精华内容
下载资源
问答
  • 安全策略
    千次阅读
    2019-03-04 17:34:37

    防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。安全策略的作用就是对通过防火墙的数据流进行检验,符合安全策略的合法数据流才能通过防火墙。

    基于ACL的包过滤

    前期已经提到这种单纯的包过滤正在逐步退出历史舞台,这里只简单介绍一下。

    包过滤的处理过程是先获取需要转发数据包的报文头信息,然后和设定的ACL规则进行比较,根据比较的结果对数据包进行转发或者丢弃。实现包过滤的核心技术是访问控制列表ACL。

    因此包过滤只能基于IP地址、端口号等控制流量是否可以通过防火墙,无法准确识别应用。

    基于ACL的包过滤的配置方式是先配置好包含多条数据流规则(rule)的ACL,其中每条rule包含数据流的匹配条件和permit/deny动作,然后ACL再被域间包过滤引用。一个域间只能引用一个ACL。

     

     

    发展中期的UTM设备安全策略

    随着USG2000/5000系列UTM产品的推出,“安全策略”这个概念被提出。之所以不叫包过滤了,是因为策略中集成了UTM检测功能,配置方式也由ACL方式变为Policy方式。动作为permit的安全策略可以引用IPS、AV等UTM策略,对流量进一步进行UTM检测,通过检测的流量才能真正通过防火墙。

    此时的安全策略已经有一体化安全处理的雏形了,将防火墙包过滤功能和内容安全功能进行了融合,但是还有一定局限性。

    UTM更多的是体现功能集成,将传统防火墙、入侵防御设备、反病毒设备等集成到一个硬件。UTM设备的多个安全功能之间的紧密度不高,报文匹配安全策略的匹配条件后需要逐一进入各个UTM模块进行检测和处理,如果同时开启多个安全功能,设备性能往往大幅下降。另外基于应用的管控需要配置额外的应用控制策略,不能直接将应用类型作为策略的匹配条件。例如需要禁止员工使用IM应用,此时要额外配置禁止IM应用的“应用控制策略”然后再在安全策略引用生效。也就是应用识别与管控需要进入另外一个模块处理。

    NGFW的一体化安全策略

    到了NGFW阶段,对一体化、应用识别与管控、高性能等要求更高。安全策略充分体现了这些特质,通过应用、用户、内容、威胁等多个维度的识别将模糊的网络环境映射为实际的业务环境,从而实现精准的访问控制和安全检测。

    1、 NGFW之前的安全策略都是应用在域间的(安全区域必配),NGFW的安全策略应用在全局,安全区域与IP地址等一样只是作为可选的匹配条件。而且安全区域支持多选。

    这样配置更灵活,可以不关注安全区域、域间方向,只需关注访问的源/目的。另外还可以实现跨多域的访问的一次性配置。

    2、缺省包过滤也是全局只有一条,不再区分域间。

    3、增加应用作为匹配条件,对应用的阻断/允许直接在安全策略中配置。

    4、增加用户作为匹配条件,实现基于用户的管控,即使IP发生变化用户的权限也是不变的。

        也就是应用和用户的识别都融入了防火墙安全策略的处理流程中,无论从配置还是设备 处理上都体现了“一体化”。

    5、通过高性能的一体化检测引擎实现一次扫描、实时检测,即使开启所有内容安全功能,也不会造成设备性能的大幅下降。

    更多相关内容
  • H3C NGFW防火墙——从域间策略到安全策略,非常好的华三防火墙安全配置视频,网上很少有
  • 包过滤和安全策略 包过滤 获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。 实现包过滤的核心技术是访问控制列表ACL。 设定规则主要通过五元组定义。 五元组 源ip、目的ip...

     

    什么是安全策略

    fw的基本作用就是对进出网络的访问行为进行控制,保护特定网络不受不信任网络的攻击,但同时还需要允许两个网络之间可以进行合法通信。

    安全策略是fw的核心特性,作用是对通过fw的数据流进行检验,只有符合安全策略的合法流量才能通过fw进行转发。fw实现访问控制就是通过安全策略技术来实现的。

    安全策略由匹配条件(五元组、用户、时间段等)和动作组成的控制规则,fw收到流量后,对流量的属性(五元组、用户、时间段等)进行识别,并将流量的属性与安全策略的匹配条件进行匹配,如果所有条件都匹配,则此流量成功匹配安全策略,流量匹配安全策略后,设备将会执行安全策略的动作。

    • 如果动作为“允许”,则对流量进行如下处理:
      • 如果没有配置内容安全检测,则允许流量通过。
      • 如果配置内容安全检测,最终根据内容安全检测的结论来判断是否对流量进行放行。
    • 如果动作为“禁止”,则禁止流量通过。

    只有首包流程会做安全策略,后续包流程不做安全策略过滤。而是根据会话表进行状态检测。转发效率高。

    缺省情况下,安全策略仅对单播报文进行控制,对广播和组播报文不做控制,直接转发。

    安全策略匹配流程

    流量通过防火墙时,安全策略处理流程如下:

    对收到的流量进行检测,检测出流量的属性,包括:源目安全区域、源目IP地址/地区、用户、服务(源目端口、协议类型)、应用、时间段。

    防护墙将流量的属性与安全策略的条件进行匹配,如果所有条件都匹配,则此流量成功匹配安全策略。如果其中一个条件不匹配,则该安全策略匹配失败,顺序匹配下一条安全策略。如果所有安全策略都不匹配,则匹配到底层缺省的安全策略,执行其动作deny。(也可以将其修改为perimit,此时防火墙安全策略形同虚设,该功能主要在调试阶段使用)匹配顺序是按照策略列表顺序匹配,而不是按照rule id

