精华内容
下载资源
问答
  • 华三防火墙安全策略配置
    千次阅读
    2022-02-07 10:36:43

    1.组网需求

    ⑴ leadership和staff之间通过FW1实现互连,该公司的工作时间为每周工作日的8点到18点。

    ⑵ 通过配置安全策略规则,允许leadership在任意时间、staff在工作时间访问外网。

    2. 组网图

    3. 配置步骤

    (1)      配置接口IP地址、路由保证网络可达。

    [FW1]int g1/0/2

    [FW1-GigabitEthernet1/0/2]nat outbound

    [FW1-GigabitEthernet1/0/2]ip address 1.1.1.1 255.255.255.0

    [FW1]int g1/0/0

    [FW1-GigabitEthernet1/0/0]ip address 172.16.1.2 255.255.255.0

    [FW1]int g1/0/1

    [FW1-GigabitEthernet1/0/1]ip address 172.16.2.2 255.255.255.0

    [FW1]ip route-static 0.0.0.0 0 1.1.1.2

    (2)      配置时间段

    # 创建名为work的时间段,其时间范围为每周工作日的8点到18点。

    [FW1] time-range work 08:00 to 18:00 working-day

    (3)      配置安全域

    [FW1] security-zone name leadership

    [FW1-security-zone-leadership]import interface GigabitEthernet 1/0/0

    # 创建名为 staff的安全域,并将接口GigabitEthernet1/0/1加入该安全域中。

    [FW1]security-zone name staff

    [FW1-security-zone-staff]import interface GigabitEthernet 1/0/1

    # 创建名为internet的安全域,并将接口GigabitEthernet1/0/2加入该安全域中。

    [FW1]security-zone name internet

    [FW1-security-zone-internet]import interface GigabitEthernet 1/0/2

    (4)      配置对象

    # 创建名为 leadership的IP地址对象组,并定义其子网地址为172.16.1.0/24。

    [FW1]object-group ip address leadership

    [FW1-obj-grp-ip-leadership]network subnet 172.16.1.0 24

    # 创建名为staff的IP地址对象组,并定义其子网地址为172.16.2.0/24。

    [FW1]object-group ip address staff

    [FW1-obj-grp-ip-staff]network subnet 172.16.2.0 24

    (5)      配置安全策略及规则

    # 进入IPv4安全策略视图。

    [FW1]security-policy ip

    # 制订允许leadership可以在任意时间访问Internet的安全策略规则,其规则名称为 leadership-internet。

    [FW1-security-policy-ip]rule 0 name leadership-internet

    [FW1-security-policy-ip-0-leadership-internet]source-zone leadership

    [FW1-security-policy-ip-0-leadership-internet]destination-zone internet

    [FW1-security-policy-ip-0-leadership-internet]source-ip leadership

    [FW1-security-policy-ip-0-leadership-internet]action pass

    # 制订只允许staff在工作时间访问Internet的安全策略规则,其规则名称为finance-database。

    [FW1]security-policy ip

    [FW1-security-policy-ip]rule 5 name staff-internet

    [FW1-security-policy-ip-5-staff-internet]source-zone staff

    [FW1-security-policy-ip-5-staff-internet]destination-zone internet

    [FW1-security-policy-ip-5-staff-internet]source-ip staff

    [FW1-security-policy-ip-5-staff-internet]time-range work

    [FW1-security-policy-ip-5-staff-internet]action pass

    # 制订leadership和staff之间通过FW1实现互连的安全策略规则,其规则名称为leadership-staff。

    [FW1]security-policy ip

    [FW1-security-policy-ip]rule 10 name leadership-staff

    [FW1-security-policy-ip-10-leadership-staff]source-zone leadership

    [FW1-security-policy-ip-10-leadership-staff]source-zone staff

    [FW1-security-policy-ip-10-leadership-staff]destination-zone leadership

    [FW1-security-policy-ip-10-leadership-staff]destination-zone staff

    [FW1-security-policy-ip-10-leadership-staff]action pass

    4. 验证配置

    配置完成后, leadership和staff之间通过FW1实现互连,允许leadership在任意时间、staff在工作时间访问外网

     

    更多相关内容
  • 安全策略管理与配置的原则
  • 安全策略基础
  • USG6000防火墙安全策略实验
  • 防火墙安全策略

    万次阅读 多人点赞 2018-05-17 13:13:56
    包过滤技术基础 包过滤技术简介: 对需要转发的数据包,先获取报头信息,然后和设定...传统的包过滤防火墙对于需要转发的报文,会先获取报文头信息,包括报文的源IP地址、目的IP地址、IP层所承载的上层协议的协...

