第三章 下一代防火墙通用原理
文章目录
- 一、防火墙技术发展历程
- 1、包过滤防火墙
- 1.1、定义
- 1.2、优点与缺点
- 1.3、应用场景
- 2、应用防火墙
- 2.1、定义
- 2.2、工作原理
- 2.3、核心特点
- 2.4、优点与缺点
- 2.5、应用场景
- 3、状态检测防火墙
- 3.1、定义
- 3.2、工作原理
- 3.3、优点与缺点
- 3.4、应用场景
- 4、统一威胁管理
- 4.1、定义
- 4.2、主要功能模块
- 4.3、优点与缺点
- 4.4、应用场景
- 5、下一代防火墙
- 5.1、定义
- 5.2、核心特性
- 5.3、工作原理
- 5.3.1、基础连接检查
- 5.3.2、用户身份识别
- 5.3.3、应用识别
- 5.3.4、SSL/TLS解密(MITM)
- 5.3.5、内容级安全检测
- 5.3.6、策略决策引擎
- 5.3.7、日志与审计
- 5.4、优点与缺点
- 5.4.1、优点
- 5.4.2、缺点
- 5.5、应用场景
- 二、防火墙安全区域
- 1、安全区域
- 1.1、定义
- 1.2、核心作用
- 1.3、常见的安全区域类型
- 1.4、安全区域的价值
- 2、Trust区域
- 3、Untrust区域
- 4、DMZ区域
- 5、Local区域
- 6、华为默认策略
- 7、总结对比表
- 三、华为防火墙产品线
- 1、主要产品系列
- 2、华为防火墙产品线对比表
- 3、如何选择合适的华为防火墙
一、防火墙技术发展历程
1、包过滤防火墙
1.1、定义
包过滤防火墙(Packet Filtering Firewall)是最早期、最基础的一种防火墙技术,工作在网络层(L3),通过对 IP 数据包的源地址、目标地址、端口号、协议类型和标志位等基本信息进行检查,依据预设规则决定是否放行数据包。
它通常集成在路由器或操作系统中,具有结构简单、性能高、对用户透明的优点,但缺乏上下文感知能力,安全性相对较低。
1.2、优点与缺点
| 特性 | 描述 |
|---|---|
| 优点 | - 结构简单、开销小 - 转发速度快 - 对用户完全透明 |
| 缺点 | - 无法识别应用层内容 - 不跟踪连接状态(无状态) - 易受 IP 欺骗攻击 - 难以处理动态端口协议(如 FTP) |
1.3、应用场景
| 应用场景 | 说明 | 如何使用包过滤防火墙 | 优点 | 缺点 |
|---|---|---|---|---|
| 企业网络出口 ACL 控制 | 在企业边界路由器上部署访问控制列表(ACL),限制内部主机对外部网络的访问 | 配置规则:允许内网访问公网 HTTP/HTTPS,禁止 P2P 或游戏端口(如迅雷 554) | - 性能高,不影响转发速度 - 易于在现有路由器上实现 | - 无法识别具体应用(如微信 vs 抖音) - 不支持用户身份认证 |
| 防止外部非法访问内部服务器 | 保护内部关键服务器(如数据库、文件服务器)不被外部随意访问 | 设置规则:只允许特定 IP 地址访问 SSH(22)、RDP(3389)等敏感端口 | - 简单有效防御扫描攻击 - 可快速阻断恶意源 IP | - 若攻击者伪造 IP(IP 欺骗)则无效 - 不能检测加密流量中的威胁 |
| 数据中心子网隔离 | 在不同业务子网之间进行基本隔离(如开发区与生产区) | 使用三层交换机或防火墙配置包过滤规则: 禁止开发网段访问生产数据库端口 | - 实现初步网络分区 - 减少横向移动风险 | - 无状态跟踪,安全性有限 - 难以精细化控制 |
| 家庭宽带路由器安全防护 | 家用路由器默认启用包过滤机制,阻止外部主动连接内网设备 | 启用“SPI 防火墙”或关闭 DMZ 主机,防止 WAN 到 LAN 的非法入站连接 | - 自动防护常见入侵尝试 - 对用户透明 | - 功能较弱,无法防病毒或钓鱼网站 |
