精华内容
下载资源
问答
  • 本文档适用于网络安全方案规划、安全建设实施和安全策略的制定。在全单位范围内给予执行,由信息安全领导小组对该项工作的落实和执行进行监督,由技术部配合信息安全领导小组对本案的有效性进行持续改进。
  • win10家庭版开启本地安全策略
  • 为满足(以下简称“本网”)信息安全管理、信息安全保障和合规的需要,根据《信息安全管理方针》,特制订本管理策略
  • H3C NGFW防火墙——从域间策略到安全策略,非常好的华三防火墙安全配置视频,网上很少有
  • 网络安全等级保护-等保2.0:安全策略和管理制度-测评表
  • 安全策略

    千次阅读 2019-03-04 17:34:37
    安全策略的作用就是对通过防火墙的数据流进行检验,符合安全策略的合法数据流才能通过防火墙。 基于ACL的包过滤 前期已经提到这种单纯的包过滤正在逐步退出历史舞台,这里只简单介绍一下。 包过滤的处理过程是...

    防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。安全策略的作用就是对通过防火墙的数据流进行检验,符合安全策略的合法数据流才能通过防火墙。

    基于ACL的包过滤

    前期已经提到这种单纯的包过滤正在逐步退出历史舞台,这里只简单介绍一下。

    包过滤的处理过程是先获取需要转发数据包的报文头信息,然后和设定的ACL规则进行比较,根据比较的结果对数据包进行转发或者丢弃。实现包过滤的核心技术是访问控制列表ACL。

    因此包过滤只能基于IP地址、端口号等控制流量是否可以通过防火墙,无法准确识别应用。

    基于ACL的包过滤的配置方式是先配置好包含多条数据流规则(rule)的ACL,其中每条rule包含数据流的匹配条件和permit/deny动作,然后ACL再被域间包过滤引用。一个域间只能引用一个ACL。

     

     

    发展中期的UTM设备安全策略

    随着USG2000/5000系列UTM产品的推出,“安全策略”这个概念被提出。之所以不叫包过滤了,是因为策略中集成了UTM检测功能,配置方式也由ACL方式变为Policy方式。动作为permit的安全策略可以引用IPS、AV等UTM策略,对流量进一步进行UTM检测,通过检测的流量才能真正通过防火墙。

    此时的安全策略已经有一体化安全处理的雏形了,将防火墙包过滤功能和内容安全功能进行了融合,但是还有一定局限性。

    UTM更多的是体现功能集成,将传统防火墙、入侵防御设备、反病毒设备等集成到一个硬件。UTM设备的多个安全功能之间的紧密度不高,报文匹配安全策略的匹配条件后需要逐一进入各个UTM模块进行检测和处理,如果同时开启多个安全功能,设备性能往往大幅下降。另外基于应用的管控需要配置额外的应用控制策略,不能直接将应用类型作为策略的匹配条件。例如需要禁止员工使用IM应用,此时要额外配置禁止IM应用的“应用控制策略”然后再在安全策略引用生效。也就是应用识别与管控需要进入另外一个模块处理。

    NGFW的一体化安全策略

    到了NGFW阶段,对一体化、应用识别与管控、高性能等要求更高。安全策略充分体现了这些特质,通过应用、用户、内容、威胁等多个维度的识别将模糊的网络环境映射为实际的业务环境,从而实现精准的访问控制和安全检测。

    1、 NGFW之前的安全策略都是应用在域间的(安全区域必配),NGFW的安全策略应用在全局,安全区域与IP地址等一样只是作为可选的匹配条件。而且安全区域支持多选。

    这样配置更灵活,可以不关注安全区域、域间方向,只需关注访问的源/目的。另外还可以实现跨多域的访问的一次性配置。

    2、缺省包过滤也是全局只有一条,不再区分域间。

    3、增加应用作为匹配条件,对应用的阻断/允许直接在安全策略中配置。

    4、增加用户作为匹配条件,实现基于用户的管控,即使IP发生变化用户的权限也是不变的。

        也就是应用和用户的识别都融入了防火墙安全策略的处理流程中,无论从配置还是设备 处理上都体现了“一体化”。

    5、通过高性能的一体化检测引擎实现一次扫描、实时检测,即使开启所有内容安全功能,也不会造成设备性能的大幅下降。

    展开全文
  • 信息安全技术基础和安全策略(薛质主编)2007年出版
  • 运行下命令,打开本地安全策略和本地组策略编辑器
  • 华为防火墙安全策略

    千次阅读 2020-12-11 10:48:39
    1初识安全策略 小伙伴们,我们试想下如果防火墙把所有流量都拒绝了,内部用户将无法畅游网络,外部合法用户将无法访问内部资源。因此我们需要配置防火墙的一个特性,让它更好的实现防火墙的功能,这个特性就是安全...