    包过滤技术基础

    包过滤技术简介:

    对需要转发的数据包,先获取报头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或丢弃。

    实现包过滤的核心技术是访问控制列表。

    • 包过滤作为一种网络安全保护机制,主要用于对网络中各种不同的流量是否转发做一个最基本的控制。
    • 传统的包过滤防火墙对于需要转发的报文,会先获取报文头信息,包括报文的源IP地址、目的IP地址、IP层所承载的上层协议的协议号、源端口号和目的端口号等,然后和预先设定的过滤规则进行匹配,并根据匹配结果对报文采取转发或丢弃处理。
    • 包过滤防火墙的转发机制是逐包匹配包过滤规则并检查,所以转发效率低下。目前防火墙基本使用状态检查机制,将只对一个连接的首包进行包过滤检查,如果这个首包能够通过包过滤规则的检查,并建立会话的话,后续报文将不再继续通过包过滤机制检测,而是直接通过会话表进行转发。

    包过滤的基础:

    这里写图片描述

    图:包过滤基础-五元素

    包过滤能够通过报文的源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号、目的端口号、上层协议等信息组合定义网络中的数据流,其中源IP地址、目的IP地址、源端口号、目的端口号、上层协议就是在状态检测防火墙中经常所提到的五无组,也是组成TCP/UDP连接非常重要的五个元素。

    防火墙安全策略:

    定义:

    1. 安全策略是按一定规则检查数据流是否可以通过防火墙的基本安全控制机制。
    2. 规则的本质是包过滤。

    主要应用:

    1. 对跨防火墙的网络互访进行控制。
    2. 对设备本身的访问进行控制。

    防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。安全策略的作用就是对通过防火墙的数据流进行检验,符合安全策略的合法数据流才能通过防火墙。

    通过防火墙安全策略可以控制内网访问外网的权限、控制内网不同安全级别的子网间的访问权限等。同时也能够对设备本身的访问进行控制,例如限制哪些IP地址可以通过Telnet和Web等方式登录设备,控制网管服务器、NTP服务器等与设备的互访等。

    防火墙安全策略的原理:

    过程:

    1. 入数据流经过防火墙
    2. 查找防火墙安全策略,判断是否允许下一步操作。
    3. 防火墙根据安全策略定义规则对包进行处理。

    防护墙安全策略的作用:

    根据定义的规则对经过防火墙的流量进行筛选,并根据关键字确定筛选出的流量如何进行下一步操作。

    安全策略分类:

    • 域间安全策略

      域间安全策略用于控制域间流量的转发(此时称为转发策略),适用于接口加入不同安全区域的场景。域间安全策略按IP地址、时间段和服务(端口或协议类型)、用户等多种方式匹配流量,并对符合条件的流量进行包过滤控制(permit/deny)或高级的UTM应用层检测。域间安全策略也用于控制外界与设备本身的互访(此时称为本地策略),按IP地址、时间段和服务(端口或协议类型)等多种方式匹配流量,并对符合条件的流量进行包过滤控制(permit/deny),允许或拒绝与设备本身的互访。

    • 域内安全策略

      缺省情况下域内数据流动不受限制,如果需要进行安全检查可以应用域内安全策略。与域间安全策略一样可以按IP地址、时间段和服务(端口或协议类型)、用户等多种方式匹配流量,然后对流量进行安全检查。例如:市场部和财务部都属于内网所在的安全区域Trust,可以正常互访。但是财务部是企业重要数据所在的部门,需要防止内部员工对服务器、PC等的恶意攻击。所以在域内应用安全策略进行IPS检测,阻断恶意员工的非法访问。

    • 接口包过滤

      当接口未加入安全区域的情况下,通过接口包过滤控制接口接收和发送的IP报文,可以按IP地址、时间段和服务(端口或协议类型)等多种方式匹配流量并执行相应动作(permit/deny)。基于MAC地址的包过滤用来控制接口可以接收哪些以太网帧,可以按MAC地址、帧的协议类型和帧的优先级匹配流量并执行相应动作(permit/deny)。硬件包过滤是在特定的二层硬件接口卡上实现的,用来控制接口卡上的接口可以接收哪些流量。硬件包过滤直接通过硬件实现,所以过滤速度更快。

    防火墙转发原理

    防火墙域间转发:

