華為防火墻應(yīng)用層過濾技術(shù)

1.文件類型過濾：主要針對不同類型（擴展名不同）的文件過濾，USG防火墻可以識別數(shù)據(jù)包攜帶的應(yīng)用層文件類型。其檢查過程并非只查詢文件的擴展名，而是基于文件內(nèi)容進行識別，如果發(fā)送方將a.exe文件改為a.docx，防火墻根據(jù)內(nèi)容將識別為EXE文件。

2.內(nèi)容過濾：基于HTTP中發(fā)送博客內(nèi)容、論壇發(fā)送帖子內(nèi)容、SMTP中的發(fā)送郵件主題及正文內(nèi)容、FTP中上傳和xia載文件的名稱，文件共享服務(wù)中的文件名稱等過濾，可以基于特定的文本過濾，也可以通過正則表達式過濾。

3.URL過濾：主要針對用戶訪問的互聯(lián)網(wǎng)頁面URL進行過濾，允許或拒絕用戶訪問某些類型的URL網(wǎng)站資源，以控制用戶對互聯(lián)網(wǎng)資源的使用。

華為防火墻默認有4個區(qū)域，分別是local，trust、untrust、dmz。

華為防火墻默認有4個區(qū)域，分別是local，trust、untrust、dmz。不同的區(qū)域擁有不同的受信優(yōu)先級。防火墻根據(jù)這些區(qū)域的受信優(yōu)先級來區(qū)分區(qū)域的保護級別。安全級別由1~100的阿拉伯?dāng)?shù)字來表示，數(shù)字越大，則代表該區(qū)域內(nèi)的網(wǎng)絡(luò)越可信。

trust區(qū)域：主要用于連接公司的內(nèi)部網(wǎng)絡(luò) 默認安全級別為 85。

untrust區(qū)域：定義為外部網(wǎng)絡(luò)，安全級別為5，安全級別很低。untrust區(qū)域表示不受信任的區(qū)域，互連網(wǎng)上威脅較多，所以把internet等不安全網(wǎng)絡(luò)劃入該區(qū)域。

Dmz區(qū)域：非軍人化區(qū)域， 在防火墻中通常定義為需要對外提供服務(wù)的網(wǎng)絡(luò)，其安全性介于trust區(qū)域和untrust區(qū)域之間，安全級別為50

local區(qū)域：通常定義防火墻本身安全級別為100

華為防火墻對于數(shù)據(jù)流的處理

狀態(tài)化信息防火墻對于數(shù)據(jù)流的處理，是針對首報文在訪問發(fā)起的方向檢查安全策略，如果允許轉(zhuǎn)發(fā)。同時將生成狀態(tài)化信息-會話表，而后續(xù)的報文及返回的報文如果匹配到該會話表，將直接轉(zhuǎn)發(fā)而不經(jīng)過策略的檢查，進而提高轉(zhuǎn)發(fā)效率。

防火墻通過五元組來區(qū)分一個數(shù)據(jù)流，即源IP、目標IP、協(xié)議、源端口號、目標端口。防火墻把具有相同五元組內(nèi)容的數(shù)據(jù)當(dāng)做一個數(shù)據(jù)流。

如果長時間沒有報文匹配，則說明雙方已經(jīng)斷開鏈接，不需要該會話了。此時防火墻會在一定時間后刪除該會話。