【干货】超硬核的华为防火墙安全攻略分享( 二 )

数据中心网络一般采用Spine-Leaf架构。 Spine为骨干节点负责流量高速转发， Leaf为叶子节点负责服务器、防火墙或其他设备接入。 Spine-Leaf之间全三层互联。
防火墙的发展历程
纵观防火墙的发展历史，防火墙经历了从低级到高级、从功能简单到功能复杂的过程。网络技术的不断发展和新需求的不断提出，推动着防火墙的发展。
防火墙从包过滤防火墙发展起经历了状态检测、统一威胁管理、NGFW等到AI防火墙，有以下特点：

访问控制越来越精细
防护能力越来越强
性能越来越高

本文插图
包过滤防火墙
包过滤是指基于五元组对每个数据包进行检测，根据配置的安全策略转发或丢弃数据包。
包过滤防火墙的基本原理是：通过配置访问控制列表（Access Control List ， ACL）实施数据包的过滤。

本文插图
包过滤防火墙主要基于数据包中的源/目的IP地址、源/目的端口号、IP 标识和报文传递的方向等信息。
包过滤防火墙的设计简单，非常易于实现，而且价格便宜。
包过滤防火墙的缺点主要表现以下几点：

随着ACL复杂度和长度的增加，其过滤性能呈指数下降；
静态的ACL规则难以适应动态的安全要求；
包过滤不检查会话状态也不分析数据，这很容易让黑客蒙混过关。例如，攻击者可以使用假冒地址进行欺骗，通过把自己主机IP地址设成一个合法主机IP地址，就能很轻易地通过报文过滤器。

状态检测防火墙
状态检测是包过滤技术的发展，它考虑报文前后的关联性，检测的是连接状态而非单个报文。
状态检测防火墙就是支持状态检测功能的防火墙。
状态检测防火墙通过对连接的首个数据包（后续简称首包）检测而确定一条连接的状态。后续数据包根据所属连接的状态进行控制（转发或阻塞）。

本文插图
AI防火墙
AI防火墙是结合AI技术的新一代防火墙。它通过结合AI算法或AI芯片等多种方式，进一步提高了防火墙的安全防护能力和性能。
华为AI防火墙，内置的恶意文件检测引擎CDE、诱捕Sensor、APT检测引擎和探针，支持与沙箱和华为大数据分析平台CIS联动检测，打造智能防御体系。

本文插图
华为HiSecEngine USG6000E系列是业界首批推出的AI防火墙。 AI防火墙没有统一的标准，例如通过用大量数据和算法“训练”防火墙，让其学会自主识别威胁；通过内置AI芯片，提高应用识别和转发性能，都可以被称为AI防火墙。