| 云平台安全组底层实现基础 | 公有云(如阿里云、AWS)的安全组本质上是分布式包过滤规则引擎 | 用户设置入站/出站规则(如允许 0.0.0.0/0 访问 80 端口) | - 高性能、可扩展性强 - 支持细粒度 IP+端口控制 | - 不检查数据包内容 - 不识别应用层协议类型 |
| 嵌入式设备或物联网网关 | 资源受限设备中运行轻量级防火墙进行基础通信控制 | 在 Linux 系统中使用 iptables 实现静态规则过滤 | - 占用资源少,适合低功耗设备 - 易集成 | - 维护困难,策略易出错 - 无法应对复杂攻击 |
2、应用防火墙
2.1、定义
应用层网关防火墙(Application Layer Gateway Firewall,简称 ALG 防火墙)是工作在 OSI 模型第七层(应用层) 的一种高级防火墙技术,也被称为代理型防火墙(Proxy Firewall)。它通过“中间人”方式代理客户端与服务器之间的通信,深入检查并控制应用层协议的内容,从而实现更精细的安全策略。
2.2、工作原理
- 客户端不直接连接目标服务器。
- 防火墙作为代理服务器接收客户端请求,解析其内容后,再以自己的身份向真实服务器发起新连接。
- 所有数据必须经过防火墙的完整解码、分析和重建,因此可以:
- 过滤恶意内容(如 SQL 注入、跨站脚本)
- 强制执行安全策略
- 记录详细的访问日志
- 支持用户认证
🔍 举个例子:当用户访问
http://example.com时,应用层网关会先接收 HTTP 请求头和正文,检查是否包含<script>标签或' OR 1=1--等攻击特征,确认无害后再转发给目标网站。
2.3、核心特点
| 特性 | 描述 |
|---|---|
| 深度内容检查 | 可解析 HTTP、FTP、SMTP 等协议内容,识别恶意负载 |
| 完全隔离内外网络 | 内部用户无法直连外网,增强安全性 |
| 支持强身份认证 | 可集成用户名密码、数字证书等方式进行访问控制 |
| 详尽日志记录 | 可记录每个请求的方法、URL、参数、时间、用户等信息 |
| 协议合规性验证 | 可拒绝不符合 RFC 规范的异常报文(防御畸形包攻击) |
2.4、优点与缺点
| 类别 | 优点 | 缺点 |
|---|---|---|
| 安全性 | ✅ 提供深度应用层检查,能识别并阻止 XSS、SQL 注入、命令注入等高级攻击 ✅ 内外网络完全隔离,客户端无法直连目标服务器 ✅ 支持内容过滤和协议合规性验证,防止畸形报文攻击 | ❌ 若配置不当或未更新特征库,可能被绕过 ❌ 需要在客户端安装 CA 证书才能解密 HTTPS 流量,存在信任风险 |
| 访问控制 | ✅ 可基于用户身份(如用户名/证书)实施细粒度策略控制 ✅ 支持白名单机制,仅允许特定域名或应用通信 | ❌ 策略配置复杂,维护成本高 ❌ 不同应用协议需独立 ALG 模块(如 FTP ALG、SIP ALG),扩展性差 |
| 日志与审计 | ✅ 记录完整的请求信息(URL、方法、参数、时间、用户等) ✅ 满足等保、GDPR 等合规性要求,便于安全审计 | ❌ 日志数据量大,需要专门的日志管理系统(如 SIEM)进行分析 |
| 性能表现 | ✅ 无直接优势,通常为性能瓶颈点 | ❌ 性能开销大:每个连接需建立两次会话(客户端 ↔ 代理,代理 ↔ 服务器) ❌ 解析和重建应用层数据导致延迟增加,影响用户体验 |
