華爲防火牆安全策略的詳細介紹
安全策略
包過濾可以經過報文的源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口號、目的端口號、上層協議等信息組合定義網絡中的數據流,其中源IP地址、目的IP地址、源端口號、目的端口號、上層協議就是在狀態檢測防火牆中常常所提到的五無組,統防火牆根據五元組的包過濾規則來控制流量在安全區域間的轉發
下一代防火牆的安全策略不只能夠徹底替代包過濾的功能,還進一步實現了基於用戶和應用的流量轉發控制,並且還能夠對流量的內容進行安全檢測和處理,在源/目的安全區域、時間段、用戶、應用等多個維度對流量進行了更細粒度的控制
安全
安全策略與包過濾的區別
安全策略原理
防火牆的基本做用是保護特定網絡免受「不信任」的網絡的***,可是同時還必須容許兩個網絡之間能夠進行合法的通訊
安全策略的做用就是對經過防火牆的數據流進行檢驗,符合安全策略的合法數據流才能經過防火牆
安全策略是控制設備對流量轉發以及對流量進行內容安全一體化檢測的策略
控制各個區域之間流量通訊,默認全部區域之間不能通訊網絡
默認的安全策略是deny <FW1>display security-policy all 11:30:03 2019/06/16 Total:1 RULE ID RULE NAME STATE ACTION HITTED ------------------------------------------------------------------------------- 0 default enable deny 54
安全策略內容
策略匹配條件:
源安全域,目的安全域,源地址,目的地址,用戶,服務,應用,時間段
策略動做:
容許,禁止
內容安全profile:(可選,策略動做爲容許的時候執行)
反病毒,***防護,URL過濾,文件過濾,內容過濾,應用行爲控制,郵件過濾app
安全策略工做流程
1) NGFW會對收到的流量進行檢測,檢測出流量的屬性,包括:源安全區域、目的安全區域、源地址/地區、目的地址/地區、用戶、服務(源端口、目的端口、協議類型)、應用和時間段
2) 若是全部條件都匹配,則此流量成功匹配安全策略。若是其中有一個條件不匹配,則繼續匹配下一條安全策略。以此類推,若是全部安全策略都不匹配,則NGFW會執行缺省安全策略的動做(默認爲禁止)
3) 若是流量成功匹配一條安全策略,NGFW將會執行此安全策略的動做。若是動做爲禁止,則NGFW會阻斷此流量。若是動做爲容許,則NGFW會判斷安全策略是否引用了安全配置文件。若是引用了安全配置文件,則繼續進行步驟4的處理;若是沒有引用安全配置文件,則容許此流量經過
4) 若是安全策略的動做爲「容許」且引用了安全配置文件,則NGFW會對流量進行內容安全的一體化檢測
5) 一體化檢測是指根據安全配置文件的條件對流量的內容進行一次檢測,根據檢測的結果執行安全配置文件的動做。若是其中一個安全配置文件阻斷此流量,則NGFW阻斷此流量。若是全部的安全配置文件都容許此流量轉發,則NGFW容許此流量轉發ide
安全策略配置
執行security-policy命令進入安全策略視圖
執行rule name rule-name命令建立一個安全策略並進入該策略視圖
action { permit | deny } 配置安全策略執行動做 必須配置
source-zone { zone-name &<1-6> | any } 指定源安全區域
source-address {ipv4-address ipv4-mask-length} 指定源地址
destination-zone { zone-name &<1-6> | any } 指定目的安全區域
destination-address {ipv4-address ipv4-mask-length} 指定目的地址
service { service-name &<1-6> | any } 指定服務相似
application { any | app app-name &<1-6> | app-group app-group-name &<1-6> | category category-name [ sub-category sub-category-name ] &<1-6 } 配置安全策略規則的應用
user { user-name &<1-6> | any } 配置用戶信息
profile { app-control | av | data-filter | file-block | ips | mail-filter | url-filter } name 配置安全策略規則引用安全配置文件
在安全視圖下可對已配置的規則進行調整:建議在圖形化界面完成
rule copy rule-name new-rule-name 複製安全策略規則
rule move rule-name1 { after | before } rule-name2 移動安全策略規則,從而改變安全策略規則的優先級
rule rename old-name new-name 從新命名安全策略規則
安全策略配置舉例:url
[sysname] security-policy [sysname-policy-security] rule name policy_sec [sysname-policy-security-rule-policy_sec] source-address 1.1.1.1 24 [sysname-policy-security-rule-policy_sec] source-zone untrust [sysname-policy-security-rule-policy_sec] destination-address geo-location BeiJing [sysname-policy-security-rule-policy_sec] service h323 [sysname-policy-security-rule-policy_sec] action permit [sysname-policy-security-rule-policy_sec] profile av profile_av
匹配條件(各類對象 )
源目區域
默認4個,能夠自定義命令行
firewall zone name XXX set priority X(不能配置5 50 85 100)
源目地址/地區/地址組
ip address-set trust_network type object address 0 10.1.1.0 mask 24 address 1 10.1.2.0 mask 24 address 2 10.1.3.0 mask 24 address 3 10.1.4.0 mask 24 # ip address-set dmz_network type object address 0 192.168.1.1 mask 32 address 1 192.168.1.2 mask 32 ip address-set key type object address 0 range 192.168.1.3 192.168.1.13
ip address-set all_network type group address 0 address-set dmz_network address 1 address-set trust_network
