HCSCA103HCNASecurityCBSN第三章防火墙安全策略V2.5.pdfVIP

 包过滤作为一种网络安全保护机制，主要用于对网络中各种不同的流量是否转发做一个 最基本的控制。  传统的包过滤防火墙对于需要转发的报文，会先获取报文头信息，包括报文的源IP地址 、目的IP地址、IP层所承载的上层协议的协议号、源端口号和目的端口号等，然后和预 先设定的过滤规则进行匹配，并根据匹配结果对报文采取转发或丢弃处理。  包过滤防火墙的转发机制是逐包匹配包过滤规则并检查，所以转发效率低下。目前防火 墙基本使用状态检查机制，将只对一个连接的首包进行包过滤检查，如果这个首包能够 通过包过滤规则的检查，并建立会话的话，后续报文将不再继续通过包过滤机制检测， 而是直接通过会话表进行转发。 4  包过滤能够通过报文的源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号 、目的端口号、上层协议等信息组合定义网络中的数据流，其中源IP地址、目的IP地址 、源端口号、目的端口号、上层协议就是在状态检测防火墙中经常所提到的五无组，也 是组成TCP/UDP连接非常重要的五个元素。 5  防火墙的基本作用是保护特定网络免受 “不信任”的网络的攻击，但是同时还必须允 许两个网络之间可以进行合法的通信。安全策略的作用就是对通过防火墙的数据流进 行检验，符合安全策略的合法数据流才能通过防火墙。  通过防火墙安全策略可以控制内网访问外网的权限、控制内网不同安全级别的子网间 的访问权限等。同时也能够对设备本身的访问进行控制，例如限制哪些IP地址可以通过 Telnet和Web等方式登录设备，控制网管服务器、NTP服务器等与设备的互访等。 6  防火墙安全策略定义数据流在防火墙上的处理规则，防火墙根据规则对数据流进行处 理。因此，防火墙安全策略的核心作用是：根据定义的规则对经过防火墙的流量进行 筛选，由关键字确定筛选出的流量如何进行下一步操作。  在防火墙应用中，防火墙安全策略是对经过防火墙的数据流进行网络安全访问的基本 手段，决定了后续的应用数据流是否被处理。NGFW会对收到的流量进行检测，检测出 流量的属性，包括：源安全区域、目的安全区域、源地址/地区、目的地址/地区、用户 、服务 （源端口、目的端口、协议类型）、应用和时间段。 7  域间安全策略用于控制域间流量的转发 （此时称为转发策略），适用于接口加入不同 安全区域的场景。域间安全策略按IP地址、时间段和服务 （端口或协议类型）、用户等 多种方式匹配流量，并对符合条件的流量进行包过滤控制 （permit/deny ）或高级的 UTM应用层检测。域间安全策略也用于控制外界与设备本身的互访 （此时称为本地策 略），按IP地址、时间段和服务 （端口或协议类型）等多种方式匹配流量，并对符合条 件的流量进行包过滤控制 （permit/deny），允许或拒绝与设备本身的互访。  缺省情况下域内数据流动不受限制，如果需要进行安全检查可以应用域内安全策略。 与域间安全策略一样可以按IP地址、时间段和服务 （端口或协议类型）、用户等多种方 式匹配流量，然后对流量进行安全检查。例如：市场部和财务部都属于内网所在的安 全区域Trust ，可以正常互访。但是财务部是企业重要数据所在的部门，需要防止内部 员工对服务器、PC等的恶意攻击。所以在域内应用安全策略进行IPS检测，阻断恶意员 工的非法访问。  当接口未加入安全区域的情况下，通过接口包过滤控制接口接收和发送的IP报文，可以 按IP地址、时间段和服务 （端口或协议类型）等多种方式匹配流量并执行相应动作 （ permit/deny）。基于MAC地址的包过滤用来控制接口可以接收哪些以太网帧，可以按 MAC地址、帧的协议类型和帧的优先级匹配流量并执行相应动作 （permit/deny）。硬 件包过滤是在特定的二层硬件接口卡上实现的，用来控制接口卡上的接口可以接收哪 些流量。硬件包过滤直接通过硬件实现，所以过滤速度更快。