【化蝶】华为UTM -> NGFW特性变更对比,汇总版来啦

digest [复制链接]
发表于 : 2015-3-27 10:12:36 最新回复:2017-12-18 09:39:20
37556 51
强叔侃墙
强叔侃墙 官方号

【化蝶】华为UTM -> NGFW特性变更对比,汇总版来啦-1275265-1

很久没有在论坛上露面了,很想念大家,不知道有没有人想念强叔――的帖子呢?春节前我们说过,今年要开始写NGFW,Next-Generation Firewall,高大上的下一代防火墙。嗯,我们已经在准备了,答应大家的一定会来,好菜不怕晚,再耐心等等。

不过今天开启的,是专为华为的老朋友提供的加餐。

熟悉华为防火墙的朋友们都知道,我们以前USG系列产品宣传的是UTM+,是UTM产品。2013年我们开始讲NGFW,产品也从USG2000/USG5000变成了USG6000系列。硬件变了,软件也变了,而且变化还蛮大,明的暗的都有。从产品推广的角度看,UTM和NGFW像是两个完全不同的产品。但是对干活的兄弟们来说,都是防火墙,你跟我整这么多变更,呵呵。

听到了很多朋友抱怨,强叔这么有责任感的人当然不能装不知道啊,于是闭关一个月,给大家梳理了这么一份特性变更的帖子。如果说UTM+还是青虫子,NGFW已经华丽蜕变了,so,我们这一个系列就叫化蝶。从下周开始,陆续跟大家见面。

强叔选择对比的版本,分别是USG2000/USG5000 V300R001C10SPC500USG6000 V100R001C20SPC700版本。如果你也用过这两个系列的产品,已经**现了某些特性的变化,不妨也在这个帖子里回复一下,众人拾柴火焰高,咱也玩玩众筹(强叔兜里没钱哈)。

 

--------------------------------------**布记录列个表---------------------------------------

2015/03/30:Web管理界面

2015/04/01:License策略与配置

2015/04/07:系统管理与系统维护

2015/04/09:用户与认证

2015/04/15:IPSec(上)

2015/04/20:IPSec (下)

2015/04/23:SSL VPN

2015/04/28:双机热备

2015/04/30:日志与报表

2015/05/05:NAT

2015/05/06:网络

2015/05/08:多出口与智能选路

2015/05/11:DNS/智能DNS/透明DNS

2015/05/13:对象

2015/05/15:安全策略

2015/05/19:UTM与内容安全(上)

2015/05/21:UTM与内容安全(中)

2015/05/25:UTM与内容安全(下)

2015/05/29:带宽管理和配额管理

2015/05/30:安全防护

2015/06/01:虚拟系统

2015/07/31:硬件&产品文档

--------------------------------------**布记录列个表---------------------------------------

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
  • x
  • 常规:

点评 回复

跳转到指定楼层
梁陶
梁陶  导师 发表于 2015-4-4 12:39:37 已赞(0) 赞(0)

不错 持续关注

  • x
  • 常规:

点评 回复

灬谁在楼上的猫
灬谁在楼上的猫   发表于 2015-4-25 16:02:20 已赞(0) 赞(0)

回复 15 楼

firewall packet-filter default permit interzone local
firewall packet-filter default permit interzone trust dmz
  • x
  • 常规:

点评 回复

cnbmljs
cnbmljs   发表于 2015-4-25 17:18:55 已赞(0) 赞(0)

回复 16 楼

 

你好,你说的这个命令我知道,我是不想放开默认的包过滤策略,只想放开具体协议或是具体地址的策略,最细化匹配

  • x
  • 常规:

点评 回复

yangyi
yangyi   发表于 2015-4-26 21:50:31 已赞(0) 赞(0)

支持。。。坚持下去啊强叔

  • x
  • 常规:

点评 回复

强叔侃墙
强叔侃墙 官方号 发表于 2015-4-28 10:27:15 已赞(0) 赞(0)

回复 15 楼

这个例子中,要放行的域间就是我上面给你说的trust<-->dmz和local<-->untrust,与trust<-->untrust、dmz-untrust域间都没有关系。

这里大家容易有个错觉就是整体来看,流量是从trust安全域流入,从untrust安全域流出,所以认为这个域间要放行,而实际流量在设备内部的流向就是我上次图中给你画的那样。虽然封装以后的报文看起来是从dmz出来然后到了untrust区域,实际也不是这个样子的。

如果你想分析,可以先把安全策略全部放开,把GRE隧道先建立起来,然后再用display firewall session table命令查看会话表,会话表中会有两条记录,一条记录是封装前流量经过的域间;另一条记录(GRE)是封装后流量经过的域间。

  • x
  • 常规:

点评 回复

cbmieljs
cbmieljs   发表于 2015-4-28 15:09:38 已赞(0) 赞(0)

回复 19 楼

好的,明白了!

强叔,非常感谢你耐心的回答!

继续支持你!!!……

  • x
  • 常规:

点评 回复

说啥呢
说啥呢   发表于 2015-5-6 00:04:32 已赞(0) 赞(0)

变化的确挺大的,给我的感觉是防火墙不管低端还是中高端,每个的配置界面都不一样。建议统一一下界面,来实现功能上的差异而不是界面上的

  • x
  • 常规:

点评 回复

cnbmljs
cnbmljs   发表于 2015-4-21 20:08:05 已赞(0) 赞(0)

你好!

我想问一下NGFW 做GRE协议的时候策略的放行问题!

如果将防火墙A  G0/0/0口加入trsut区域,G0/0/1加入untrust区域,将Tunnel接口加入到DMZ区域

防火墙B  G0/0/0口加入trust区域,G0/0/1加入untrust区域,将Tunnel接口加入DMZ区域

那么,在NGFW配置 GRE 协议的时候,如果放行域间策略或是感兴趣流(防火墙A  内网地址段——防火墙B 内网地址段)

需要在哪个域间放到GRE协议通过,需要在哪个域间放行感兴趣流通过?

目前不知道数据流怎么走,请指教!谢谢……

 

  • x
  • 常规:

点评 回复

她的猫
她的猫   发表于 2015-4-21 21:24:51 已赞(0) 赞(0)

众人拾柴火焰高,可惜公司暂时没有6系的墙  预谋推荐给领导 搞一台玩玩

  • x
  • 常规:

点评 回复

发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录