    如果流量成功匹配到一条安全策略,防火墙将会执行此安全策略的动作,不再执行下一个策略的匹配。

    如果动作为禁止,则防火墙阻断该流量。反之执行下一步动作(放行或继续进行内容安全检查)

    可以把精确的策略放在上面(前面),模糊的策略放在下面(后面)。放在模糊策略后面的精确策略可能永远不会被命中。可以通过rule move before/after rule-name对安全策略进行移动。

    即:安全策略之间是或的关系,安全策略内条件之间是与的关系,条件可以有多个值,值之间是或的关系。

    如果安全策略引用了内容安全内容(即安全配置文件),则执行内容安全的一体化检测。检测条件之间是与的关系。

    如果没有引用内容安全内容(即安全配置文件),则安全策略检测结束,放行流量。

    禁止条件下为什么不做内容安全了?

    禁止了直接丢包阻断流量,内容安全检测已经没有意义。

    安全策略配置流程

    本地安全策略

    本地流量指的是目的为fw自身的流量或者从fw自身发出的流量。

    在很多需要FW本身进行报文收发的应用中,需要放开本地流量的安全策略。包括:

    • 需要对FW本身进行管理的情况。例如Telnet登录、Web登录、接入SNMP网管等。
    • FW本身作为某种服务的客户端或服务器,需要主动向对端发起请求或处理对端发起的请求的情况。例如FTP、PPPoE拨号、NTP、IPSec VPN、DNS、升级服务、URL远程查询、邮件外发等。

    从防火墙本身发起访问

    需要放行安全策略local--->any

    以ping为例:

    security-policy
    rule name local-any
    source-zone local
    service icmp
    action permit

    从非local区域访问防火墙的自身接口(属于local区域)

    以ping为例:

    方法1:开对应接口的具体管理服务

    interface g0/0/1 
    service-manager ping permit

    方法2:让安全策略生效,关闭接口管理服务

    interface g0/0/1
    undo service-manager enable
    security-policy
    rule name trust-local
    source-zone trust
    destination-zone local
    action permit

    注意:此时的安全策略才能生效,原因是管理服务优先级高于安全策略

    安全策略标识

    • 名称

      安全策略规则的名称是最常见的标识安全策略的方式。名称必须是唯一的,不能重复。在实际现网中,会存在多条安全策略,为了方便后续查找和维护,建议按照安全策略规则的作用来命名,例如,控制trust到dmz的安全策略,可以命名为sec_policy_trust-dmz;控制企业研发部门的安全策略,可以命名为sec_policy_research。

    • 描述

      描述信息有助于管理员正确理解安全策略规则的功能,使规则变得方便选择、查找和维护。

    • 序号

      在Web界面上,安全策略列表中最左列的序号用来标识安全策略的顺序,此序号会随着安全策略的顺序的移动而变化,因此不能唯一标识一条安全策略。

    • ID

      系统会为每条安全策略规则分配一个ID,ID唯一标识一条安全策略,通过display security-policy rule all命令可以查看安全策略的ID。缺省安全策略的ID为0。

    • 标签

      当设备创建的策略较多时,标签可以用于对安全策略进行标识和分类,当用户想对某一类策略进行查看并进行批量处理时可以通过搜索标签来完成。

    安全策略的过滤机制

    对于同一条数据流,只需要在访问发起的方向上配置安全策略,反向流量无需配置安全策略。即首包匹配安全策略,通过安全策略过滤后建立会话表,后续包直接匹配会话表,无需再匹配安全策略,提高业务处理效率。

    通过状态检测建立会话表。

    状态检测可以理解为自反acl。网络中大部分流量都是双向的,防火墙可以通过一条安全策略实现流量出入的限制。比如放通从从1.1.1.1的1000端口访问2.2.2.2的2000端口,那么从2.2.2.2的2000端口向1.1.1.1的1000端口的回包也是允许的,但是必须是1.1.1.1的1000端口主动访问了2.2.2.2的2000端口后才行,不允许从2.2.2.2的2000端口主动访问1.1.1.1的1000端口。如果使用acl来做,必须同时在一个接口的inbound方向和outbound方向分别配置。另外如果我们主动发起连接时,使用随机端口,那么对于acl而言就不好做inbound方向的限制了,最多只能对目的端口进行限制,而无法对源端口进行限制。状态检测通过建立会话表的方式,可以监测流量特征,唯一确定一条连接。


    理解状态检测还需要梳理一下防火墙的发展史,其实一开始防火墙就是基于acl的包过滤防火墙,它的安全策略就是逐包顺序匹配acl,而且正反向都进行配置,进出都需要匹配,后来为了提高效率和安全性,引入了状态检测的概念,可以将其理解为让安全策略变成动态的了。

    防火墙发展史

    包过滤防火墙

    工作在网络层,根据配置的安全策略转发或者丢弃数据包,设计简单,价格便宜。

    可以理解成包过滤防火墙,按照acl逐包检测。

    但是存在以下问题:

    效率低下:逐包检测,无法关联数据包之间的关系。同一条流量的后续数据包进出时还需要重新顺序匹配所有acl,随着安全规则的复杂性和长度,其过滤性能指数型下降,效率较低。

