安全策略 包过滤能够通过报文的源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号、目的端口号、上层协议等信息组合定义网络中的数据流,其中源IP地址、目的IP地址、源端口号、目的端口号、上层协议就是在状态检测防火墙中经常所提到的五无组,统防火墙根据五元组的包过滤规则来控制流量在安全区域间的转发 安全策略与包过滤的区别安全策略原理 防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信 默认的安全策略是deny <FW1>display security-policy all 11:30:03 2019/06/16 Total:1 RULE ID RULE NAME STATE ACTION HITTED ------------------------------------------------------------------------------- 0 default enable deny 54 安全策略内容 策略匹配条件: 安全策略工作流程1) NGFW会对收到的流量进行检测,检测出流量的属性,包括:源安全区域、目的安全区域、源地址/地区、目的地址/地区、用户、服务(源端口、目的端口、协议类型)、应用和时间段 安全策略配置执行security-policy命令进入安全策略视图 执行rule name rule-name命令创建一个安全策略并进入该策略视图 action { permit | deny } 配置安全策略执行动作 必须配置 source-zone { zone-name &<1-6> | any } 指定源安全区域 source-address {ipv4-address ipv4-mask-length} 指定源地址 destination-zone { zone-name &<1-6> | any } 指定目的安全区域 destination-address {ipv4-address ipv4-mask-length} 指定目的地址 service { service-name &<1-6> | any } 指定服务类似 application { any | app app-name &<1-6> | app-group app-group-name &<1-6> | category category-name [ sub-category sub-category-name ] &<1-6 } 配置安全策略规则的应用 user { user-name &<1-6> | any } 配置用户信息 profile { app-control | av | data-filter | file-block | ips | mail-filter | url-filter } name 配置安全策略规则引用安全配置文件 在安全视图下可对已配置的规则进行调整:建议在图形化界面完成 rule copy rule-name new-rule-name 复制安全策略规则 rule move rule-name1 { after | before } rule-name2 移动安全策略规则,从而改变安全策略规则的优先级 rule rename old-name new-name 重新命名安全策略规则
[sysname] security-policy [sysname-policy-security] rule name policy_sec [sysname-policy-security-rule-policy_sec] source-address 1.1.1.1 24 [sysname-policy-security-rule-policy_sec] source-zone untrust [sysname-policy-security-rule-policy_sec] destination-address geo-location BeiJing [sysname-policy-security-rule-policy_sec] service h323 [sysname-policy-security-rule-policy_sec] action permit [sysname-policy-security-rule-policy_sec] profile av profile_av 匹配条件(各种对象 )源目区域默认4个,可以自定义 firewall zone name XXX set priority X(不能配置5 50 85 100) 源目地址/地区/地址组ip address-set trust_network type object address 0 10.1.1.0 mask 24 address 1 10.1.2.0 mask 24 address 2 10.1.3.0 mask 24 address 3 10.1.4.0 mask 24 # ip address-set dmz_network type object address 0 192.168.1.1 mask 32 address 1 192.168.1.2 mask 32 ip address-set key type object address 0 range 192.168.1.3 192.168.1.13 ip address-set all_network type group address 0 address-set dmz_network address 1 address-set trust_network 用户/用户组服务/服务组 预定义服务和自定义服务 ip service-set ospf type object ----服务 service 0 protocol 89 ip service-set all_service type group ----服务组 service 0 service-set ftp service 1 service-set http service 2 service-set https 应用/应用组 自定义应用和预定义应用 application-group name test add application Thunder add application BT add application eDonkey_eMule add application KuGoo add application PPGou 时间段time-range 上班时间 period-range 09:00:00 to 17:00:00 working-day 匹配动作
内容安全(UTM )1) 可选:必须动作为允许才能配置内容安全 安全策略配置 题目需求: time-range 上班时间 period-range 09:00:00 to 17:00:00 daily ip service-set all_service type group service 0 service-set ftp service 1 service-set http service 2 service-set https security-policy rule name deny_trust_intrrust source-zone trust destination-zone untrust source-address 10.1.1.0 mask 255.255.255.0 application category Entertainment time-range 工作时间 action deny rule name permit_trust_untrust source-zone trust destination-zone untrust action permit rule name permit_any_dmz destination-zone dmz service all_service action permit 查看所有的安全策略 [FW1]display security-policy all 17:17:54 2019/10/20 Total:4 RULE ID RULE NAME STATE ACTION HITTED ------------------------------------------------------------------------------- 0 default enable deny 762 1 deny_trust_intrrust enable deny 108 2 permit_trust_untrust enable permit 696 3 permit_any_dmz enable permit 4 ------------------------------------------------------------------------------- 注意: 安全策略要有匹配,安全策略的执行顺序是从上往下,不是按照rule id的从小往大执行 匹配条件越多,安全策略越精确 [FW1]display security-policy rule deny_trust_intrrust 17:18:29 2019/10/20 (108 times matched) ---------------一定要匹配项 rule name deny_trust_intrrust source-zone trust destination-zone untrust source-address 10.1.1.0 mask 255.255.255.0 application category Entertainment time-range 上班时间 action deny 检查: [FW1]display security-policy all 20:06:37 2019/03/12 Total:4 RULE ID RULE NAME STATE ACTION HITTED ------------------------------------------------------------------------------- 0 default enable deny 4123 3 deny_trust_untrust enable deny 33 ----一定要有命中 4 permit_trust_any enable permit 1453 5 permit_untrust_dmz enable permit 2 注意:安全策略的执行是从上往下的(图形化界面是从上往下 但是命令行这一块的话 是从下往上进行匹配的),当匹配其中一个就会往下执行,如果都不匹配,就匹配默认的default(deny any) |
|