- 1、本文档共8页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
防火墙安全策略配置
防火墙安全策略原则:
首包流程会做安全策略过滤,后续包流程不做安全策略过滤。
安全策略业务流程:
流量通过NGFW时,安全策略的处理流程如下:
1. NGFW会对收到的流量进行检测,检测出流量的属性,包括:源安全区域、目的 安全区域、源地址/地区、目的地址/地区、用户、服务(源端口、目的端口、协 议类型)、应用和时间段。
2. NGFW将流量的属性与安全策略的条件进行匹配。如果所有条件都匹配,则此流 量成功匹配安全策略。如果其中有一个条件不匹配,则继续匹配下一条安全策略
。以此类推,如果所有安全策略都不匹配,则NGFW会执行缺省安全策略的动作
(默认为“禁止”)。
3. 如果流量成功匹配一条安全策略,NGFW将会执行此安全策略的动作。如果动作 为“禁止”,则NGFW会阻断此流量。如果动作为“允许”,则NGFW会判断安 全策略是否引用了安全配置文件。如果引用了安全配置文件,则继续进行步骤4 的处理;如果没有引用安全配置文件,则允许此流量通过。
4. 如果安全策略的动作为“允许”且引用了安全配置文件,则NGFW会对流量进行 内容安全的一体化检测。
? 一体化检测是指根据安全配置文件的条件对流量的内容进行一次检测,根据检测的结果 执行安全配置文件的动作。如果其中一个安全配置文件阻断此流量,则NGFW 阻断此 流量。如果所有的安全配置文件都允许此流量转发,则NGFW允许此流量转发。
与传统防火墙安全策略相比,下一代防火墙的安全策略体现了以下优势:
能够通过“用户”来区分不同部门的员工,使网络的管理更加灵活和可视
能够有效区分协议(例如HTTP)承载的不同应用(例如网页IM、网页游戏等),使网络的管理更加精细
能够通过安全策略实现内容安全检测,阻断病毒、黑客等的入侵,更好的保护内部网络
安全策略配置思路:
1. 管理员应首先明确需要划分哪几个安全区域,接口如何连接,分别加入哪些安全区域。
2. 管理员选择根据“源地址”或“用户”来区分企业员工。
3. 先确定每个用户组的权限,然后再确定特殊用户的权限。包括用户所处的源安全 区域和地址,用户需要访问的目的安全区域和地址,用户能够使用哪些服务和应 用,用户的网络访问权限在哪些时间段生效等。如果想允许某种网络访问,则配 置安全策略的动作为“允许”;如果想禁止某种网络访问,则配置安全策略的动 作为“禁止”。
4. 确定对哪些通过防火墙的流量进行内容安全检测,进行哪些内容安全检测。
5. 将以上步骤规划出的安全策略的参数一一列出,并将所有安全策略按照先精确(条件细化的、特殊的策略)再宽泛(条件为大范围的策略)的顺序排序。在配置安全策略时需要按照此顺序进行配置。
在一个安全策略视图下可以为不同的流量创建不同的规则。缺省情况下,越先配置的策略,优先级越高,越先匹配报文。一旦匹配到一条规则,就直接按照该规则的定义 处理报文,不再继续往下匹配。各个规则之间的优先级关系可以通过命令rule move
rule-name1 { after | before } rule-name2 进行调整。
配置安全策略规则的源和目的安全区域必须为系统已经存在的安全区域名称。安全策略规则一次最多添加或删除6个安全区域。
配置安全策略规则源地址和目的地址命令的参数说明
address-set: 地址或地址组的名称,一次最多添加或删除6个地址(组)
ipv4-address: IPv4地址,点分十进制格式
ipv4-mask-length: IPv4地址的掩码,整数形式,取值范围是1~32
mask: IPv4地址的掩码,点分十进制格式,形如mask 表示掩码长度为24
wildcard: IPv4地址的反掩码
range: 表示地址范围
geo-location: 预定义地区名称或已经创建的自定义地区名称,一次最多添加或删 除6个地区
mac-address: MAC地址,格式为H-H-H,其中H为4位的十六进制数,一次最多添加或删除6个MAC地址
any:表示任意地址
配置安全策略规则源地址和目的地址命令举例
[sysname-policy-security-rule-policy_sec] source-address 24
[sysname-policy-security-rule-policy_sec] source-address 55
[sysname-policy-security-rule-policy_sec] source-address geo-location BeiJing
[sysname-policy-security-rule-policy_sec] source-address address-set ip_deny
[sysname-
您可能关注的文档
- 06行企信息库 创新案例 前言技术-创新案例-长沙梅溪湖国际文化艺术中心.doc
- 06行企信息库 创新案例 前言技术-创新案例-中国丝绸博物馆.doc
- 06行企信息库 行业专家 企业风采-行业专家-彼特·沃克.doc
- 06行企信息库 行业专家 企业风采-行业专家-琚宾.doc
- 06行企信息库 行业专家 企业风采-行业专家-齐欣|建筑设计里礼让.doc
- 06行企信息库 行业专家 企业风采-行业专家-吴良镛|让中国人诗意地栖居.doc
- 06行企信息库 行业专家 企业风采-行业专家-佐佐木英夫.doc
- 06行企信息库 最新技术 前言技术-最新技术-海绵城市建设先进适用技术—设计与管理技术.doc
- 17 计算机与互联网应用 硬件识别与系统安装 实验1 Windows基本操作.doc
- 2016年机器人虚拟仿真大赛学生作品展示 无人报刊亭 无人自助报刊亭.docx
- 10《那一年,面包飘香》教案.docx
- 13 花钟 教学设计-2023-2024学年三年级下册语文统编版.docx
- 2024-2025学年中职学校心理健康教育与霸凌预防的设计.docx
- 2024-2025学年中职生反思与行动的反霸凌教学设计.docx
- 2023-2024学年人教版小学数学一年级上册5.docx
- 4.1.1 线段、射线、直线 教学设计 2024-2025学年北师大版七年级数学上册.docx
- 川教版(2024)三年级上册 2.2在线导航选路线 教案.docx
- Unit 8 Dolls (教学设计)-2024-2025学年译林版(三起)英语四年级上册.docx
- 高一上学期体育与健康人教版 “贪吃蛇”耐久跑 教案.docx
- 第1课时 亿以内数的认识(教学设计)-2024-2025学年四年级上册数学人教版.docx
文档评论(0)