安全策略 |
您所在的位置:网站首页 › 家用燃气热水器怎么选购技巧视频 › 安全策略 |
1初识安全策略 小伙伴们,我们试想下如果防火墙把所有流量都拒绝了,内部用户将无法畅游网络,外部合法用户将无法访问内部资源。因此我们需要配置防火墙的一个特性,让它更好的实现防火墙的功能,这个特性就是安全策略。平时我们上班乘坐地铁,出差乘坐高铁或飞机,在这三个场所中都会有蓝色的标志“Security Check”,旁边站着一个工作人员“安检员”。他的作用就是检查乘客随身携带的物品是否安全,如安全放行通过,如不安全,拒绝通过。回顾下防火墙的作用是保护特定的网络免受“不信任”的网络的攻击和入侵,但还要允许网络之间进行合法的通信。安全策略的作用类似于“安检员”对通过防火墙的网络流量和抵达自身流量进行安全检查,满足安全策略条件的流量执行允许的动作才能通过防火墙。 2基本概念 上图所示,PC位于Untrust区域,HTTP Server位于Trust区域,假设我们希望PC可以访问HTTP Server,配置的策略应该是允许源区域Untrust,目的区域Trust,源IP地址202.100.1.100,目的IP地址192.168.1.100,源端口Any,目的端口是80,应用协议是TCP。 配置中可以看出防火墙安全策略由两大部分组成: a.条件:防火墙将报文中携带的信息与条件逐一对比,从而来判断报文是否匹配。 b.动作:允许(permit)和拒绝(deny),一条策略只能有一个动作。 如上图中每条策略中都包含了多个匹配条件,如安全区域、用户、应用等。各个匹配条件之间是“与”的关系,报文的属性与各个条件必须全部匹配,才认为该报文匹配这条规则。也就是说报文中的信息都要满足所有字段才能匹配。一个匹配条件中可以配置多个值,多个值之间是“或”的关系,报文的属性只要匹配任意一个值,就认为报文的属性匹配了这个条件。比如源区域有2个,目的IP有2个,那么这些匹配项之间是“或”的关系,也就是说只要报文的信息满足其中一项,就证明匹配了该条件。 安全策略配置完成后,PC就可以正常访问HTTP Server了,无需放行返回流量的安全策略,防火墙默认是基于状态化进行转发的,所以返回流量匹配会话表就转发了。
3匹配顺序 安全策略之间是存在匹配顺序的,防火墙会按照从上到下的顺序逐条查找相应安全策略。如果报文命中了某一条安全策略,就会执行该策略的动作,不会再继续向下查找;如果报文没有命中某一条安全策略,则会继续向下查找。 基于安全策略的匹配顺序,建议我们在配置安全策略时,应该遵循“先明细,后粗犷”的原则。比如我们配置两条trust--untrust安全策略,分别为192.168.0.0/24网段报文通过,192.168.1.1报文拒绝通过,防火墙在查找安全策略时,第一条策略192.168.0.0/24网段会匹配允许通过,第二条策略192.168.1.1报文永远也不会匹配到,这样我们实现控制的目的也没有达到。 如果还没有找到对应的安全策略,则会匹配默认的安全策略,动作为拒绝。默认安全策略的名字叫default,条件为any,动作为拒绝。大部厂商的安全策略都是这样定义的,缺省的为拒绝所有。个人认为如果小伙伴们在排错过程中,快速定位安全策略的问题,可以把默认策略动作配置为允许。如果报文可以通过,证明安全策略配置问题,然后配置正确的安全策略。非常不建议把防火墙安全策略配置为允许所有,因为这样存在极大的安全风险,防火墙也失去了意义。 华为防火墙安全策略控制可分三点:1.控制抵达自身和自身发起的流量,比如从外部网管防火墙,应该是untrust—>local之间的网管流量,如SSH、Telnet、HTTPS等。在比如防火墙要网管其它网络设备,应该是local—>到其它区域之间的网管流量 2.控制区域间的流量,比如untrust—>trust,trust—>dmz 3,控制区域内的流量,比如trust两台PC,我们不希望它们之间进行访问,那就是trust—> trust。 4安全配置案例 组网需求: a.仅要求互联网到Untrust接口ICMP和Telnet流量。 b.除192.168.1.2/32外,允许所有Trust主机可以访问互联网。 c.Untrust用户在周一至周五上班时间可以访问所有DMZ服务器资源。 d.Trust区域内PC1不能访问PC3资源。
5实验配置 #进入接口视图,启用管理功能。 [NGFW] int g1/0/1 [NGFW-GigabitEthernet1/0/1]service-manage enable [NGFW-GigabitEthernet1/0/1]service-manage ping permit [NGFW-GigabitEthernet1/0/1]service-manage telnet permit 注:对于抵达防火墙自身的流量建议接口开启。 #进入安全策略视图,配置相应策略 [NGFW]security-policy [NGFW-policy-security]rulename rule1 [NGFW-policy-security-rule-rule1]source-zone trust //可以指多个区域 [NGFW-policy-security-rule-rule1]destination-zone untrust //如果域内策略,目的为相同区域 [NGFW-policy-security-rule-rule1]source-address 192.168.1.1 32 [NGFW-policy-security-rule-rule1]action deny #创建时间范围,调用到安全策略 [NGFW]time-range worktime [NGFW-time-range-worktime]period-range 09:00:00 to 17:00:00 working-day [NGFW-policy-security]rulename rule3 [NGFW-policy-security-rule-rule3]time-range worktime #其它安全策略同理 |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |