負載均衡功能。
區域劃分:可信網路、不可信網路、dmz區
特點:提供對外服務安全區域
能提供更為安全的系統結構
實施複雜性和費用較高
路由模式
在這種模式下,防火牆具備路由器**資料報的功能,將接收到的資料報的源mac位址替換為相應介面的mac位址,然後**。
該模式適用於每個區域都不在同乙個網段的情況。和路由器一樣 ,防火牆的每個介面均要根據區域規劃配置ip位址。
透明模式
在這種模式下,防火牆的所有介面均作為交換介面工作。也就是說,對於同一vlan的資料報在**時不作任何改動,包括ip和mac位址,直接把包**出去。
混合模式
這種模式是前兩種模式的混合。也就是說某些區域(介面)工作在透明模式下,而其他的區域(介面)工作在路由模式下。該模式適用於較複雜的網路環境。
防火牆設定策略時,首先要有已定義好的可操作物件,比如位址物件、服務物件、時間物件、區域物件等
位址物件: ip位址、mac位址、位址範圍、子網物件和位址組等
屬性物件:屬性物件和屬性組。 (指介面之類)
區域物件:通過與屬性物件繫結,定義區域的訪問許可權。
時間物件:包括多次迴圈的時間物件和單次時間物件。
介面和區域是兩個不同的概念
介面:防火牆的物理埠一一對應,如eth0、 eth1等。
區域:可以把區域看作是一 段具有相似安全屬性的網路空間。在區域的
劃分上,防火牆的區域和介面並不是一一對應的, 也就是說一- 個區域可
以包括多個介面。在安裝防火牆前,首先要對整個受控網路進行分析,
並根據網路裝置,如主機、伺服器等所需要的安全保護等級來劃分區域。
網路安全 防火牆知識點
一 防火牆的基本概念 定義 是一款具備安全防護功能網路裝置 隔離網路 將需要保護的網路與不可信任網路進行隔離,隱藏資訊並進行安全防護 二 防火牆的基本功能 訪問控制攻擊防護冗餘設計路由 交換日誌記錄虛擬專網vpnnat 三 防火牆產品及廠家 防火牆產品 h3c u200系列 四 區域隔離 防火牆區域...
網路安全筆記之防火牆
lesson5 防火牆 u 防火牆可在鏈路層 網路層 應用層上實現隔離。可以基於物理的,基於邏輯的 防火牆可以用於內部網路不通的安全域之間 防火牆是被動防禦裝置。預先設定策略。u 防火牆的功能 網路安全的屏障 過濾不安全的服務 內部提供的不安全符合和內部訪問外部的不安全服務 隔斷特定的網路攻擊 聯動...
網路安全 硬體防火牆ASA
狀態防火牆 英語 stateful firewall 一種能夠提供狀態資料報檢查 stateful packet inspection,縮寫為spi 或狀態檢視 stateful inspection 功能的防火牆,能夠持續追蹤穿過這個防火牆的各種網路連線 例如tcp與udp連線 的狀態。這種防火牆...