    安全风险:第一是通常只检查报头ip/tcp,不检测应用层数据(内容有问题)。第二是无法解决any到x导致的x到any的问题。

    无法适用多通道协议数据通道所用到的目的端口等关键参数需要携带在控制通道的数据中进行协商,随机端口无法提前知道,从而通过acl策略进行准确匹配。

    针对其的升级就是状态检测防火墙。

    代理防火墙

    与包过滤防火墙、状态检测防火墙没有前后继承关系,是独立的分支。

    工作在应用层,实质是把内部网络和外部网络用户之间直接进行的业务由代理接管。代理检查来自用户的请求,用户通过安全策略检查后,该防火墙将代表外部用户与真正的服务器建立连接,转发外部用户请求,并将真正服务器返回的响应回送给外部用户。可以理解为:外网终端把防火墙认为是服务器本身。

    缺点在于:

    处理速度慢:由于使用软件实现,所以处理速度被限制,易于遭受拒绝服务攻*击。

    升级困难:针对每一种协议开发应用层代理,开发周期长,升级困难。因此不支持非知名的应用所使用的协议,只能代理http、mail、ftp等知名协议。

    状态检测防火墙

    是继承于包过滤防火墙的,是对包过滤防火墙的升级。

    ngfw基于状态检测,最典型的区别于路由器和交换机的功能。

    工作在网络层和应用层。在网络层截获数据包,在应用层提取安全策略需要的状态信息,并保存在会话表中,通过分析这些会话表和与该数据包有关的后续连接请求来做出恰当决定。

    在TCP数据流中,每个数据包都不是独立存在的,而是前后密切相关的。下面是tcp报文的交互过程。

    client(1.1.1.1)<---------------------------------------->webserver(2.2.2.2)

    srcip 1.1.1.1 dstip 2.2.2.2 srcport x dstport 80 seq=a ack=0 flags[SYN]

    srcip 2.2.2.2 dstip 1.1.1.1 srcport 80 dstport x seq=b ack=a+1 flags[ACK,SYN]

    srcip 1.1.1.1 dstip 2.2.2.2 srcport x dstport 80 seq=a+1 ack=b+1 flags[ACK]

    srcip 1.1.1.1 dstip 2.2.2.2 srcport x dstport 80 seq=a+1 ack=b+1 flag[ACK] data[HTTP 100bytes]

    srcip 2.2.2.2 dstip 1.1.1.1 srcport 80 dstport x seq=b+1 ack=a+1+100 flags[ACK] data[HTTP 200bytes]

    srcip 1.1.1.1 dstip 2.2.2.2 srcport x dstport 80 seq=a+1+100 ack=b+1+200 flag[ACK] data[HTTP 100bytes]

    可以发现,我们完全可以根据上一个报文的信息判断出下一个报文的部分信息,这就是报文的前后关联性。参数的取值一直在变化,状态检测防火墙对这样的变化进行分析,判断报文是不是合法的报文。

    只能针对tcp和icmp,无法针对udp。

    UDP是不可靠的无状态协议,没有序列号和确认号,没有握手机制,无法实现隐式确认。

    tcp是可靠的有状态的三次握手建立连接,基于连接产生的会话。首包是syn报文。

    icmp是通过request和reply报文进行交互,也属于可靠的连接。首包是ping的echo-request报文。

    不是说对于其他协议不去检测,而是在状态检测这一步不去检测,后面还有安全策略和内容安全的检测。

    状态检测就是判断一个包是不是首包并对没有查到已有状态化表项的非首包进行丢弃。对首包进行安全策略检查,检查通过后记录会话信息,建立起会话表。后续的报文根据会话表做转发。

    即:对通过安全策略检查的首包建立会话表,通过会话表指导后续报文的转发。

    主动发起访问的包是首包,响应的回包是后续报文。首包根据是否匹配安全策略判断是否通过,后续报文根据是否匹配会话表判断是否通过。

    防火墙通过状态检测功能来对报文的链路状态进行合法性检测,丢弃链路状态不合法的报文。状态检测功能不仅检测普通报文,也对内层报文即pn解封装后的报文进行检测。

    对于来回路径一致的组网环境,可以在防火墙上开启状态检测功能,保证业务安全。但是在报文来回路径不一致的情况下,防火墙可能只会收到通信过程中的后续报文,而没有收到首包,在这种情况下,为了保证业务正常,就需要关闭fw的状态检测功能,当关闭后,fw可以通过后续报文建立会话,保证业务的正常运行。

    undo firewall session link-state check 关闭掉状态检测。默认开启

    不管关闭或者开启状态检测,创建会话的前提是报文要通过设备上包括安全策略在内的各项安全机制额检查。

    会话表是防火墙转发的唯一依据。这是防火墙最重要的一个特性。没有会话表通通丢掉。

    1、解决效率低的问题

    首包建立会话,后续匹配会话。

    处理后续报文速度快因为现网中会话表条目毕竟要比acl条目要少很多。我们可以做很多的安全策略或者acl,但这些安全策略不会全部变成我们会话表的一项,我们会话表的内容是首包通过后才建立的,并且会动态的进行删除,所以说他的数量很少。如果说一条正在进行中的业务流量,这个流量进出的数据包去查找会话表要比查找安全策略/acl要快很多。

    2、解决安全性不高的问题

    第一通过会话表解决由于需要从内到外any到x而放行从外到内x到any的问题。

    第二通过内容安全解决应用层数据的检测。

    3、解决多通道协议问题

    通过aspf

    展开全文
  • Windows 本地安全策略

    千次阅读 2022-03-05 15:48:31
    Windows本地安全策略一、本地安全策略1. 概述2. 打开方式二、帐户策略1. 密码策略2. 帐户锁定策略三、本地策略1. 审核策略2. 用户权限分配3. 安全选项四、本地安全策略应用案例一案例二案例三 一、本地安全策略 1. ...