| 协议支持 | ✅ 能理解 HTTP、FTP、SMTP、DNS 等多种应用层协议 ✅ 可对协议行为做合法性校验(如 FTP PORT 命令解析) | ❌ 对加密协议(如 TLS 1.3)支持困难,难以实现中间人解密 ❌ 新兴协议(如 QUIC、WebSocket)可能不被现有 ALG 支持 |
| 部署与管理 | ✅ 在高安全场景下仍被认为是可靠方案 | ❌ 部署复杂,需调整客户端网络设置(如手动配置代理) ❌ 故障排查难度高,容易引发连接失败或功能异常(如文件上传失败) |
2.5、应用场景
| 场景 | 说明 |
|---|---|
| 企业上网行为管理 | 限制员工访问社交、视频网站,并记录所有浏览行为 |
| 金融行业 Web 安全防护 | 在银行内部部署反向 ALG,过滤所有进入 Web 应用的请求,防御 OWASP Top 10 攻击 |
| 安全审计与合规 | 满足等保、GDPR 等法规要求,提供完整的访问日志 |
| 高安全等级网络(如军工、政府) | 实现“双主机隔离 + ALG 协议剥离”,确保物理隔离下的可控数据交换 |
3、状态检测防火墙
3.1、定义
状态检测防火墙(Stateful Inspection Firewall),也称为动态包过滤防火墙,是第二代防火墙技术的核心代表。它不仅检查每个数据包的 IP 地址、端口和协议等基本信息(如传统包过滤防火墙),还维护一个连接状态表(State Table),用于跟踪网络通信的完整会话过程。
3.2、工作原理
- 防火墙会为每一个通过它的网络连接(如 TCP 三次握手)创建一条会话记录(Session Entry)。
- 每条记录包含:
- 源 IP、源端口
- 目标 IP、目标端口
- 协议类型(TCP/UDP/ICMP)
- 当前连接状态(NEW、ESTABLISHED、RELATED、CLOSED)
- 后续的数据包只有在匹配现有会话时才被允许通过。
- 对于返回流量(例如服务器响应客户端请求),即使规则中没有显式允许,只要它是某个已发起连接的回应,就会被自动放行。
🌐 举例:当内网用户访问
http://www.example.com时,防火墙记录该出站连接。当外部服务器返回 HTTP 响应时,防火墙查看状态表发现这是“已建立连接”的回包,予以放行 —— 而无需额外开放入站 80 端口给所有人。
3.3、优点与缺点
| 类别 | 优点 | 缺点 |
|---|---|---|
| 安全性 | ✅ 可识别并阻止不属于任何合法会话的“孤立项”数据包 ✅ 抵御 IP 欺骗、端口扫描等攻击 | ❌ 无法深入分析应用层内容(如 XSS、SQL 注入) ❌ 对加密流量(HTTPS)只能基于连接信息做判断 |
| 灵活性 | ✅ 不需要为返回流量单独写规则,提升策略效率 ✅ 支持动态端口分配(如 FTP 数据连接) | ❌ 对无连接协议(如 UDP、ICMP)的状态管理较弱 |
| 性能与资源 | ✅ 相比应用层网关性能更高,延迟更低 | ❌ 会话表占用内存,高并发下可能耗尽资源 ❌ 大量短连接可能导致状态表震荡 |
| 协议兼容性 | ✅ 支持主流 TCP/UDP 应用 | ❌ 对复杂协议(如 SIP、PPTP)需专门 ALG 模块辅助 |
| 部署与维护 | ✅ 可透明部署在网络边界,不影响客户端配置 | ❌ 日志分析复杂,需结合会话上下文理解行为 |
3.4、应用场景
| 应用场景 | 是否推荐 | 原因 |
|---|---|---|
| 企业互联网出口 | ✅ 强烈推荐 | 平衡安全与性能的最佳选择 |
| 云服务器边界防护 | ✅ 推荐 | 与云平台安全组深度集成 |
| 远程办公/VPN接入 | ✅ 推荐 | 支持动态连接跟踪 |
| Web应用前端防护 | ⚠️ 有限使用 | 可防基础攻击,但无法替代WAF |
| 高安全性区域(如军工) | ❌ 不足 | 需升级到应用层网关或NGFW |
