华为防火墙设备选型-华思特-珠海防火墙设备

一、划分网络的边界

防火墙设备的其中一个功能，就是划分网络的边界，严格地将网络分为“外网”和“内网”。

“外网”则是防火墙认为的——不安全的网络，不受信任的网络；“内网”则是防火墙认为的——安全的网络，受信任的网络。

二、加固网络的安全

防火墙的其中一个功能，就是网络流量流向的问题（内到外可以访问，外到内默认不能访问），这就从一定程度上加强了网络的安全性，那就是：“内网属于私有环境，外人非请莫入！”

另外，防火墙还能从另外一些方面来加固内部网络的安全：

1：隐藏内部的网络拓扑

这种情况用于互联网防火墙。因为内网一般都会使用私有IP地址，而互联网是Internet的IP地址。

由于在IPv4环境下IP地址不足，内部使用大量的私有地址，转换到外部少量的Internet地址，这样的话，外部网络就不会了解到内部网络的路由，也就没法了解到内部网络的拓扑了。

同时，防火墙上还会使用NAT技术，将内部的服务器映射到外部，所以从外部访问服务器的时候只能了解到映射后的外部地址，根本不会了解到映射前的内部地址。

1.未能正确配置和协调防火墙，并使用越来越多基于云计算的安全基础设施

网络安全和存储产品供应商Barracuda Networks公司咨询工程师Stefan Schachinger表示，网络边界几乎已经消失，华为防火墙设备选型，如今防火墙只是分布式安全生态系统的一个组成部分。

将数据中心与分支机构、移动工作者和维护人员连接的组织需要连续的远程访问。与此同时，应用程序和数据资源正*转向IaaS和SaaS平台。Schachinger指出，“大多数公司正在向混合云环境过渡。保护这样的基础设施不仅仅需要防火墙。当今不断发展并且更加分散的环境需要一种分层的纵深防御方法，在这种方法中，防火墙需要与安全生态系统的其余部分协同工作。”

2.误用端口转发规则进行远程访问

在不限制端口或源IP地址的情况下，使用端口转发规则来完成对LAN端机的远程访问并不是一个好主意。Mushroom网络公司**执行官Jay Akin说，“这是一个常见的错误，因为它是设置远程访问的方法。”该公司是一家结合防火墙和其他安全属性的SD-WAN设备开发商。

而粗心大意的端口转发进行远程访问会显著增加安全漏洞的风险。“如果本地可信设备通过这个安全漏洞被未经授权的组织和个人实施访问和攻击，则可以进一步利用网络LAN部分中的可信设备来攻击其他设备或资产。”Akin解释说。