    1初识安全策略

       小伙伴们,我们试想下如果防火墙把所有流量都拒绝了,内部用户将无法畅游网络,外部合法用户将无法访问内部资源。因此我们需要配置防火墙的一个特性,让它更好的实现防火墙的功能,这个特性就是安全策略。平时我们上班乘坐地铁,出差乘坐高铁或飞机,在这三个场所中都会有蓝色的标志“Security Check”,旁边站着一个工作人员“安检员”。他的作用就是检查乘客随身携带的物品是否安全,如安全放行通过,如不安全,拒绝通过。回顾下防火墙的作用是保护特定的网络免受“不信任”的网络的攻击和入侵,但还要允许网络之间进行合法的通信。安全策略的作用类似于“安检员”对通过防火墙的网络流量和抵达自身流量进行安全检查,满足安全策略条件的流量执行允许的动作才能通过防火墙。

    2基本概念

           上图所示,PC位于Untrust区域,HTTP Server位于Trust区域,假设我们希望PC可以访问HTTP Server,配置的策略应该是允许源区域Untrust,目的区域Trust,源IP地址202.100.1.100,目的IP地址192.168.1.100,源端口Any,目的端口是80,应用协议是TCP。

    配置中可以看出防火墙安全策略由两大部分组成:

    a.条件:防火墙将报文中携带的信息与条件逐一对比,从而来判断报文是否匹配。

    b.动作:允许(permit)和拒绝(deny),一条策略只能有一个动作。

          如上图中每条策略中都包含了多个匹配条件,如安全区域、用户、应用等。各个匹配条件之间是“与”的关系,报文的属性与各个条件必须全部匹配,才认为该报文匹配这条规则。也就是说报文中的信息都要满足所有字段才能匹配。一个匹配条件中可以配置多个值,多个值之间是“或”的关系,报文的属性只要匹配任意一个值,就认为报文的属性匹配了这个条件。比如源区域有2个,目的IP有2个,那么这些匹配项之间是“或”的关系,也就是说只要报文的信息满足其中一项,就证明匹配了该条件。

    安全策略配置完成后,PC就可以正常访问HTTP Server了,无需放行返回流量的安全策略,防火墙默认是基于状态化进行转发的,所以返回流量匹配会话表就转发了。

     

    3匹配顺序

          安全策略之间是存在匹配顺序的,防火墙会按照从上到下的顺序逐条查找相应安全策略。如果报文命中了某一条安全策略,就会执行该策略的动作,不会再继续向下查找;如果报文没有命中某一条安全策略,则会继续向下查找。

         基于安全策略的匹配顺序,建议我们在配置安全策略时,应该遵循“先明细,后粗犷”的原则。比如我们配置两条trust--untrust安全策略,分别为192.168.0.0/24网段报文通过,192.168.1.1报文拒绝通过,防火墙在查找安全策略时,第一条策略192.168.0.0/24网段会匹配允许通过,第二条策略192.168.1.1报文永远也不会匹配到,这样我们实现控制的目的也没有达到。

          如果还没有找到对应的安全策略,则会匹配默认的安全策略,动作为拒绝。默认安全策略的名字叫default,条件为any,动作为拒绝。大部厂商的安全策略都是这样定义的,缺省的为拒绝所有。个人认为如果小伙伴们在排错过程中,快速定位安全策略的问题,可以把默认策略动作配置为允许。如果报文可以通过,证明安全策略配置问题,然后配置正确的安全策略。非常不建议把防火墙安全策略配置为允许所有,因为这样存在极大的安全风险,防火墙也失去了意义

          华为防火墙安全策略控制可分三点:1.控制抵达自身和自身发起的流量,比如从外部网管防火墙,应该是untrust—>local之间的网管流量,如SSH、Telnet、HTTPS等。在比如防火墙要网管其它网络设备,应该是local—>到其它区域之间的网管流量  2.控制区域间的流量,比如untrust—>trust,trust—>dmz  3,控制区域内的流量,比如trust两台PC,我们不希望它们之间进行访问,那就是trust—> trust。

    4安全配置案例

    组网需求:

    a.仅要求互联网到Untrust接口ICMP和Telnet流量。

    b.除192.168.1.2/32外,允许所有Trust主机可以访问互联网。

    c.Untrust用户在周一至周五上班时间可以访问所有DMZ服务器资源。

    d.Trust区域内PC1不能访问PC3资源。

     

    5实验配置

    #进入接口视图,启用管理功能。

    [NGFW] int g1/0/1

    [NGFW-GigabitEthernet1/0/1]service-manage enable

    [NGFW-GigabitEthernet1/0/1]service-manage ping permit

    [NGFW-GigabitEthernet1/0/1]service-manage telnet permit

    注:对于抵达防火墙自身的流量建议接口开启。

    #进入安全策略视图,配置相应策略

    [NGFW]security-policy               

    [NGFW-policy-security]rulename rule1

    [NGFW-policy-security-rule-rule1]source-zone trust   //可以指多个区域

    [NGFW-policy-security-rule-rule1]destination-zone untrust   //如果域内策略,目的为相同区域

    [NGFW-policy-security-rule-rule1]source-address 192.168.1.1 32

    [NGFW-policy-security-rule-rule1]action deny

    #创建时间范围,调用到安全策略

    [NGFW]time-range worktime

    [NGFW-time-range-worktime]period-range 09:00:00 to 17:00:00 working-day

    [NGFW-policy-security]rulename rule3

    [NGFW-policy-security-rule-rule3]time-range worktime

    #其它安全策略同理

    • 测试

    需求一、

    <Untrust>telnet 202.100.1.10

    Loginauthentication

    Username:user1

    Password:

    <NGFW>

    <Untrust>ping 202.100.1.10

    PING 202.100.1.10:56  data bytes, press CTRL_C to break

    Reply from202.100.1.10: bytes=56 Sequence=1 ttl=255 time=20 ms

    Reply from 202.100.1.10: bytes=56 Sequence=2 ttl=255 time=20 ms

    需求二、

     <PC1>ping 202.100.1.1

    PING 202.100.1.1: 56  data bytes, press CTRL_C to break

    Request time out

    Request time out

    Request time out

    <PC2>ping 202.100.1.1

    PING 202.100.1.1: 56  data bytes, press CTRL_C to break

     Reply from 202.100.1.1: bytes=56 Sequence=1ttl=254 time=40 ms

     Reply from 202.100.1.1: bytes=56 Sequence=2ttl=254 time=20 ms

     Reply from 202.100.1.1: bytes=56 Sequence=3ttl=254 time=20 ms

     Reply from 202.100.1.1: bytes=56 Sequence=4ttl=254 time=10 ms

    需求三、

    <Untrust>ping 172.16.1.1

    PING 172.16.1.1: 56  data bytes, press CTRL_C to break

    Reply from 172.16.1.1: bytes=56Sequence=1 ttl=254 time=30 ms

    Reply from 172.16.1.1: bytes=56 Sequence=2ttl=254 time=20 ms

    Reply from 172.16.1.1: bytes=56Sequence=3 ttl=254 time=20 ms

    Reply from 172.16.1.1: bytes=56Sequence=4 ttl=254 time=10 ms

    Reply from 172.16.1.1: bytes=56 Sequence=5ttl=254 time=20 ms

     <NGFW>display clock

    2017-06-0618:01:30

    Tuesday

    <Untrust>ping 172.16.1.1

     PING 172.16.1.1: 56  data bytes, press CTRL_C to break

     Request time out

     Request time out

     Request time out

     Request time out

     需求四、

     <PC3>ping192.168.2.1

    PING 192.168.2.1: 56  data bytes, press CTRL_C to break

     Request time out

     Request time out

     Request time out

    Request time out

    <PC3>ping192.168.1.1

    PING 192.168.1.1:56  data bytes, press CTRL_C to break

    Reply from 192.168.1.1: bytes=56 Sequence=1ttl=255 time=1 ms 

    Reply from 192.168.1.1: bytes=56 Sequence=1ttl=255 time=1 ms

    Reply from 192.168.1.1: bytes=56 Sequence=1ttl=255 time=1 ms

    注:默认域内的安全策略是允许的。

    展开全文
  • 一、安全策略 1.1 安全策略概念 策略是网络安全设备的基本安全功能,默认情况下,安全设备会拒绝设备上所有安全域之间的信息传输,而策略则通过策略规则(Policy Rule)决定从一个安全域到另一个安全域的哪些流量...

    TCP默认生存时间1800S,UDP默认生存时间600S

    一、安全策略

    1.1 安全策略概念

    策略是网络安全设备的基本安全功能,默认情况下,安全设备会拒绝设备上所有安全域之间的信息传输,而策略则通过策略规则(Policy Rule)决定从一个安全域到另一个安全域的哪些流量该被允许,哪些流量该被拒绝。策略基于安全域定制,用户需要将接口绑定到安全域中才可以通过策略控制接口之间的流量。

    --策略规则分为两部分:过滤条件和行为

        --过滤条件:流量的源/目安全域、源/目的地址、服务和应用类型、角色用户、时间表;

        --行为:允许(Permit)、拒绝(Deny)、隧道(Tunnel)、来自隧道(From Tunnel)、Web认证、Portal服务器

         隧道和来自隧道应用于IPSec  VPN

    1.2 策略规则的基本元素

    策略规则允许或者拒绝从一个(多个)安全域到另外一个(多个)安全域/从一个地址段到另一个地址段的流量。流量的类型、流量的源安全域/源地址与目的安全域/目的地址以及行为构成策略规则的基本元素。

    Source Zone/Address   流量的源安全域/源地址

    Destination Zone/Address   流量的目的安全域/目的地址

    Service  流量的服务类型

    Action  安全设备在遇到指定类型的流量时做出的行为,包括允许(Permit)、拒绝(Deny)、隧道(Tunnel)、来自隧道(Fromtunnel)、以及Web认证五个行为。

    1.3 安全策略匹配原则

    注意:新建的策略一般在最后,要进行位置的移动

    1、流量首包匹配安全策略规则;

    2、策略匹配顺序为从列表由上至下(不是按照ID号大小匹配)根据流量的过滤条件进行匹配,系统会对流量按照找到的第一条与过滤条件相匹配的策略规则进行处理;