    一、本地安全策略

    1. 概述

    对登陆到计算机上的账号定义一些安全设置,在没有活动目录集中管理的情况下,本地管理员必须为计算机进行设置以确保其安全。

    2. 打开方式

    点击开始菜单 → Windows 管理工具 → 本地安全策略
    使用命令打开:

    # 在 Windows 运行窗口输入命令
    secpol.msc
    
    也可以在本地组策略中查看(本地组策略包含本地安全策略)
    # 在 Windows 运行窗口输入命令
    gpedit.msc
    

    二、帐户策略

    1. 密码策略

    • 密码必须符合复杂性要求:
      • 对于 Windows server 操作系统,默认是启用状态。
      • 不能包含用户的帐户名,不能包含用户姓名中超过两个连续字符的部分。
      • 至少有六个字符长。
      • 包含以下四类字符中的三类字符:
        • 英文大写字母(A 到 Z)。
        • 英文小写字母(a 到 z)。
        • 10 个基本数字(0 到 9)。
        • 非字母字符(例如 !、$、#、%)。
    • 密码长度最小值:
      • 设置密码的长度,默认为0表示不需要密码,设置的区间是1~14。当开启了复杂性要求,此设置如果小于6将不再有意义。
    • 密码最短使用期限:
      • 密码最短使用的时间默认为0,允许立即更改密码。
    • 密码最长使用期限:
      • 密码最长使用的时间默认为42天,当到期后,系统会自动提醒更改密码。
    • 强制密码历史:
      • 设置确定再次使用某个旧密码之前必须与某个用户帐户关联的唯一新密码数。该值必须介于 0 个和 24 个密码之间。

    2. 帐户锁定策略

    • 帐户锁定时间
      • 此安全设置确定锁定帐户在自动解锁之前保持锁定的分钟数。可用范围从 0 到 99,999 分钟。如果将帐户锁定时间设置为 0,帐户将一直被锁定直到管理员明确解除对它的锁定。
      • 如果定义了帐户锁定阈值,则帐户锁定时间必须大于或等于重置时间。
    • 帐户锁定阈值
      • 此安全设置确定导致用户帐户被锁定的登录尝试失败的次数。
      • 在管理员重置锁定帐户或帐户锁定时间期满之前,无法使用该锁定帐户。
      • 可以将登录尝试失败次数设置为介于 0 和 999 之间的值。如果将值设置为 0,则永远不会锁定帐户。
    • 重置帐户锁定计数器
      • 此安全设置确定在某次登录尝试失败之后将登录尝试失败计数器重置为 0 次错误登录尝试之前需要的时间。可用范围是 1 到 99,999 分钟。
      • 如果定义了帐户锁定阈值,此重置时间必须小于或等于帐户锁定时间。

    三、本地策略

    1. 审核策略

    描述了如何设置应用于审核的各种设置。本模块还提供了由几个常见任务创建的审核事件示例。每当用户执行了指定的某些操作,审核日志就会记录一个审核项。您可以审核操作中的成功尝试和失败尝试。安全审核对于任何企业系统来说都极其重要,因为只能使用审核日志来说明是否发生了违反安全的事件。如果通过其他某种方式检测到入侵,正确的审核设置所生成的审核日志将包含有关此次入侵的重要信息。

    2. 用户权限分配

    通过用户权限分配,可以为某些用户和组授予或拒绝一些特殊的权限,如更改系统时间,拒绝本地登录等。

    3. 安全选项

    通过本地策略中的安全选项,可以控制一些和操作系统安全相关的设置,安全选项中的策略。

    四、本地安全策略应用

    1. 案例一

    设置帐户策略(计算机账户密码长度最少要有8个字符,用户连续3次输错密码,该账户会被锁定)。

    • 本地安全策略 → 帐户策略 → 密码策略 → 密码长度最小值设置为 8。

      本地安全策略 → 帐户策略 → 帐户锁定策略 → 帐户锁定阈值设置为 3,设置了帐户锁定阈值,帐户锁定时间和重置帐户锁定计数器默认会开始,默认为 30 分钟,保持默认就 OK。

    2. 案例二

    为了保证服务器资源的安全性,针对对象访问情况进行审计,并添加到日志中,作为后期找出问题的凭证。

    • 本地安全策略 → 本地策略 → 审核策略 → 审核对象访问设置为成功、失败都进行审核,这样就可以看到哪些用户访问成功了哪些对象,哪些想要进行非法访问。

    3. 案例三

    为了保证服务器的安全性,一般服务器允许管理员本地进行登录,对于普通用户不允许进行本地登录,设置用户权限分配。

    • 本地安全策略 → 本地策略 → 用户权限分配 → 拒绝本地登录,将users(普通用户组)添加进去。

    4. 更新策略

    策略设置完成后需要更新策略才能生效。

    • 重启计算机。
    • 使用命令进行刷新:
      # 在 cmd 窗口输入命令进行刷新策略
      gpupdate
      # 当直接刷新不成功可以使用强制刷新命令
      gpupdate /force
      
    展开全文
  • 华为防火墙笔记-安全策略

    千次阅读 2021-12-04 14:18:23
    这里还要特意说明一下安全策略中的条件,可分为多个字段,如源地址、目的地址、源端口、目的端口等,这些字段之间是“与”的关系,也就是说,只有报文中的信息和所有字段都匹配上,才算是命中了这条策略。...

