防火墙的安全策略
规则--策略
条件 --- 检查报文的依据,防火墙将报文中携带的信息与条件逐一进行对比, 以此来判断报文是否是
匹配的 。不同的匹配条件之间属于 “ 与 ” 关系;相同的匹配条件中不同的参数信息之间的关系为 “ 或 ” 关系。
安全策略的匹配顺序
会按照从上到下的顺序逐条查找域间存在的安全策略 。如果存在某条匹配信息,则立即执行对应动
作,不再向下匹配。 --- 在配置安全策略时,需要遵循 “ 先精细,后粗狂 ” 的原则。
缺省包过滤规则 ---- 本质还是一种安全策略。没有具体的条件,对所有的报文均生效;动作是被分为允许和拒绝两种。--- 防火墙处理数据报文的最后的手段 。
默认情况下,缺省包过滤机制的动作是拒绝通过 。
虽然缺省包过滤机制可以将动作设定为允许,但是尽量不要轻易的进行改变,而是选择通过配置条
件更加精准的安全策略来控制报文的转发逻辑。
安全策略的发展历程
第一阶段,基于 ACL 的包过滤
五元组信息过滤
第二阶段,融合 UTM 的安全策略
核心点:安全策略是由 条件 + 动作 +UTM 策略组成
UTM 策略仅仅在报文匹配动作为允许的策略中才会执行。因为如果动作拒绝,流量将会被丢
弃,也就不需要进一步的检查了 。
第三阶段,一体化安全策略
一体化体现在两个方面
配置
业务
规则:防火墙的安全策略,只针对单播数据流量进行检查,不对组播或广播流量进行检查。
安全策略配置
1、地址
[FW1]ip address-set BG ---创建地址集,名称为BG
[FW1-object-address-set-BG]address 192.168.1.0 mask 25 ---创建地址内容
2、时间段
[FW1]time-range working-time ---创建时间段名称
[FW1-time-range-working-time]period-range 08:00:00 to 18:00:00 working-day
3、创建安全策略
[FW1]security-policy ---进入安全策略配置视图
[FW1-policy-security]rule name policy_1
[FW1-policy-security-rule-policy_1]description BG_to_OA --描述信息
[FW1-policy-security-rule-policy_1]source-zone trust
[FW1-policy-security-rule-policy_1]destination-zone dmz
[FW1-policy-security-rule-policy_1]source-address address-set BG
[FW1-policy-security-rule-policy_1]destination-address address-set "OA Server"
[FW1-policy-security-rule-policy_1]time-range working-time
[FW1-policy-security-rule-policy_1]action permit ---动作
[FW1-policy-security]rule move policy_2 before policy_1 ---移动规则顺序
[FW1-policy-security]default action deny ---修改默认包过滤规则动作