用戶/用戶組
服務/服務組
預約義服務和自定義服務
1) 預約義服務直接被調用
2) 自定義服務須要先定義 3d
ip service-set ospf type object ----服務 service 0 protocol 89 ip service-set all_service type group ----服務組 service 0 service-set ftp service 1 service-set http service 2 service-set https
應用/應用組
自定義應用和預約義應用 code
application-group name test add application Thunder add application BT add application eDonkey_eMule add application KuGoo add application PPGou
時間段
time-range 上班時間 period-range 09:00:00 to 17:00:00 working-day
匹配動做
- 容許
- 禁止
內容安全(UTM )
1) 可選:必須動做爲容許才能配置內容安全
2) 若是動做是容許,而且配置了內容安全的時候,就要執行內容安全
3) 若是內容安全禁止,那就禁止
4) 包含:反病毒 ***防護 URL過濾 內容過濾 文件過濾 郵件過濾 應用行爲控制對象
安全策略配置
題目需求:
a) Trust區域在工做時間(週一到週五09:00-21:00)禁止訪問untrust區域的娛樂類應用
b) 容許trust區域訪問untrust區域的其他流量
c) 容許任意區域訪問DMZ區域的http、https、ftp服務(使用服務組)
先定義對象,再調用blog
time-range 上班時間 period-range 09:00:00 to 17:00:00 daily ip service-set all_service type group service 0 service-set ftp service 1 service-set http service 2 service-set https security-policy rule name deny_trust_intrrust source-zone trust destination-zone untrust source-address 10.1.1.0 mask 255.255.255.0 application category Entertainment time-range 工做時間 action deny rule name permit_trust_untrust source-zone trust destination-zone untrust action permit rule name permit_any_dmz destination-zone dmz service all_service action permit
查看全部的安全策略
[FW1]display security-policy all 17:17:54 2019/10/20 Total:4 RULE ID RULE NAME STATE ACTION HITTED ------------------------------------------------------------------------------- 0 default enable deny 762 1 deny_trust_intrrust enable deny 108 2 permit_trust_untrust enable permit 696 3 permit_any_dmz enable permit 4 -------------------------------------------------------------------------------
注意: 安全策略要有匹配,安全策略的執行順序是從上往下,不是按照rule id的從小往大執行 匹配條件越多,安全策略越精確
[FW1]display security-policy rule deny_trust_intrrust 17:18:29 2019/10/20 (108 times matched) ---------------必定要匹配項 rule name deny_trust_intrrust source-zone trust destination-zone untrust source-address 10.1.1.0 mask 255.255.255.0 application category Entertainment time-range 上班時間 action deny
檢查:
[FW1]display security-policy all 20:06:37 2019/03/12 Total:4 RULE ID RULE NAME STATE ACTION HITTED ------------------------------------------------------------------------------- 0 default enable deny 4123 3 deny_trust_untrust enable deny 33 ----必定要有命中 4 permit_trust_any enable permit 1453 5 permit_untrust_dmz enable permit 2
注意:安全策略的執行是從上往下的(圖形化界面是從上往下 可是命令行這一塊的話 是從下往上進行匹配的),當匹配其中一個就會往下執行,若是都不匹配,就匹配默認的default(deny any)
- 1. 防火牆安全策略
- 2. 防火牆詳細介紹
- 3. 華爲技術——防火牆NAT策略
- 4. 淺談華爲防火牆NAT策略
- 5. 華爲_防火牆NAT策略
- 6. 華爲防火牆安全策略配置
- 7. 華爲USG6000V防火牆telnet+安全策略!!!
- 8. 2-華爲防火牆:安全策略分類
- 9. 華爲防火牆NAT控制詳細介紹
- 10. 華爲防火牆雙機熱備(詳細介紹VRRP,VGMP)
- 更多相關文章...
- • 使用TCP協議檢測防火牆 - TCP/IP教程
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • 爲了進字節跳動,我精選了29道Java經典算法題,帶詳細講解
- • Java Agent入門實戰(一)-Instrumentation介紹與使用
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 防火牆安全策略
- 2. 防火牆詳細介紹
- 3. 華爲技術——防火牆NAT策略
- 4. 淺談華爲防火牆NAT策略
- 5. 華爲_防火牆NAT策略
- 6. 華爲防火牆安全策略配置
- 7. 華爲USG6000V防火牆telnet+安全策略!!!
- 8. 2-華爲防火牆:安全策略分類
- 9. 華爲防火牆NAT控制詳細介紹
- 10. 華爲防火牆雙機熱備(詳細介紹VRRP,VGMP)