    文章整理自《华为防火墙技术漫谈》

    安全策略初体验

    规则是实施安全控制的“安检员”,它在防火墙转发报文的过程中扮演着重要角色,只有规则允许通过,报文才能在安全区域之间流动,否则报文将被丢弃。规则在防火墙上的具体体现就是“安全策略”。

    这里还要特意说明一下安全策略中的条件,可分为多个字段,如源地址目的地址源端口目的端口等,这些字段之间是“”的关系,也就是说,只有报文中的信息和所有字段都匹配上,才算是命中了这条策略。如果同一个字段中有多个匹配项,同时有两个源地址或三个目的地址,那么这些匹配项之间是“”的关系,只要报文匹配了其中的一项,就算匹配了该条件。

    匹配顺序

    安全策略之间是存在顺序的,防火墙在两个安全区域之间转发报文时,会按照从上到下的顺序逐条查找域间存在的安全策略。如果报文命中了某一条安全策略,就会执行该安全策略中的动作,或允许通过或拒绝通过,不会再继续向下查找如果报文没有命中某条安全策略,则会向下继续查找

    基于上述实现方式,我们在配置安全策略时要遵循“先精细,后粗犷”的原则。具体来说,就是先配置匹配范围小、条件精确的安全策略,然后再配置匹配范围大、条件宽泛的安全策略。相信大家都配置过ACL规则,安全策略的配置和ACL规则是一个道理。

    缺省包过滤

    缺省包过滤的条件最宽泛,所有的报文都可以匹配上,所以防火墙把缺省包过滤作为处理报文的最后手段。如下图所示,报文如果没有命中任何一条安全策略,最后将会命中缺省包过滤,防火墙将会对报文执行缺省包过滤中配置的动作。

    默认情况下,缺省包过滤的动作是拒绝通过,也就是说,如果没有配置任何安全策略,防火墙是不允许报文在安全区域之间流动的。有时候为了简化配置,大家会把两个安全区域之间缺省包过滤的动作设置成允许通过。这样操作确实省时省事,但是会带来极大的安全风险,允许所有报文通过,网络隔离和访问控制都无法实现,防火墙也就失去了存在的意义。所以我们建议不要轻易将缺省包过滤的动作设置成允许通过,而是通过配置条件精确的安全策略来控制报文的转发。

    另外还有一点需要特别说明,当防火墙的接口工作在二层模式(透明模式)时,经过防火墙的报文也会受到安全策略的控制,所以这种情况下也需要配置相应的安全策略对报文进行管控。

    2.2安全策略发展历程

    华为防火墙安全策略的发展主要经历了三个阶段:基于ACL的包过滤阶段融合UTM的安全策略阶段一体化安全策略阶段

    华为防火墙安全策略的发展历程有以下几个特点。

    • 匹配条件越来越精细,从传统防火墙的基于IP端口来识别报文到下一代防火墙基于用户应用内容来识别报文,识别能力越来越强。
    • 动作越来越多,从简单的允许/拒绝报文通过到对报文进行多种内容安全检查,处理手段越来越丰富。
    • 配置方式也在不断改进,从配置ACL到配置一体化安全策略,易于理解,简单便捷。

    第一阶段:基于ACL的包过滤

    包过滤的处理过程是先获取需要转发数据包的报文头信息,然后和设定的ACL规则进行比较,根据比较的结果对数据包进行转发或者丢弃。实现包过滤的核心技术是访问控制列表ACL

    因此包过滤只能基于IP地址、端口号等控制流量是否可以通过防火墙,无法准确识别应用。

    [FW] acl 3000

    [FW-acl-adv-3000] rule deny ip source 192.168.0.100 0

    [FW-acl-adv-3000] rule permit ip source 192.168.0.0 0.0.0.255 destination 172.16.0.0 0.0.0.255

    [FW] firewall interzone trust untrust

    [FW-interzone-trust-untrust] packet-filter 3000 outbound

    第二阶段:融合UTM的安全策略

    融合UTM的安全策略由条件、动作和UTM策略组成。有一点需要注意,在安全策略的条件中出现了服务集(Service-set的概念,代替了协议和端口。安全策略中已经内置了一些服务集,包含常见的协议,直接配置成条件即可;对于不在此范围之内的协议或端口,我们可以自定义新的服务集,然后在安全策略中引用。

    对于融合UTM的安全策略来说,多条安全策略之间也是存在顺序的,防火墙在两个安全区域之间转发报文时,会按照从上到下的顺序逐条查找域间存在的安全策略。如果报文命中了某一条安全策略,就会执行该安全策略中的动作,不会再继续向下查找;如果报文没有命中某条安全策略,则会向下继续查找。如果所有的策略都没有命中,则执行缺省包过滤中的动作。