    3、系统缺省的策略是拒绝所有流量。

    策略规则都有其独有的ID号,策略规则ID会在定义规则时自动生成,同时用户也可以按自己的需求为策略规则制定ID,策略规则ID只是标示该规则,不决定系统查找策略顺序,从源安全域到目标安全域之间的所有策略有特定的排列顺序,系统按照策略规则显示顺序查找匹配规则,在流量进入系统时,系统会对流量安全按照找到的第一条与过滤条件相匹配的策略规则进行处理,不同平台安全网关支持的全局最大规则数不同。

    1.4 状态检测

    1、会话是通信双方在防护墙上的连接状态,一条会话表示通信双方的一个连接,防火墙上多条会话的集合就叫做会话表(Session table),StoneOS上的会话表项如下:

    其中会话是HTTP协议,1.1.1.1表示源地址,64867表示端口,2.2.2.2表示目的地址,80表示目的端口;

    通过“-->”符号可以直观区分,符号前面是源,符号后面是目的

    2、首包建立会话,后续包匹配查找会话;

    3、会话包含元素:源地址、源端口、目的地址、目的端口、协议、Application、User

    二、配置安全策略

    2.1 WebUI配置策略

    创建安全策略时,有五个元组必选,源+目的安全域、源+目的地址、服务或应用;示意图如下:

    2.2 命令行配置策略

    进入策略配置模式,在全局配置模式下使用以下命令:

    policy-global

    进入策略配置模式以后,执行以下命令创建策略规则:

    rule [ id id] [ top | before id | after id | role {UNKNOWN | role-name} | user aaa-server-name user-name | user-group aaa-server-name user-group-name | from src-addr to dst-addr service service-name {permit | deny | tunnel tunnel-name | fromtunnel tunnel-name | webauth}

    -- id id  指定策略规则的ID,系统可以自动分配一个ID;

    --top | before id | after id  指定策略规则的位置,默认情况下,系统会将新创建的策略规则放到所有规则末尾;

    --from src-addr  指定策略规则的源地址;

    --to dst-addr  指定策略规则的目的地址;

    --service service-name   指定策略规则的服务名称;

    permit | deny | tunnel tunnel-name | fromtunnel tunnel-name | webauth aaa-server  指定策略规则的行为;

    查看策略

    show policy [ id id ] [ from src-zone ] [ to dst-zone ]

    --id id  显示指定ID规则的详细信息;

    --from src-zone  显示源安全域为指定域的规则的详细信息;

    --to dst-zone  显示目标安全域为指定域的规则的详细信息;

    在StoneOS中可以调用Profile来进行细粒度应用安全控制,目前支持9类Profile,分别是:URL过滤Profile、内容过滤Profile、Web外发信息Profile、邮件过滤Profile、IM Profile、行为Profile、病毒过滤Profile、IPS Profile、GTP Profile,每一类Profile可以针对具体应用分别配置不同的控制动作,其中IPS、AV和URL的检测可在策略中调用。

    2.3 移动策略位置

    move id { top | bootom | before id | after id}

    三、策略高级选项

    3.1 策略命中数统计

    统计策略在当前环境中的使用情况,以判断是否有效

    show policy hit-count

    3.2 策略冗余检测

    检测当前策略的冗余性

    exex policy redundancy-check start 开始冗余检测

    show policy redundancy-check 显示结果

    exex policy redundancy-check stop 停止冗余检测

    exec policy redundancy-check clear 清除上一次冗余检测结果

    3.3 策略调用应用检测和会话记录

    IPS、AV、和URL过滤可在策略中调用,SSL代理解密也在策略中调用,也可以启用记录会话日志

    四、配置对象

    4.1 对象

    对象模块包括以下信息:地址簿、服务簿、应用簿、时间表、用户、AAA服务器及角色、监控对象

    4.1.1 地址簿

    地址簿的命名不能用IP地址命名,可以用字母或数字代替,比如LAN1,示意图如下:

    在StoneOS系统中,地址条目的IP地址范围是其成员IP地址范围的总和,地址条目成员有以下几种:

    --IP地址:IP/掩码

    --IP地址段:如10.100.2.3-10.100.2.100

    --主机名称:如host1.hillstonenet.com

    --地址条目

    --IP反掩码

    国家地区:如何策略要调用针对国家地区的地址封堵,可以先创建地址簿调用国家地区

    4.1.2 服务簿

    用户可以查看系统预定义服务,使用命令行查看方式为:show service predefined,WebUI示意图如下:

    4.1.3 应用簿

    用户可以查看系统预定义应用,预定义应用可以自动在线升级,预定义应用是P2P或者IM等需要应用层识别的服务,能够实现对P2P和IM等非固件协议及端口的应用进行动态识别,

    命令行查看应用簿的方式为:show application predefined,WebUI示意图如下:

    4.1.4 应用过滤组

    策略可调用自定义应用组或者应用过滤组,应用过滤组使用多维度属性概念,对应用进行分类,通过定义不同的属性可以为网络流量进行分类,可按网络资源类型进行优化,也可按风险等级优化,还可以按应用软件的技术类型进行选择分类。

    WebUI示意图如下:

    4.1.5 时间表

    时间表包含绝对计划和周期计划(注:校正设备时钟),时间表功能可以使策略规则在指定的时间生效,也可以控制PPPoE接口与因特网连接时间、或在Qos流量控制中调用,周期计划通过周期条目指定时间表的时间点或者时间段,而绝对计划决定周期计划的生效时间,值得注意的是,设备时钟的校正,以下为WebUI示意图:

    绝对计划是一个时间范围,指定的周期计划会在绝对计划的时间范围内生效,同时,用户也可以不启用绝对计划功能,此时周期计划会在被应用到系统中某项功能时,立即生效,周期计划的时间是该周期计划中周期条目的总和,一个周期计划中最多可以添加16条周期条目,用户可以配置三种类型的周期条目:

    --每天:每天的指定时间,例如每天的9:00到18:00;

    --每周的某几天:一周中指定天的指定时间,例如每周一、周二和周六的9:00到13:00;

    --每周的一段时间:一周中的一个连续时间段,例如从周一早上9:00到周三下午15:00。

    WebUI示意图如下:

    4.1.6 应用时间表到策略

    调用了时间表的策略,当时间表生效时,和这个策略有关的已经建立的session会重置,这样就会立即生效。

    4.1.7 查看调用时间表的策略

    已调用时间表的策略,只在时间表范围内生效,时间范围外的策略处于不活跃状态,时间表基于系统时间生效。

    命令行查看已调用时间表的策略示意图如下:

     

     

    回顾:

    1、安全策略有几部分组成?

    --过滤条件:源/目安全域、源/目地址、服务和应用类型、角色用户、时间表;

    --行为:允许、拒绝、隧道、来自隧道、Web认证

    2、安全策略规则的动作支持哪几种?

    允许(Permit)、拒绝(Deny)、隧道(Tunnel)、来自隧道(Fromtunnel)、Web认证(WebAuth)

    3、安全策略执行顺序?

    由上至下

    4、同一个安全域内接口间的访问,安全网关缺省的动作是什么?

    拒绝(系统默认拒绝所有区域内的流量流通,包括同一个安全域之间)

    5、是否支持SSL代理解密?

    支持

    展开全文
  • 防火墙安全策略

    万次阅读 多人点赞 2018-05-17 13:13:56
    包过滤作为一种网络安全保护机制,主要用于对网络中各种不同的流量是否转发做一个最基本的控制。 传统的包过滤防火墙对于需要转发的报文,会先获取报文头信息,包括报文的源IP地址、目的IP地址、IP层所承载的上层...

    包过滤技术基础

    包过滤技术简介:

    对需要转发的数据包,先获取报头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或丢弃。

    实现包过滤的核心技术是访问控制列表。

    • 包过滤作为一种网络安全保护机制,主要用于对网络中各种不同的流量是否转发做一个最基本的控制。
    • 传统的包过滤防火墙对于需要转发的报文,会先获取报文头信息,包括报文的源IP地址、目的IP地址、IP层所承载的上层协议的协议号、源端口号和目的端口号等,然后和预先设定的过滤规则进行匹配,并根据匹配结果对报文采取转发或丢弃处理。
    • 包过滤防火墙的转发机制是逐包匹配包过滤规则并检查,所以转发效率低下。目前防火墙基本使用状态检查机制,将只对一个连接的首包进行包过滤检查,如果这个首包能够通过包过滤规则的检查,并建立会话的话,后续报文将不再继续通过包过滤机制检测,而是直接通过会话表进行转发。

    包过滤的基础:

    这里写图片描述

    图:包过滤基础-五元素

    包过滤能够通过报文的源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号、目的端口号、上层协议等信息组合定义网络中的数据流,其中源IP地址、目的IP地址、源端口号、目的端口号、上层协议就是在状态检测防火墙中经常所提到的五无组,也是组成TCP/UDP连接非常重要的五个元素。

    防火墙安全策略:

    定义:

    1. 安全策略是按一定规则检查数据流是否可以通过防火墙的基本安全控制机制。
    2. 规则的本质是包过滤。

    主要应用:

    1. 对跨防火墙的网络互访进行控制。
    2. 对设备本身的访问进行控制。

    防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。安全策略的作用就是对通过防火墙的数据流进行检验,符合安全策略的合法数据流才能通过防火墙。

    通过防火墙安全策略可以控制内网访问外网的权限、控制内网不同安全级别的子网间的访问权限等。同时也能够对设备本身的访问进行控制,例如限制哪些IP地址可以通过Telnet和Web等方式登录设备,控制网管服务器、NTP服务器等与设备的互访等。

    防火墙安全策略的原理:

    过程:

    1. 入数据流经过防火墙
    2. 查找防火墙安全策略,判断是否允许下一步操作。
    3. 防火墙根据安全策略定义规则对包进行处理。

    防护墙安全策略的作用:

    根据定义的规则对经过防火墙的流量进行筛选,并根据关键字确定筛选出的流量如何进行下一步操作。

    安全策略分类:

    • 域间安全策略

      域间安全策略用于控制域间流量的转发(此时称为转发策略),适用于接口加入不同安全区域的场景。域间安全策略按IP地址、时间段和服务(端口或协议类型)、用户等多种方式匹配流量,并对符合条件的流量进行包过滤控制(permit/deny)或高级的UTM应用层检测。域间安全策略也用于控制外界与设备本身的互访(此时称为本地策略),按IP地址、时间段和服务(端口或协议类型)等多种方式匹配流量,并对符合条件的流量进行包过滤控制(permit/deny),允许或拒绝与设备本身的互访。

    • 域内安全策略

      缺省情况下域内数据流动不受限制,如果需要进行安全检查可以应用域内安全策略。与域间安全策略一样可以按IP地址、时间段和服务(端口或协议类型)、用户等多种方式匹配流量,然后对流量进行安全检查。例如:市场部和财务部都属于内网所在的安全区域Trust,可以正常互访。但是财务部是企业重要数据所在的部门,需要防止内部员工对服务器、PC等的恶意攻击。所以在域内应用安全策略进行IPS检测,阻断恶意员工的非法访问。

    • 接口包过滤

      当接口未加入安全区域的情况下,通过接口包过滤控制接口接收和发送的IP报文,可以按IP地址、时间段和服务(端口或协议类型)等多种方式匹配流量并执行相应动作(permit/deny)。基于MAC地址的包过滤用来控制接口可以接收哪些以太网帧,可以按MAC地址、帧的协议类型和帧的优先级匹配流量并执行相应动作(permit/deny)。硬件包过滤是在特定的二层硬件接口卡上实现的,用来控制接口卡上的接口可以接收哪些流量。硬件包过滤直接通过硬件实现,所以过滤速度更快。

    防火墙转发原理

    防火墙域间转发:

    • 早期包过滤防火墙采取的是“逐包检测”机制,即对设备收到的所有报文都根据包过滤规则每次都进行检查以决定是否对该报文放行。这种机制严重影响了设备转发效率,使包过滤防火墙成为网络中的转发瓶颈。
    • 于是越来越多的防火墙产品采用了“状态检测”机制来进行包过滤。**“状态检测”机制以流量为单位来对报文进行检测和转发,即对一条流量的第一个报文进行包过滤规则检查,并将判断结果作为该条流量的“状态”记录下来。对于该流量的后续报文都直接根据这个“状态”来判断是转发还是丢弃,而不会再次检查报文的数据内容。**这个“状态”就是我们平常所述的会话表项。这种机制迅速提升了防火墙产品的检测速率和转发效率,已经成为目前主流的包过滤机制。
    • 在防火墙一般是检查IP报文中的五个元素,又称为“五元组”,即源IP地址和目的IP地址,源端口号和目的端口号,协议类型。通过判断IP数据报文报文的五元组,就可以判断一条数据流相同的IP数据报文。
    • 其中TCP协议的数据报文,一般情况下在三次握手阶段除了基于五元组外,还会计算及检查其它字段。三次握手建立成功后,就通过会话表中的五元组对设备收到后续报文进行匹配检测,以确定是否允许此报文通过。

    查询和创建会话:

    这里写图片描述

    图:创建会话过程

    可以看出,对于已经存在会话表的报文的检测过程比没有会话表的报文要短很多。而通常情况下,通过对一条连接的首包进行检测并建立会话后,该条连接的绝大部分报文都不再需要重新检测。这就是状态检测防火墙的“状态检测机制”相对于包过滤防火墙的“逐包检测机制”的改进之处。这种改进使状态检测防火墙在检测和转发效率上有迅速提升。

    状态监测机制:

    • 状态监测机制开启状态下,只有首包通过设备才能建立会话表项,后续包直接匹配会话表项进行转发。
    • 状态监测机制关闭状态下,即使首包没有经过设备,后续好只要通过设备也可以生成会话表项。

    对于TCP报文

    • 开启状态检测机制时,首包(SYN报文)建立会话表项。对除SYN报文外的其他报文,如果没有对应会话表项(设备没有收到SYN报文或者会话表项已老化),则予以丢弃,也不会建立会话表项。
    • 关闭状态检测机制时,任何格式的报文在没有对应会话表项的情况下,只要通过各项安全机制的检查,都可以为其建立会话表项。

    对于UDP报文

    • UDP是基于无连接的通信,任何UDP格式的报文在没有对应会话表项的情况下,只要通过各项安全机制的检查,都可以为其建立会话表项。

    对于ICMP报文

    • 开启状态检测机制时,没有对应会话的ICMP应答报文将被丢弃。
    • 关闭状态检测机制时,没有对应会话的应答报文以首包形式处理

    会话表项:

    这里写图片描述

    图:会话表项示例

    会话是状态检测防火墙的基础,每一个通过防火墙的数据流都会在防火墙上建立一个会话表项,以五元组(源目的IP地址、源目的端口、协议号)为Key值,通过建立动态的会话表提供域间转发数据流更高的安全性。

    防火墙安全策略及应用

    域间安全策略的匹配规则:

    • 域间缺省包过滤

      当数据流无法匹配域间安全策略时,会按照域间缺省包过滤规则来转发或丢弃该数据流的报文。

    • 转发策略

      转发策略是指控制哪些流量可以经过设备转发的域间安全策略,对域间(除Local域外)转发流量进行安全检查,例如控制哪些Trust域的内网用户可以访问Untrust域的Internet。