| 内网微隔离(Micro-segmentation) | ✅ 可用 | 配合SDN实现东西向流量控制 |
4、统一威胁管理
4.1、定义
统一威胁管理(Unified Threat Management, UTM) 是一种集成了多种网络安全功能的一体化设备或平台,通常以硬件防火墙、软件网关或虚拟设备的形式部署在网络边界。它将传统防火墙、入侵检测/防御、防病毒、内容过滤、VPN、应用控制等多种安全能力整合到一个系统中,实现集中管理与策略协同。
UTM 的核心理念是:“一站式安全防护”,特别适合中小型企业(SMB)、分支机构和教育机构等资源有限但需要全面防护的场景。
4.2、主要功能模块
| 模块 | 功能说明 |
|---|---|
| 1. 状态检测防火墙 | 基础访问控制,基于会话状态允许/阻止流量 |
| 2. 入侵检测与防御系统(IDS/IPS) | 实时监控网络流量,识别并阻断漏洞利用、扫描、DoS等攻击行为 |
| 3. 防病毒网关(AV Gateway) | 扫描 HTTP、FTP、SMTP 等协议中的文件,防止恶意软件传播 |
| 4. 内容过滤与URL过滤 | 屏蔽非法、色情、赌博类网站;支持黑白名单和分类数据库 |
| 5. 应用识别与控制(Application Control) | 识别微信、抖音、P2P下载等应用,并进行限速或禁止 |
| 6. 虚拟专用网络(VPN) | 支持IPsec、SSL VPN,用于远程办公和站点互联 |
| 7. 数据泄露防护(DLP) | 检测敏感信息(如身份证号、银行卡)外发行为 |
| 8. 日志审计与报表系统 | 记录所有安全事件,生成可视化报告,满足合规要求 |
4.3、优点与缺点
| 优势 | 缺点 |
|---|---|
| ✅ 部署简单,一体化管理界面 | ❌ 功能越多性能开销越大,可能成为瓶颈 |
| ✅ 成本低,适合预算有限组织 | ❌ 各模块可能不如专业设备深入(如NGFW、EDR) |
| ✅ 支持集中策略管理和固件升级 | ❌ 若设备故障可能导致全网中断(单点故障) |
| ✅ 内部模块可联动(如IPS发现攻击后自动封IP) | ❌ 高级威胁(APT、零日攻击)防御能力有限 |
4.4、应用场景
| 场景 | 说明 |
|---|---|
| 中小企业互联网出口 | 替代多个独立安全设备,节省成本和机房空间 |
| 学校/培训机构网络管理 | 过滤不良内容、限制游戏、保障教学秩序 |
| 连锁门店总部互联 | 通过内置VPN实现安全组网,集中策略下发 |
| 远程办公接入 | 提供SSL VPN让用户安全访问内部资源 |
| 医疗/制造业边缘防护 | 隔离OT网络,防止勒索病毒横向扩散 |
5、下一代防火墙
5.1、定义
下一代防火墙(Next-Generation Firewall, NGFW) 是在传统状态检测防火墙基础上发展而来的高级网络安全设备,它不仅能够基于端口、IP 和协议进行访问控制,还能深入识别用户、应用、内容,并集成多种安全功能(如入侵防御、防病毒、URL过滤等),实现更精细化和智能化的安全策略管理。
NGFW 的核心目标是应对现代网络中日益复杂的威胁(如 APT 攻击、加密流量攻击、内部横向移动等),尤其适用于企业数据中心、云环境和远程办公场景。
5.2、核心特性
| 特性 | 说明 |
|---|---|
| 🔹 应用层识别与控制 | 可识别微信、钉钉、抖音、Teams、Zoom 等具体应用,而不仅仅是“HTTP 流量” |
| 🔹 用户身份感知 | 结合 AD/LDAP/Radius 认证系统,实现“张三不能用百度网盘”的细粒度策略 |
| 🔹 深度包检测(DPI) | 解析数据包载荷,识别加密流量中的行为特征(即使使用 HTTPS) |
