安全策略? 包過濾能夠通過報(bào)文的源MAC地址��、目的MAC地址����、源IP地址���、目的IP地址、源端口號(hào)��、目的端口號(hào)�、上層協(xié)議等信息組合定義網(wǎng)絡(luò)中的數(shù)據(jù)流,其中源IP地址���、目的IP地址����、源端口號(hào)�、目的端口號(hào)、上層協(xié)議就是在狀態(tài)檢測防火墻中經(jīng)常所提到的五無組����,統(tǒng)防火墻根據(jù)五元組的包過濾規(guī)則來控制流量在安全區(qū)域間的轉(zhuǎn)發(fā)
? 下一代防火墻的安全策略不僅可以完全替代包過濾的功能,還進(jìn)一步實(shí)現(xiàn)了基于用戶和應(yīng)用的流量轉(zhuǎn)發(fā)控制��,而且還可以對(duì)流量的內(nèi)容進(jìn)行安全檢測和處理�����,在源/目的安全區(qū)域�����、時(shí)間段���、用戶�����、應(yīng)用等多個(gè)維度對(duì)流量進(jìn)行了更細(xì)粒度的控制
 安全策略與包過濾的區(qū)別
安全策略原理? 防火墻的基本作用是保護(hù)特定網(wǎng)絡(luò)免受“不信任”的網(wǎng)絡(luò)的攻擊�����,但是同時(shí)還必須允許兩個(gè)網(wǎng)絡(luò)之間可以進(jìn)行合法的通信
? 安全策略的作用就是對(duì)通過防火墻的數(shù)據(jù)流進(jìn)行檢驗(yàn)�����,符合安全策略的合法數(shù)據(jù)流才能通過防火墻
? 安全策略是控制設(shè)備對(duì)流量轉(zhuǎn)發(fā)以及對(duì)流量進(jìn)行內(nèi)容安全一體化檢測的策略
? 控制各個(gè)區(qū)域之間流量通信�,默認(rèn)所有區(qū)域之間不能通信
 默認(rèn)的安全策略是deny
<FW1>display security-policy all
11:30:03 2019/06/16
Total:1
RULE ID RULE NAME STATE ACTION HITTED
-------------------------------------------------------------------------------
0 default enable deny 54 安全策略內(nèi)容? 策略匹配條件:
? 源安全域��,目的安全域���,源地址����,目的地址,用戶�����,服務(wù)���,應(yīng)用�,時(shí)間段
? 策略動(dòng)作:
? 允許�,禁止
? 內(nèi)容安全profile:(可選,策略動(dòng)作為允許的時(shí)候執(zhí)行)
? 反病毒���,入侵防御�,URL過濾����,文件過濾,內(nèi)容過濾��,應(yīng)用行為控制�����,郵件過濾
 安全策略工作流程1) NGFW會(huì)對(duì)收到的流量進(jìn)行檢測,檢測出流量的屬性���,包括:源安全區(qū)域、目的安全區(qū)域����、源地址/地區(qū)、目的地址/地區(qū)�����、用戶�����、服務(wù)(源端口�、目的端口、協(xié)議類型)�����、應(yīng)用和時(shí)間段
2) 如果所有條件都匹配����,則此流量成功匹配安全策略��。如果其中有一個(gè)條件不匹配�,則繼續(xù)匹配下一條安全策略���。以此類推���,如果所有安全策略都不匹配,則NGFW會(huì)執(zhí)行缺省安全策略的動(dòng)作(默認(rèn)為禁止)
3) 如果流量成功匹配一條安全策略�����,NGFW將會(huì)執(zhí)行此安全策略的動(dòng)作�����。如果動(dòng)作為禁止�����,則NGFW會(huì)阻斷此流量��。如果動(dòng)作為允許����,則NGFW會(huì)判斷安全策略是否引用了安全配置文件����。如果引用了安全配置文件���,則繼續(xù)進(jìn)行步驟4的處理�����;如果沒有引用安全配置文件,則允許此流量通過
4) 如果安全策略的動(dòng)作為“允許”且引用了安全配置文件���,則NGFW會(huì)對(duì)流量進(jìn)行內(nèi)容安全的一體化檢測
5) 一體化檢測是指根據(jù)安全配置文件的條件對(duì)流量的內(nèi)容進(jìn)行一次檢測�����,根據(jù)檢測的結(jié)果執(zhí)行安全配置文件的動(dòng)作���。如果其中一個(gè)安全配置文件阻斷此流量,則NGFW阻斷此流量�����。如果所有的安全配置文件都允許此流量轉(zhuǎn)發(fā)���,則NGFW允許此流量轉(zhuǎn)發(fā)
 安全策略配置執(zhí)行security-policy命令進(jìn)入安全策略視圖
執(zhí)行rule name rule-name命令創(chuàng)建一個(gè)安全策略并進(jìn)入該策略視圖
action { permit | deny } 配置安全策略執(zhí)行動(dòng)作 必須配置
source-zone { zone-name &<1-6> | any } 指定源安全區(qū)域
source-address {ipv4-address ipv4-mask-length} 指定源地址
destination-zone { zone-name &<1-6> | any } 指定目的安全區(qū)域
destination-address {ipv4-address ipv4-mask-length} 指定目的地址
service { service-name &<1-6> | any } 指定服務(wù)類似
application { any | app app-name &<1-6> | app-group app-group-name &<1-6> | category category-name [ sub-category sub-category-name ] &<1-6 } 配置安全策略規(guī)則的應(yīng)用
user { user-name &<1-6> | any } 配置用戶信息
profile { app-control | av | data-filter | file-block | ips | mail-filter | url-filter } name 配置安全策略規(guī)則引用安全配置文件
在安全視圖下可對(duì)已配置的規(guī)則進(jìn)行調(diào)整:建議在圖形化界面完成
rule copy rule-name new-rule-name 復(fù)制安全策略規(guī)則
rule move rule-name1 { after | before } rule-name2 移動(dòng)安全策略規(guī)則�,從而改變安全策略規(guī)則的優(yōu)先級(jí)
rule rename old-name new-name 重新命名安全策略規(guī)則
? 安全策略配置舉例:
[sysname] security-policy
[sysname-policy-security] rule name policy_sec
[sysname-policy-security-rule-policy_sec] source-address 1.1.1.1 24
[sysname-policy-security-rule-policy_sec] source-zone untrust
[sysname-policy-security-rule-policy_sec] destination-address geo-location BeiJing
[sysname-policy-security-rule-policy_sec] service h323
