网康NGFW上线指南-安全策略配置指导指南.pdfVIP

安全策略配置指导 声明 该配置指导只针对中小企业的在网络出口部署下一代防火墙的应用场景。由 于中小企业网络管理者安全意识不强、网络应用环境也不是特别复杂，所以本文 档输出针对大多数企业有共性的基本安全策略配置建议。细致完整的安全策略配 置要根据客户实际情况具体分析。 以下安全策略配置是基于设备上线后，内外网已经能够正常访问的情况下， 开启对内网的最基本的安全防护策略。 1.网络部署 在企业内网与互联网边界部署下一代防火墙的建议拓扑结构如下： 网关模式：部署在核心交换机前面，和运营商链路直接连接。 互联网 三层非安全域 Eth0 NGFW Eth1 三层安全域 核心交换机 办公区1 办公区N 透明模式：部署在核心交换机和路由器之间 互联网 路由器 二层非安全域 NGFW 二层安全域 核心交换机 办公区1 办公区N 2. 区域防护文件配置 区域防护文件配置主要体现传统防火墙的安全防护功能。只配置文件并不会 生效，需要在区域配置时关联该区域防护文件才会生效。 配置步骤：【网络配置】【接口与区域】【区域防护配置文件】新建，【flood 防护】选择 “SYN”、 “ICMP”、 “UDP”、 “DNS”。 【端口扫描】选择“TCP”、 “UDP”、 “ICMP”。 【基于数据包的攻击防护】选择 “Ping of Death”、 “Tear Drop”、 “IP Option”、 “TCP Anomaly”、 “Land Attack”、 “Smurf”。 【ARP 攻击防护】选择 “ARP反向查询”、 “每 MAC 的 IP 数限制” 3. 区域划分 为了更有效的进行安全防护，对于不同安全等级的网络划分在不同的安全区 域内。 安全域：NGFW 连接内网用户的接口 配置步骤：【网络配置】【接口与区域】【区域】新建，添加内网网口 Eth1，选 择安全域防护。 非安全域：NGFW 连接外网的接口 配置步骤：【网络配置】【接口与区域】【区域】新建，添加外网网口 eth0. 4.安全策略配置 1）内网到外网的安全策略 配置步骤：【策略配置】【策略配置】【安全策略】新建策略，源区域选择安全 域，目的区域选择非安全域，动作选择允许，勾选记录流量日志，防漏洞配 置选择 default （保护客户端），网址过滤选择 default，其他动作根据具体 需求情况再配置。 2）外网到内网安全策略 配置步骤：【策略配置】【策略配置】【安全策略】新建策略，源区域选择非安 全域，目的区域选择安全域，即动作选择允许，勾选记录流量日志，防病毒 配置选择 default，防漏洞配置选择 default （保护服务器），防间谍软件配 置选择 default，其他动作根据具体需求情况再配置。 配置成功后的安全策略汇总 5.智能分析开启 僵尸网络，根据流量日志，网址过滤日志，威胁日志（所以需要开启这三项 日志检测，僵尸网络才能正常使用）的大数据分析，指定时间存在相关行为并超 过阀值，即输出日志。 配置步骤：【数据中心】【智能分析】【僵尸网络】【规则设置】，开启所有的 匹配规则，阈值采用默认值。可根据特定的网络应用环境修改阈值。其中 “IRC 流量”和 “僵尸网络指令传输”不需要设定阀值。 应用威胁 配置步骤：【数据中心】【智能分析】【应用威胁】，选择开启应用威胁分析。 6.安全策略配置注意事项