    第三阶段:一体化安全策略

    所谓的一体化,主要包括两个方面的内容:其一是配置上的一体化,像反病毒入侵防御URL过滤邮件过滤等安全功能都可以在安全策略中引用安全配置文件来实现,降低了配置难度;其二是业务处理上的一体化,安全策略对报文进行一次检测,多业务并行处理,大幅度提升了系统性能。

    一体化安全策略除了基于传统的五元组信息之外,还能够基于Application

    (应用)Content(内容)Time(时间)User(用户)Attack(威胁)Location(位置)6个维度将模糊的网络环境识别为实际的业务环境,实现精准的访问控制和安全检测。

    [USG6600]security-policy
    
    [USG6600-policy-security]rule name abc
    
    [USG6600-policy-security-rule-abc]source-zone trust
    
    [USG6600-policy-security-rule-abc]destination-zone untrust
    
    [USG6600-policy-security-rule-abc]source-address 10.1.1.0 24
    
    [USG6600-policy-security-rule-abc]application app QQLive
    
    [USG6600-policy-sec:urity-rule-abc]profile ips default
    
    [USG6600-policy-security-rule-abc]action permit

    Local区域的安全策略

    网络中的一些业务需要经过防火墙转发,还有一些业务是需要防火墙自身参与处理。例如,管理员会登录到防火墙上进行管理Internet上的设备或用户会与防火墙建立VPN防火墙和路由器之间会运行OSPF路由协议防火墙会与认证服务器对接等。

    这些业务如果想要正常运行,就必须在防火墙上配置相应的安全策略,允许防火墙接收各个业务的报文。具体来说,就是要在防火墙的Local安全区域与业务使用的接口所在的安全区域之间配置安全策略。

    针对OSPF协议配置Local区域的安全策略

    缺省包过滤将报文丢弃,因为我们没有配置安全策略允许DD报文通过,所以该报文命中缺省包过滤后被丢弃。同时被丢弃报文的个数还在不断增长,说明OSPF模块在不断地尝试发送DD报文,但都被缺省包过滤丢弃了。

    接下来我们在防火墙上开启Local区域和Untrust区域之间的安全策略,允许OSPF报文通过。需要注意的是,因为防火墙既要发送DD报文又要接收DD报文,所以Inbound和Outbound方向上的安全策略都要开启。

    为了精确匹配OSPF协议,我们使用了安全策略提供的ospf服务集,如果防火墙中没有提供这个服务集,我们可以自己创建一个服务集,协议号设置为89即可。

    [FW] policy interzone local untrust inbound
    
    [FW-policy-interzone-local-untrust-inbound] policy 1
    
    [FW-policy-interzone-local-untrust-inbound-1] policy service service-set ospf
    
    [FW-policy-interzone-local-untrust-inbound-1] action permit
    
    [FW] policy interzone local untrust outbound
    
    [FW-policy-interzone-local-untrust-outbound] policy 1
    
    [FW-policy-interzone-local-untrust-outbound-1] policy service service-set ospf
    
    [FW-policy-interzone-local-untrust-outbound-1] action permit

    实际上,我们还可以从单播报文和组播报文的角度来考虑这个问题。对于防火墙来说,一般情况下,单播报文是受安全策略控制,所以需要配置安全策略允许报文通过而组播报文不受安全策略控制,也就不需要配置相应的安全策略

    从表中可以看出,网络类型是Broadcast类型时,OSPF报文中的DD报文LSR报文单播报文,需要配置安全策略网络类型是P2P时,OSPF报文都是组播报文,因此无需配置安全策略。NBMA和P2MP类型也是同理。在实际网络环境中,如果防火墙上的OSPF运行状态不正常,大家也可以从安全策略这个角度入手,检查是不是由于没有配置安全策略允许报文通过所导致的。

    哪些协议需要在防火墙上配置Local区域的安全策略

    下面给出对应的匹配条件,方便大家在实际网络环境中根据业务类型来配置安全策略

    ASPF

    这就要从FTP协议的特殊之处讲起,FTP协议是一个典型的多通道协议,在其工作过程中,FTP客户端和FTP服务器之间将会建立两条连接:控制连接数据连接。控制连接用来传输FTP指令和参数,其中就包括建立数据连接所需要的信息;数据连接用来获取目录及传输数据。

    根据数据连接的发起方式,FTP协议分为两种工作模式:主动模式(PORT模式)

    被动模式(PASV模式)主动模式中,FTP服务器主动向FTP客户端发起数据连接被动模式中,FTP服务器被动接收FTP客户端发起的数据连接

    下图为被动模式的数据传输过程

    FTP协议工作在主动模式下的交互流程

    下图为数据包的通信过程

    首先FTP客户端使用随机端口xxxx向FTP服务器21端口发起连接请求建立控制连接,然后使用PORT命令协商两者进行数据连接的端口号,协商出来的端口是yyyy。然后FTP服务器主动向FTP客户端的yyyy端口发起连接请求,建立数据连接。数据连接建立成功后,才能进行数据传输。

    我们只配置了允许FTP客户端访问FTP服务器的安全策略,即控制连接能成功建立。但是当FTP服务器访问FTP客户端yy端口的报文到达防火墙后,对于防火墙来说,这个报文不是前一条连接的后续报文,而是代表着一条新的连接。要想使这个报文顺利到达FTP客户端,防火墙上就必须配置了安全策略允许其通过,但是我们没有配置FTP服务器到FTP客户端这个方向上的安全策略,所以该报文无法通过防火墙,导致FTP访问失败

    在FTP服务器到FTP客户端这个方向上也配置一条安全策略就行了吧?对,这是一种方法,但是数据连接使用的端口是在控制连接中临时协商出来的,具有随机性,我们无法精确预知,所以只能开放客户端的所有端口,这样就会给FTP客户端带来安全隐患。要是防火墙能记录这个端口,然后自动开启FTP服务器到FTP客户端的安全策略就好了!