| 🔹 集成威胁防护 | 内置 IPS、AV、沙箱、C2 回联检测等功能,提供纵深防御 |
| 🔹 SSL/TLS 解密能力 | 对加密流量进行中间人解密(MITM),检查其中是否隐藏恶意内容 |
| 🔹 可视化与智能分析 | 提供应用流量图谱、用户行为画像、异常连接告警等 |
| 🔹 支持 SD-WAN 与云部署 | 可作为虚拟防火墙部署在 AWS/Azure 或容器环境中 |
5.3、工作原理
NGFW 的工作流程是一个多阶段、深度解析、策略联动的过程。以下是其典型的数据包处理流程:
[ 数据包进入 ] ↓
→ 1. 基础连接检查(源/目的IP、端口、协议)↓
→ 2. 用户身份识别(查询会话表 → 绑定用户名)↓
→ 3. 应用识别(DPI + 特征匹配 + 行为分析)↓
→ 4. SSL/TLS 解密(若启用,执行 MITM 解密)↓
→ 5. 内容检测(IPS、AV、DLP、URL过滤)↓
→ 6. 查询安全策略(基于 用户+应用+时间+地点)↓
→ 7. 日志记录 & 告警触发↓
[ 允许 / 阻断 / 限速 / 重定向 ]
5.3.1、基础连接检查
- 判断是否为合法 TCP/UDP 会话。
- 使用状态检测技术维护连接表(Connection Table),防止非法 SYN 泛洪。
5.3.2、用户身份识别
- 将源 IP 映射到实际用户:
- 方式一:集成 AD/LDAP,监听认证事件(如 Windows 登录)。
- 方式二:通过 Captive Portal(强制门户)让用户登录。
- 示例:
192.168.1.100 → zhangsan@company.com
5.3.3、应用识别
| 方法 | 说明 |
|---|---|
| 端口+协议匹配 | 基础方式,但易被绕过(如微信走443) |
| 特征码匹配(Signature) | 匹配已知应用的流量特征,如 HTTP 头中的 User-Agent: MicroMessenger |
| 协议行为分析 | 分析握手顺序、数据包大小、频率等行为特征(如 P2P 下载) |
| TLS 指纹识别(JA3) | 提取客户端 TLS ClientHello 的指纹,识别特定应用(如 Zoom 客户端) |
| DNS 请求分析 | 通过解析域名判断是否为视频、广告、恶意站点 |
📌 示例:即使抖音使用 HTTPS 加密,也可通过
SNI=douyincdn.com+JA3指纹准确识别。
5.3.4、SSL/TLS解密(MITM)
- NGFW 作为“中间人”介入 HTTPS 通信:
- 客户端请求访问
https://pan.baidu.com - NGFW 拦截请求,用自己的 CA 证书生成一个伪造证书返回给客户端
- NGFW 与目标服务器建立真实 HTTPS 连接
- 所有流量被明文处理,可用于 IPS、DLP 检测
- 客户端请求访问
- ⚠️ 前提:客户端必须信任 NGFW 的根证书(通常通过域策略自动推送)
5.3.5、内容级安全检测
- IPS(入侵防御系统):匹配 CVE 漏洞利用特征(如 SQL 注入、Shellcode)
- AV(防病毒网关):扫描文件传输(HTTP 下载、邮件附件)是否有病毒
- DLP(数据防泄漏):检测是否包含身份证号、银行卡、公司机密文本
- URL 过滤:阻止访问钓鱼、赌博、恶意网站
5.3.6、策略决策引擎
最终根据以下维度综合判断是否放行:
if user in ["zhangsan"] and app == "baiduwangpan":action = "deny"
elif app == "office365" and time in business_hours:action = "allow"