    • 本地策略

      本地策略是指与Local安全区域有关的域间安全策略,用于控制外界与设备本身的互访。

    域间安全策略业务流程:

    这里写图片描述

    图:域间安全策略业务流程

    报文入站后,将首先匹配会话表,如果命中会话表,将进入后续包处理流程,刷新会话表时间,并直接根据会话表中的出接口,转发数据。

    报文入站后,将首先匹配会话表,如果没有命中会话表,将进入首包包处理流程。依次进行黑名单检查,查找路由表,匹配域间安全策略,新建会话表,转发数据。

    黑名单的实现原理就是:设备上建立一个黑名单表。对于接收到的报文的源IP地址存在于黑名单中,就将该报文予以丢弃。

    黑名单分类:

    • 静态黑名单

      管理员可以通过命令行或Web方式手工逐个将IP地址添加到黑名单中。

    • 动态黑名单

      转发策略和缺省域间包过滤优先级

      转发策略优先于缺省域间包过滤匹配。设备将首先查找域间的转发策略,如果没有找到匹配项将匹配缺省包过滤进行处理。

    • 刷新会话表

      刷新会话表主要是刷新会话表老化时间,老化时间决定会话在没有相应的报文匹配的情况下,何时被系统删除。

    配置转发策略流程:

    这里写图片描述

    图:配置转发策略的流程图

    基于IP地址的转发策略配置示例:

    实验拓扑:

    这里写图片描述

    图:实验拓扑图

    实验要求:

    如上图,防火墙的Gi0/0/0口在Trust区域,Gi0/0/01在UNtrust区域,通过配置策略,使得内网中除了PC1:192.168.1.2可以访问服务器,其他主机都不能访问服务器。

    配置文件:

    FW配置文件:

    [FW]dis current-configuration  
    23:45:46  2018/04/26
    #
    interface GigabitEthernet0/0/0
     ip address 192.168.1.1 255.255.255.0
    #
    interface GigabitEthernet0/0/1
     ip address 10.1.1.1 255.255.255.0
    #
    firewall zone local
     set priority 100
    #
    firewall zone trust
     set priority 85
     add interface GigabitEthernet0/0/0
    #
    firewall zone untrust
     set priority 5
     add interface GigabitEthernet0/0/1
    #
    firewall zone dmz
     set priority 50
    #
     //配置地址集
    ip address-set ip_deny type object
     address 1 192.168.1.3 0
     address 2 192.168.1.4 0
    #
     sysname FW
    #
     firewall packet-filter default permit interzone local trust direction inbound
     firewall packet-filter default permit interzone local trust direction outbound
     firewall packet-filter default permit interzone local untrust direction outboun
    d
     firewall packet-filter default permit interzone local dmz direction outbound
    #
    #
     firewall statistic system enable
     //防火墙状态检测默认开启
    #
    //防火墙策略
    policy interzone trust untrust inbound
     policy 0
      action permit
      policy destination 192.168.1.2 0
    
     policy 1
      action permit
      policy source 192.168.1.2 0
    #
    policy interzone trust untrust outbound
     policy 0
      action deny
      policy source address-set ip_deny
    
     policy 1
      action permit
      policy source 192.168.1.2 0
    #
    return
    

    配置成功后测试:

    这里写图片描述

    图:PC1可以ping通服务器

    这里写图片描述

    图:PC2不能ping通服务器

    [外链图片转存失败(img-IQFcshom-1566700164525)(防火墙安全策略/策略.png)]

    图:防火墙策略

    这里写图片描述

    图:会话表


    参考文档:华为HedEx文档


    展开全文
  • H3C防火墙基础配置2-配置安全策略

    万次阅读 2019-11-06 10:15:10
    1 安全策略简介 安全策略对报文的控制是通过安全策略规则实现的,规则中可以设置匹配报文的过滤条件,处理报文的动作和对于报文内容进行深度检测等功能。 (1)规则的名称和编号 安全策略中的每条规则都由唯一...
  • Windows服务器安全策略

    千次阅读 2019-09-25 21:20:48
    Windows 操作系统配 置“管理工具”—“本地 安全策略”—“帐户策略” --“密码策略”,启用“密 码必须符合复杂度要求” , “密码长度最小值”设定 为 8。“密码最长使用期 限”设定为 90 天。“密 码最短...
  • 《计算机信息系统安全保护等级划分准则》(GB17859-1999)是建立安全等级保护制度,实施安全等级管理的重要基础性标准,他讲计算机信息系统分为5个安全等级。
  • 网络安全策略和网络安全机制

    千次阅读 2019-01-05 18:03:28
    考研初试专业课中的一个题目,考的是有关安全机制和安全策略有关的方面,在专业课教材里翻了好久没有找到相关的内容,拿到复试的教材后发现才里面有提到~于是今天拿出来总结一下好了 网络安全策略 安全策略是指在一...
  • 详细解释了信息安全策略的概念及内容。包括信息安全策略的制定、信息安全策略制定过程、信息安全策略框架、信息安全策略的配套标准、信息安全策略的推行、信息安全策略的推进手段等内容。
  • 防火墙安全策略功能入门