    这个时候就要有请安全策略的神秘助手ASPF(Application Specific Packet Filter,针对应用层的包过滤)出场亮相了。单从名字来看,ASPF主要是盯着报文的应用层信息来做文章,其原理是检测报文的应用层信息,记录应用层信息中携带的关键数据,使得某些在安全策略中没有明确定义要放行的报文也能够得到正常转发

    记录应用层信息中关键数据的表项称为Server-map表,报文命中该表后,不再受安全策略的控制,这相当于在防火墙上开启了一条“隐形通道"。当然这个通道不是随意开启的,是防火墙分析了报文的应用层信息之后,提前预测到后面报文的行为方式,所以才打开了这样的一个通道。

    从处理流程看,防火墙收到报文后,先检查报文是否命中会话表,如果命中,说明该报文是后续包,直接转发。如果报文没有命中会话表,说明该报文是首包,接下来检查报文是否命中Server-map表,如本节介绍的ASPF生成的Server-map表,报文命中后就不再受安全策略的控制。当然,防火墙最后还是会为该报文生成会话表。

    Server-map表和会话表作为防火墙上的重要表项,两者作用不同,也不能相互替代

    配置注意事项和故障排除指导

    安全策略

    实际网络环境中,安全策略是一个常见的故障点,很多时候都是由于安全策略拒绝报文通过导致业务不通。常用的手段是通过display firewall statistic system discard命令查看防火墙的丢包统计信息,根据显示信息来判断是否涉及安全策略,如下所示。

    首先是检查安全策略的匹配条件,如果匹配条件配置有误,将会导致报文无法命中该安全策略,防火墙就无法对报文实施预先设置的动作。安全策略配置完成后,发现防火墙没有按照我们预期的方式来处理报文,此时应检查安全策略的配置情况。重点检查报文有没有命中安全策略

    这里为大家介绍一种通用的配置思路:首先配置缺省包过滤的动作为允许通过,对业务进行调测,保证业务正常运行;然后查看会话表,以会话表中记录的信息为匹配条件配置安全策略;最后恢复缺省包过滤的配置,再次对业务进行调测,验证安全策略是否正确

    展开全文
  • 本地安全策略详解

    千次阅读 2022-05-12 21:10:02
    一,本地安全策略 1. 概念 对登陆到计算机上的账户进行一些安全设置。 本地管理员必须为计算机进行设置以确保其安全。 如,设置用户如何设置密码、通过账户策略设置账户安全性、通过锁定账户策略避免他人登陆...
  • 华为防火墙安全策略

    千次阅读 2020-12-11 10:48:39
    1初识安全策略 小伙伴们,我们试想下如果防火墙把所有流量都拒绝了,内部用户将无法畅游网络,外部合法用户将无法访问内部资源。因此我们需要配置防火墙的一个特性,让它更好的实现防火墙的功能,这个特性就是安全...
  • 内容安全策略(CSP)详解

    千次阅读 2022-03-02 10:46:11
    在上一篇博客我们主要总结了XSS攻击,本篇博客主要总结内容安全策略CSP的相关内容。 一、定义 内容安全策略(CSP),是一种安全策略,其原理是当浏览器请求某一个网站时,告诉该浏览器申明文件可以执行,什么不可以...
  • 用批处理更改本地安全策略

    千次阅读 2021-07-22 01:34:26
    批处理修改本地安全策略中的:拒绝从网络访问计算机,将里面的Guest删除。echo [Version]>mm.infecho signature="$CHICAGO$">>mm.infecho Revision=1>>mm.infecho [Privilege Rights]>>mm....
  • 防火墙安全策略配置

    千次阅读 2022-02-26 21:35:55
    安全策略原理 防火墙的基本作用是保护特定网络免受“不信任”网络的攻击,同时还必须允许两个网络之间可以进行合法的通信。 安全策略是控制设备对流量转发以及对流量进行内容安全一体化检测的策略。 安全策略的作用...
  • 华三防火墙安全策略配置

    千次阅读 2022-02-07 10:36:43
    ⑵ 通过配置安全策略规则,允许leadership在任意时间、staff在工作时间访问外网。 2. 组网图 3. 配置步骤 (1) 配置接口IP地址、路由保证网络可达。 [FW1]int g1/0/2 [FW1-GigabitEthernet1/0/2]nat ...
  • 小编也相信很多用户都知道安全策略的位置,那么究竟Win10安全策略在哪里?以及Win10本地安全策略怎么打开呢?对于此类问题,下面脚本之家小编为大家带来了打开Win10安全策略设置方法,一起来看看吧。打开Win10安全策...
  • 本地安全策略