else:action = "inspect_deeply"
5.3.7、日志与审计
所有事件写入日志,供 SIEM/SOC 平台分析,并满足等保、GDPR 等合规要求。
5.4、优点与缺点
5.4.1、优点
| 优点 | 说明 |
|---|---|
| 1. 精细化的应用识别与控制 | 不再仅基于端口和协议(如“TCP 80 = HTTP”),而是能识别具体应用,例如:微信、Zoom、抖音、迅雷等。可实现“允许使用钉钉但禁止使用百度网盘”。 |
| 2. 用户身份感知策略 | 可集成 AD/LDAP/RADIUS 认证系统,将安全策略绑定到“用户”而非“IP 地址”,解决动态 IP 和 BYOD 问题。例如:“财务部员工不能访问社交网站”。 |
| 3. 深度包检测(DPI)能力 | 解析应用层数据流,提取特征进行分类和威胁判断,即使加密流量也能通过 SNI、行为模式等方式识别。 |
| 4. 集成多种安全功能 | 内置 IPS、防病毒、URL 过滤、沙箱联动、C2 回联检测等功能,避免多设备串联带来的性能瓶颈和管理复杂性。 |
| 5. 支持 SSL/TLS 解密(MITM) | 对 HTTPS 流量进行中间人解密,检查其中是否隐藏恶意软件或敏感信息外泄,是应对现代加密攻击的关键手段。 |
| 6. 提供可视化与智能分析 | 展示实时应用流量图谱、用户行为画像、异常连接告警,帮助安全运维人员快速发现风险。 |
| 7. 支持云化与虚拟化部署 | 可作为虚拟防火墙部署在 AWS、Azure、VMware 等环境中,适应混合云和 SD-WAN 架构。 |
5.4.2、缺点
| 缺点 | 说明 |
|---|---|
| 1. 性能开销大 | 启用 DPI、SSL 解密、IPS 等功能后,处理延迟显著增加,可能成为网络瓶颈,需高性能硬件支持。 |
| 2. 部署复杂度高 | 需要配置证书用于 SSL 解密、对接目录服务、更新签名库等,对技术人员要求较高。 |
| 3. 存在隐私合规风险 | SSL 解密意味着可以查看用户的加密通信内容,在某些国家/行业(如医疗、金融)可能违反 GDPR、HIPAA 等法规。 |
| 4. 成本较高 | 相比传统防火墙,NGFW 设备价格更高,且高级功能(如沙箱联动、威胁情报订阅)通常需要额外授权费用。 |
| 5. 无法完全防御零日攻击 | 虽然有 IPS 和沙箱,但对于高度定制化的 APT 攻击仍可能存在漏检。 |
| 6. 单点故障风险 | 若 NGFW 故障或重启,可能导致整个网络中断,必须考虑冗余部署(HA 双机热备)。 |
5.5、应用场景
| 场景 | 说明 |
|---|---|
| 企业互联网出口 | 替代传统防火墙,防止员工滥用带宽、泄露数据 |
| 零信任网络架构(ZTNA) | 作为策略执行点,实现“从不信任,始终验证” |
| 远程办公安全接入 | 结合 SSL VPN + 应用控制,限制远程用户只能访问指定系统 |
| 数据中心东西向隔离 | 防止服务器之间横向移动攻击(如勒索病毒扩散) |
| 云安全防护 | 部署虚拟 NGFW 实例保护 VPC/VNet 流量 |
二、防火墙安全区域
1、安全区域
1.1、定义
防火墙安全区域(Security Zone) 是一种将网络接口或子网逻辑分组的机制,用于定义不同网络环境的信任级别和访问控制策略。通过划分安全区域,防火墙可以实施“域间策略”来控制数据流的方向与权限,是构建企业级网络安全架构的基础。
1.2、核心作用
| 作用 | 说明 |
|---|---|
| 1. 简化策略管理 | 不再对单个接口写规则,而是基于“源区域 → 目标区域”统一配置策略 |
| 2. 明确信任边界 | 清晰划分哪些网络可信、哪些不可信 |