[sysname-policy-security-rule-policy_sec] action permit
[sysname-policy-security-rule-policy_sec] profile av profile_av 匹配條件(各種對(duì)象 )源目區(qū)域默認(rèn)4個(gè),可以自定義 firewall zone name XXX
set priority X(不能配置5 50 85 100) 
源目地址/地區(qū)/地址組ip address-set trust_network type object
address 0 10.1.1.0 mask 24
address 1 10.1.2.0 mask 24
address 2 10.1.3.0 mask 24
address 3 10.1.4.0 mask 24
#
ip address-set dmz_network type object
address 0 192.168.1.1 mask 32
address 1 192.168.1.2 mask 32
ip address-set key type object
address 0 range 192.168.1.3 192.168.1.13 
ip address-set all_network type group
address 0 address-set dmz_network
address 1 address-set trust_network
用戶/用戶組
服務(wù)/服務(wù)組? 預(yù)定義服務(wù)和自定義服務(wù)
1) 預(yù)定義服務(wù)直接被調(diào)用
2) 自定義服務(wù)需要先定義 ip service-set ospf type object ----服務(wù)
service 0 protocol 89
ip service-set all_service type group ----服務(wù)組
service 0 service-set ftp
service 1 service-set http
service 2 service-set https
應(yīng)用/應(yīng)用組? 自定義應(yīng)用和預(yù)定義應(yīng)用
application-group name test
add application Thunder
add application BT
add application eDonkey_eMule
add application KuGoo
add application PPGou
時(shí)間段 time-range 上班時(shí)間
period-range 09:00:00 to 17:00:00 working-day
匹配動(dòng)作允許 禁止
內(nèi)容安全(UTM )1) 可選:必須動(dòng)作為允許才能配置內(nèi)容安全
2) 如果動(dòng)作是允許�����,并且配置了內(nèi)容安全的時(shí)候�����,就要執(zhí)行內(nèi)容安全
3) 如果內(nèi)容安全禁止�,那就禁止
4) 包含:反病毒 入侵防御 URL過濾 內(nèi)容過濾 文件過濾 郵件過濾 應(yīng)用行為控制 安全策略配置? 題目需求:
a) Trust區(qū)域在工作時(shí)間(周一到周五09:00-21:00)禁止訪問untrust區(qū)域的娛樂類應(yīng)用
b) 允許trust區(qū)域訪問untrust區(qū)域的其余流量
c) 允許任意區(qū)域訪問DMZ區(qū)域的http、https����、ftp服務(wù)(使用服務(wù)組)
先定義對(duì)象,再調(diào)用 time-range 上班時(shí)間
period-range 09:00:00 to 17:00:00 daily
ip service-set all_service type group
service 0 service-set ftp
service 1 service-set http
service 2 service-set https
security-policy
rule name deny_trust_intrrust
source-zone trust
destination-zone untrust
source-address 10.1.1.0 mask 255.255.255.0
application category Entertainment
time-range 工作時(shí)間
action deny
rule name permit_trust_untrust
source-zone trust
destination-zone untrust
action permit
rule name permit_any_dmz
destination-zone dmz
service all_service
action permit 查看所有的安全策略 [FW1]display security-policy all
17:17:54 2019/10/20
Total:4
RULE ID RULE NAME STATE ACTION HITTED
-------------------------------------------------------------------------------
0 default enable deny 762
1 deny_trust_intrrust enable deny 108
2 permit_trust_untrust enable permit 696
3 permit_any_dmz enable permit 4
------------------------------------------------------------------------------- 注意: 安全策略要有匹配�,安全策略的執(zhí)行順序是從上往下,不是按照rule id的從小往大執(zhí)行 匹配條件越多�,安全策略越精確 [FW1]display security-policy rule deny_trust_intrrust
17:18:29 2019/10/20
(108 times matched) ---------------一定要匹配項(xiàng)
rule name deny_trust_intrrust
source-zone trust
destination-zone untrust
source-address 10.1.1.0 mask 255.255.255.0
application category Entertainment
time-range 上班時(shí)間
action deny 檢查: [FW1]display security-policy all
20:06:37 2019/03/12
Total:4
RULE ID RULE NAME STATE ACTION HITTED
-------------------------------------------------------------------------------
0 default enable deny 4123
3 deny_trust_untrust enable deny 33 ----一定要有命中
4 permit_trust_any enable permit 1453
5 permit_untrust_dmz enable permit 2 注意:安全策略的執(zhí)行是從上往下的(圖形化界面是從上往下 但是命令行這一塊的話 是從下往上進(jìn)行匹配的),當(dāng)匹配其中一個(gè)就會(huì)往下執(zhí)行���,如果都不匹配�,就匹配默認(rèn)的default(deny any)
|
