厂商 :深圳市华思特科技有限公司
广东 深圳- 主营产品:
1.防火墙原理
通过匹配数据包中的源目IP地址及源目端口或者协议,地址转换及隐藏端口等,定义相应策略,从而实现需求及效果。2.作用2.1防止外部攻击,保护内网;
2.2在防火墙上做NAT地址转换(源和目的);
2.3基于源地址及目的地址应用协议及端口做策略规则,控制访问关系;
2.4限定用户访问特殊站点
2.5管理访问网络的行为
2.6做监管认证3.部署位置(以Hillstone SG6000为例)一般部署在出口位置,如出口路由器等,或者区域出口4.接入方式三层接入(需要做NAT转换,常用)
二层透明接入(透明接入不影响网络架构)
混合接入(一般有接口需要配置成透明模式,华为万兆防火墙,可以支持此模式)5.安全域划分5.1一般正常三个安全域untrust(外网)、trust(内网)、DMZ
5.2服务器网段也可自定义多个,外网接口ip地址:客户提供
5.3内网口ip地址:如果内网有多个网段,建议在中心交换机配置独立的VLAN网段,不要与内网网段相同。
5.4如果客户内网只有一个网段,没有中心交换机,则把防火墙内网口地址设置为客户内网地址段,并作为客户内网网关(使用于中小型网络)
5.5 DMZ口ip地址:建议配置成服务器网段的网关
什么是防火墙
墙,始于防,忠于守。自古至今,墙予人以安全之意。
防火墙,顾名思义,阻挡的是火,此词起源于建筑领域,正是用来隔离火灾,阻止火势从一个区域蔓延到另一个区域。
引入到通信领域,防火墙也正是形象化地体现了这一特点:防火墙这一具体设备,通常用于两个网络之间的隔离。当然,这种隔离是高明的,隔离的是“火”的蔓延,而又保证“人”的穿墙而过。这里的“火”是指网络中的各种攻击,而“人”是指正常的通信报文。
那么,用通信语言来定义,防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络侵入行为。因其隔离、防守的属性,万兆防火墙 报价,灵活应用于网络边界、子网隔离等位置,具体如企业网络出口、大型网络内部子网隔离、数据中心边界等等。
从上文可以看到,防火墙与路由器、交换机是有区别的。路由器用来连接不同的网络,h3c防火墙万兆,通过路由协议保证互联互通,确保将报文转发到目的地;交换机则通常用来组建局域网,作为局域网通信的重要枢纽,通过二层/三层交换快速转发报文;而防火墙主要部署在网络边界,对进出网络的访问行为进行控制,安全防护是其核心特性。路由器与交换机的本质是转发,防火墙的本质是控制。
现阶段中低端路由器与防火墙有合一趋势,主要也是因为二者互相功能兼具,变成all in one的目标,华为也发布了一系列此中低端设备。
下面我们将结合Tunnel接口介绍一下防火墙对GRE流量的转发过程
1. 企业的私si网流量到达防火墙的入接口,防火墙查询路由表对此流量进行转发。
2. 防火墙根据路由查找结果,中山万兆防火墙,将此流量引导到Tunnel接口进行GRE封装。
3. 封装后的GRE报文再次查找路由进行流量转发。
4. 防火墙根据路由查找结果,找到出接口,并将流量发送到Internet。
这就是防火墙对私si网流量进行GRE封装和转发的全过程,很简单吧。有些小伙伴肯定在想了,这里只介绍了封装过程,那隧道对端是如何解封装的?
其实解封装也很简单。首先隧道对端在接收到报文以后,先根据该报文目的地址判断是不是发给自己的,在
明确报文是发给自己以后,再去判断这个报文是不是GRE报文。怎么判断呢?在封装原理那幅图中我们可以看
到封装后的GRE报文会有个新的IP头,这个新的IP头中有个Protocol字段,字段中标识了内层协议类型,如果这
个Protocol字段值是47,就表示这个报文是GRE报文。
中山万兆防火墙-华思特-华为万兆防火墙由深圳市华思特科技有限公司提供。深圳市华思特科技有限公司(www.fastchina.net)为客户提供“机房建设,综合布线,智能安防,视频监控,网络集成等”等业务,公司拥有“华为,H3C,思科,DELL,联想,深信服,360等”等品牌。专注于网络工程等行业,在广东 深圳 有较高知名度。欢迎来电垂询,联系人:赖小姐。同时本公司(www.hst333.com)还是从事深圳华为交换机,广州华为交换机,东莞华为交换机的厂家,欢迎来电咨询。