    千次阅读 2020-09-08 10:03:38
    现在版本更新很快,WEB页面功能更加完善,其中新版本主推的安全策略配置功能,操作也很方便。 首先在命令行移除了域间策略部分配置: undo security-zone intra-zone default permit 需要注意的是,vFW默认没有...
  • Web前端安全策略之XSS的攻击与防御

    千次阅读 多人点赞 2020-05-29 16:24:47
    随着技术的发展,前端早已不是只做页面... 若是没有些安全策略, 很容易被别人通过某些操作,获取到一些用户隐私信息,那么用户数据隐私就无法得到保障。 对于前端方面的安全策略你又知道多少呢?接下来我们来介绍一下~
  • 配置华为防火墙安全策略

    千次阅读 多人点赞 2021-06-24 10:09:31
    Web配置防火墙安全策略: 命令配置防火墙安全策略: [FW1]security-policy //配置安全策略 [FW1-policy-security]rule name trust_dmz //安全策略名称 [FW1-policy-security-rule-trust_dmz]source-zone trust /...
  • 防火墙安全策略技术

    千次阅读 2020-07-30 19:54:04
    2、安全策略与包过滤的区别 3、安全策略的原理 (1)防火墙的基本作用 是保护特定网络免受“不信任“网络的攻击,同时还必须允许两个网络之间可以进行合法的通信。 (2)安全策略的定义和作用 定义:是控制设备对...
  • 如何配置服务器安全策略

    千次阅读 2019-04-11 13:52:06
    如何配置服务器安全策略? 内容摘要:如何配置服务器安全策略?服务器安全策略的核心价值在于保障数据中心服务器的安全性。数据中心是应用虚拟化的基础平台,保证了这个平台的稳定和安全,各种操作才会流畅无阻。...
  • Windows Server 2008配置系统安全策略

    千次阅读 2020-02-24 10:47:17
    下面学习Windows Server 2008配置系统安全策略 在工作组中的计算机本地安全策略有 用户策略,...1.在工作组中的安全策略,打开本地安全策略。 2.打开本地安全策略之后选择密码策略,可以看到有很多的策略,先看第一...
  • 本地安全策略

    千次阅读 2019-02-04 18:56:18
    (一)、本地安全策略的定义:影响当前计算机的安全设置,用户登录后会受安全策略的控制 (二)、打开本地安全策略管理控制台: 1、图形化: 开始\控制面板\系统和安全\管理工具\本地安全策略 2、命令:secpol....
  • 如果接口上应用了IPSec安全策略,则修改IPSec和IKE的各项参数时,需注意在修 改IPSec安全策略时可以直接新增或删除IPSec安全策略或者修改IPSec安全策略中 的各项配置。 对于模板方式建立的IPSec安全策略: 1.修改...
  • 华为eNSP安全策略配置

    万次阅读 2019-01-11 13:52:12
    安全策略配置原则 首包做安全策略过滤;后续包不做安全策略过滤,而是根据会话表进行转发。 安全策略业务流程 流量通过下一代防火墙(NGFW)时,安全策略的处理流程如下: ①NGFW会对收到的流量进行检测,...
  • Win10家庭版增加本地安全策略(组策略)

    万次阅读 多人点赞 2019-06-28 15:59:11
    Windows本地安全策略就是组策略 Win10家庭版是没有组策略编辑器的,只有专业版和企业版才有 但是我们真的可以自己添加,以前以为是不行的,现在亲测成功了。 在任意位置新建一个txt文档,打开后将以下代码复制...
  • AWS Windows Server 2019 安全策略 Firewall

    千次阅读 2021-10-24 10:35:51
    Windows Administrative Tools Local Security Policy Windows Defender Firewall with Advanced Security Local Group Policy Object Protocol and Ports
  • 华为防火墙安全策略配置

    千次阅读 2020-07-16 20:18:34
    打开序号1的安全策略, 将动作改为允许 12.再次PC1和PC4互PING(两个都PING通) 13.新建一个安全策略,并进行如下配置 14.将序号2的动作重新改回禁止 15. 再次PC1和PC4互PING(PC1通PC4不通) 16.恭喜你完成了 希望...
  • 内容安全策略(CSP)详解

    万次阅读 多人点赞 2018-04-18 10:27:12
    内容安全策略(CSP),其核心思想十分简单:网站通过发送一个 CSP 头部,来告诉浏览器什么是被授权执行的与什么是需要被禁止的。其被誉为专门为解决XSS攻击而生的神器。
  • H3C防火墙-安全策略典型配置举例

    千次阅读 2020-10-21 09:59:08
    基于 IP 地址的安全策略配置举例 组网需求 • 某公司内的各部门之间通过 Device 实现互连,该公司的工作时间为每周工作日的 8 点到 18点。 • 通过配置安全策略规则,允许总裁办在任意时间、财务部在工作时间通过 ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 598,091
精华内容 239,236
关键字:

安全策略