    千次阅读 2021-08-11 07:24:22
    1.“开始”菜单——windows管理工具——本地安全策略 2.Win+R,输入“secpol.msc”——回车 下面来介绍一下常用的安全策略 二、账户策略 用来对用户登录时的密码,和用户锁定进行管理 1.密码策略 密码...
  • 一、安全策略 1.1 安全策略概念 策略是网络安全设备的基本安全功能,默认情况下,安全设备会拒绝设备上所有安全域之间的信息传输,而策略则通过策略规则(Policy Rule)决定从一个安全域到另一个安全域的哪些流量...
  • 信息系统安全策略分析.docx信息系统安全策略分析.docx信息系统安全策略分析.docx信息系统安全策略分析.docx信息系统安全策略分析.docx信息系统安全策略分析.docx信息系统安全策略分析.docx信息系统安全策略分析.docx...
  • 防火墙安全策略

    万次阅读 多人点赞 2018-05-17 13:13:56
    包过滤作为一种网络安全保护机制,主要用于对网络中各种不同的流量是否转发做一个最基本的控制。 传统的包过滤防火墙对于需要转发的报文,会先获取报文头信息,包括报文的源IP地址、目的IP地址、IP层所承载的上层...
  • 目录应用安全策略网络安全策略 应用安全策略 ①安装杀毒软件 ②使用防火墙 ③更新和安装系统补丁 ④停止不必要的服务 网络安全策略 ①IE浏览器的安全       首先,把IE浏览器升级到最新版本       ...
  • Windows与网络基础:NTFS权限规则和本地安全策略

    千次阅读 多人点赞 2022-05-02 13:13:32
    目录一、NTFS权限规则1、权限累加2、拒绝权限3、继承权限4、特殊权限4.1、读取权限4.2、更改权限4.3、取得所有权二、本地安全策略1、本地安全策略的基本内容1.1、概念1.2、打开方式2、账户策略2.1、密码策略2.2、...
  • Windows服务器基本安全策略配置

    千次阅读 2022-01-17 19:28:21
    对windows服务器进行以上的设置和相关策略的制定,可以有效的增加服务器的自身防御能力,防止黑客利用常见的攻击手段和方法对服务器进行入侵和破坏,降低数据被盗取的风险。
  • 问:Win10怎么打开本地安全策略?我不记得Win10的本地安全策略在哪里打开了,以前打开过的,很长时间没用这个功能,忘记了打开本地安全策略的方法了。所以,请教大家如何打开Win10的本地安全策略?答:有很多种方法...
  • 防火墙安全策略技术

    千次阅读 2021-07-26 19:56:19
    本文从安全策略的内容和配置入手,向大家说明华为系列下一代防火墙的安全策略技术。 一、安全策略概述 防火墙的基本作用时保护特定网络免受“不信任”网络的攻击,同时还必须允许两个网络之间进行合法的通信。而安全...
  • Windows本地安全策略

    千次阅读 2020-11-08 09:02:28
    文章目录0x01 本地安全策略概述概念打开本地安全策略管理控制台0x02 账户策略...​ 通过设置一系列的规则,影响当前计算机的安全设置,用户登录后会受安全策略的控制,从而保证本地计算机的安全。 打开本地安全策略
  • 打开本地安全策略的方式

    千次阅读 2021-04-06 20:24:40
    4.找到本地安全策略,双击打开 方式一:Win+R然后打上secpoc.msc命令 方式二:在控制面板中选择 1)点击左下角的windows图标,然后点击设置 2)选择系统安全 3.选择管理工具 4.找到本地安全策略,双击...
  • Windows服务器安全策略配置——简单实用! Windows服务器安全策略怎么做?不要觉得这是一个非常深奥遥不可及的问题,其实也是从各个方面去加固系统的安全性而已,它没有一个定论,今天我和你们分享一下windows...
  • 服务器实战部署安全策略

    千次阅读 2022-03-17 16:34:26
    一、防火墙 防火墙是服务器的第一道防线,虽然不能百分百防护得到,但至少能阻挡大多数黑客的DOS或DDOS以及利用部分开源软件的漏洞进行病毒植入等攻击。 1.防火墙设置开机自启动 systemctlenablefirewalld ...
  • 通过本地组策略编辑器,我们可以用来设置...方法/步骤:一、还原本地安全策略1、按 Win + X 组合键,可以快速打开隐藏的开始菜单,在打开的菜单项中,选择Windows Powershell(管理员)(A);2、管理员:Windows PowerSh...
  • H3C防火墙基础配置2-配置安全策略

    万次阅读 2019-11-06 10:15:10
    1 安全策略简介 安全策略对报文的控制是通过安全策略规则实现的,规则中可以设置匹配报文的过滤条件,处理报文的动作和对于报文内容进行深度检测等功能。 (1)规则的名称和编号 安全策略中的每条规则都由唯一...
  • 《计算机信息系统安全保护等级划分准则》(GB17859-1999)是建立安全等级保护制度,实施安全等级管理的重要基础性标准,他讲计算机信息系统分为5个安全等级。
  • 本地安全策略是指对登陆到计算机上的账号定义一些安全设置,我们在进行一些操作的时候需要打开本地安全策略进行设置,可是近日有不少用户升级到win10系统之后,发现无法打开啊本地安全策略,该怎么办呢,下面为大家...
  • 在本文只介绍简单的安全策略的配置,即,对指定了源地址,源端口,目的地址,目的端口,以及具体的服务,具体的数据发送终端的报文,进行允许通过,或者禁止通过,以及别的安全策略的操作。 防火墙安全策略一、https...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 723,806
精华内容 289,522
关键字:

安全策略

友情链接: sd_image.rar