| 3. 控制流量方向 | 默认禁止跨区域通信,必须显式授权才能通行 |
| 4. 支持 NAT、ACL、IPS 等策略绑定 | 可在区域级别启用地址转换、内容过滤等功能 |
1.3、常见的安全区域类型
| 安全区域 | 别名 | 用途说明 | 信任等级 |
|---|---|---|---|
| Trust | LAN / Internal | 内部用户网络(如 192.168.1.0/24) | 高 ✅ |
| Untrust | WAN / External | 外部互联网出口 | 低 ❌ |
| DMZ | Demilitarized Zone | 托管 Web、Mail 等对外服务服务器 | 中 ⚠️ |
| Management | MGT | 仅用于设备管理访问(SSH/SNMP/WebUI) | 特殊 🔐 |
| Guest | WiFi-Guest | 访客无线网络,隔离内网 | 极低 🚫 |
| VPN | Remote Access | 远程员工或分支机构接入的虚拟网络 | 按需设置 |
1.4、安全区域的价值
| 优势 | 说明 |
|---|---|
| 结构化网络设计 | 清晰划分信任边界,提升可维护性 |
| 策略集中管理 | 减少重复规则,降低配置错误风险 |
| 增强安全性 | 默认拒绝跨区域通信,符合零信任理念 |
| 支持复杂拓扑 | 适用于多分支、云混合、远程接入等场景 |
2、Trust区域
- 安全级别:85
- 含义:代表企业内部受保护的网络,通常是员工使用的局域网(LAN),例如
192.168.1.0/24 - 典型接口:
- 内网交换机连接口(如
GigabitEthernet1/0/1) - 核心交换机下行口
- 内网交换机连接口(如
- 访问策略特点:
- 可以主动访问
Untrust和DMZ - 默认禁止外部主动访问本区域(除非配置 NAT Server 或策略放行)
- 可以主动访问
- 应用场景:
- 员工上网
- 访问 OA、ERP 系统
- 远程办公用户通过 SSL VPN 接入后映射到 Trust 区域
3、Untrust区域
- 安全级别:5
- 含义:代表外部不可信网络,通常是互联网出口
- 典型接口:
- 连接运营商光纤的 WAN 口(如
GigabitEthernet1/0/2) - 5G 模块或 ADSL 接口
- 连接运营商光纤的 WAN 口(如
- 访问策略特点:
- 默认不能访问
Trust区域(防止攻击渗透) - 可被允许访问
DMZ(如访问 Web 服务器) - 出站流量可被 NAT 转换后访问外网
- 默认不能访问
- 防护重点:
- 启用 IPS、防病毒、URL 过滤
- 防止 DDoS、端口扫描、恶意软件下载
4、DMZ区域
- 安全级别:50
- 含义:介于内外网之间的缓冲区,用于部署对外提供服务但又需与内网隔离的服务器
- 典型服务器:
- Web 服务器(HTTP/HTTPS)
- 邮件服务器(SMTP/POP3/IMAP)
- DNS 服务器
- FTP 服务器
- 访问策略特点:
- 允许
Untrust用户访问特定服务(如 80/443) - 限制
DMZ服务器访问Trust内网(仅开放必要端口) - 禁止
DMZ主动发起对内网的连接(除非明确授权)
- 允许
- 安全目标:
- 即使 DMZ 服务器被攻破,也不会直接影响内网
5、Local区域
- 安全级别:100(最高)
- 含义:特指防火墙设备自身的所有管理和服务接口
- 不对应物理接口,而是逻辑上的“自己”
- 涉及的服务包括:
- Web UI(HTTPS 8443)
- SSH / Telnet 登录
- SNMP 监控
- NTP、Syslog 上报
- API 接口调用
- 访问控制原则:
- 默认拒绝所有区域访问 Local(保障设备安全)
- 必须显式配置“管理策略”才允许远程登录
- 推荐仅允许
Trust或专用Management区域访问
6、华为默认策略
| 规则 | 说明 |
|---|---|
| 同区域互通 | 默认允许(可关闭) |
| 高优先级 → 低优先级 | 默认允许(如 Trust → Untrust) |
| 低优先级 → 高优先级 | 默认拒绝(如 Untrust → Trust) |
| 跨区域通信 | 必须配置 interzone 安全策略才能通行 |
| 任何区域 → Local | 默认拒绝,必须单独配置管理策略 |
✅ 这种“高→低通,低→高阻”的机制符合最小权限和纵深防御理念。
7、总结对比表
| 区域 | 安全级别 | 是否默认存在 | 典型用途 | 是否允许外部主动访问 |
|---|---|---|---|---|
| Trust | 85 | ✅ | 内网办公用户 | ❌(需策略+NAT) |
| Untrust | 5 | ✅ | 互联网接入 | ✅(自身出向) |
| DMZ | 50 | ✅ | 对外服务器 | ✅(策略控制) |
| Local | 100 | ✅ | 防火墙设备自身 | ❌(严格限制) |
三、华为防火墙产品线
1、主要产品系列
| 产品系列 | 定位 | 典型应用场景 |
|---|---|---|
| USG6000E 系列 | 下一代防火墙(NGFW),主力中高端型号 | 企业总部、园区网、分支机构 |
| USG6000 系列 | 传统/基础型防火墙(部分已逐步被6000E替代) | 中小企业边界防护 |
| USG9500 系列 | 高端 T 级防火墙,电信级性能 | 大型企业核心、运营商、数据中心 |
| USG-FV 系列 | 虚拟化防火墙(软件形态) | 云计算、私有云、NFV 环境 |
| HiSecEngine 系列 | 新一代智能安全引擎品牌升级 | 统一安全架构下的高级威胁防御 |
2、华为防火墙产品线对比表
| 特性 | USG6000E | USG6000 | USG9500 | USG-FV |
|---|---|---|---|---|
| 是否下一代防火墙(NGFW) | ✅ | ❌(有限) | ✅✅✅ | ✅ |
| 最大吞吐量 | ~40 Gbps | <5 Gbps | Tbps 级 | 取决于宿主机 |
| 是否支持应用识别 | ✅ >6000种 | ✅(较少) | ✅✅✅ | ✅ |
| 是否支持 SSL 解密 | ✅ | ⚠️部分 | ✅✅✅ | ✅ |
| 是否支持 IPS/AV | ✅ | ⚠️需外接 | ✅ | ✅ |
| 是否支持 SD-WAN | ✅ | ❌ | ✅✅✅ | ✅(部分) |
| 是否支持虚拟化部署 | ❌ | ❌ | ❌ | ✅✅✅ |
| 是否支持集群/堆叠 | ⚠️双机热备 | ❌ | ✅✅✅ | ✅ |
| 是否属于 HiSec 生态 | ✅ | ❌ | ✅✅✅ | ✅ |
| 适用客户规模 | 中大型企业 | 小型企业 | 超大规模组织 | 云环境 |
3、如何选择合适的华为防火墙
| 客户类型 | 推荐型号 | 说明 |
|---|---|---|
| 小型企业、门店 | USG6315E | 成本低,易部署 |
| 中型企业总部 | USG6370E / USG6390E | 支持完整 NGFW 功能 |
| 大型企业/集团 | USG9500 系列 + SecoManager | 高性能、集中管理 |
| 云平台/数据中心 | USG-FV + OpenStack | 虚拟化部署 |
| 客户规模 | 中大型企业 | 小型企业 |