    • 早期包过滤防火墙采取的是“逐包检测”机制,即对设备收到的所有报文都根据包过滤规则每次都进行检查以决定是否对该报文放行。这种机制严重影响了设备转发效率,使包过滤防火墙成为网络中的转发瓶颈。
    • 于是越来越多的防火墙产品采用了“状态检测”机制来进行包过滤。**“状态检测”机制以流量为单位来对报文进行检测和转发,即对一条流量的第一个报文进行包过滤规则检查,并将判断结果作为该条流量的“状态”记录下来。对于该流量的后续报文都直接根据这个“状态”来判断是转发还是丢弃,而不会再次检查报文的数据内容。**这个“状态”就是我们平常所述的会话表项。这种机制迅速提升了防火墙产品的检测速率和转发效率,已经成为目前主流的包过滤机制。
    • 在防火墙一般是检查IP报文中的五个元素,又称为“五元组”,即源IP地址和目的IP地址,源端口号和目的端口号,协议类型。通过判断IP数据报文报文的五元组,就可以判断一条数据流相同的IP数据报文。
    • 其中TCP协议的数据报文,一般情况下在三次握手阶段除了基于五元组外,还会计算及检查其它字段。三次握手建立成功后,就通过会话表中的五元组对设备收到后续报文进行匹配检测,以确定是否允许此报文通过。

    查询和创建会话:

    这里写图片描述

    图:创建会话过程

    可以看出,对于已经存在会话表的报文的检测过程比没有会话表的报文要短很多。而通常情况下,通过对一条连接的首包进行检测并建立会话后,该条连接的绝大部分报文都不再需要重新检测。这就是状态检测防火墙的“状态检测机制”相对于包过滤防火墙的“逐包检测机制”的改进之处。这种改进使状态检测防火墙在检测和转发效率上有迅速提升。

    状态监测机制:

    • 状态监测机制开启状态下,只有首包通过设备才能建立会话表项,后续包直接匹配会话表项进行转发。
    • 状态监测机制关闭状态下,即使首包没有经过设备,后续好只要通过设备也可以生成会话表项。

    对于TCP报文

    • 开启状态检测机制时,首包(SYN报文)建立会话表项。对除SYN报文外的其他报文,如果没有对应会话表项(设备没有收到SYN报文或者会话表项已老化),则予以丢弃,也不会建立会话表项。
    • 关闭状态检测机制时,任何格式的报文在没有对应会话表项的情况下,只要通过各项安全机制的检查,都可以为其建立会话表项。

    对于UDP报文

    • UDP是基于无连接的通信,任何UDP格式的报文在没有对应会话表项的情况下,只要通过各项安全机制的检查,都可以为其建立会话表项。

    对于ICMP报文

    • 开启状态检测机制时,没有对应会话的ICMP应答报文将被丢弃。
    • 关闭状态检测机制时,没有对应会话的应答报文以首包形式处理

    会话表项:

    这里写图片描述

    图:会话表项示例

    会话是状态检测防火墙的基础,每一个通过防火墙的数据流都会在防火墙上建立一个会话表项,以五元组(源目的IP地址、源目的端口、协议号)为Key值,通过建立动态的会话表提供域间转发数据流更高的安全性。

    防火墙安全策略及应用

    域间安全策略的匹配规则:

    • 域间缺省包过滤

      当数据流无法匹配域间安全策略时,会按照域间缺省包过滤规则来转发或丢弃该数据流的报文。

    • 转发策略

      转发策略是指控制哪些流量可以经过设备转发的域间安全策略,对域间(除Local域外)转发流量进行安全检查,例如控制哪些Trust域的内网用户可以访问Untrust域的Internet。

    • 本地策略

      本地策略是指与Local安全区域有关的域间安全策略,用于控制外界与设备本身的互访。

    域间安全策略业务流程:

    这里写图片描述

    图:域间安全策略业务流程

    报文入站后,将首先匹配会话表,如果命中会话表,将进入后续包处理流程,刷新会话表时间,并直接根据会话表中的出接口,转发数据。

    报文入站后,将首先匹配会话表,如果没有命中会话表,将进入首包包处理流程。依次进行黑名单检查,查找路由表,匹配域间安全策略,新建会话表,转发数据。

    黑名单的实现原理就是:设备上建立一个黑名单表。对于接收到的报文的源IP地址存在于黑名单中,就将该报文予以丢弃。

    黑名单分类:

    • 静态黑名单

      管理员可以通过命令行或Web方式手工逐个将IP地址添加到黑名单中。

    • 动态黑名单

      转发策略和缺省域间包过滤优先级

      转发策略优先于缺省域间包过滤匹配。设备将首先查找域间的转发策略,如果没有找到匹配项将匹配缺省包过滤进行处理。

    • 刷新会话表

      刷新会话表主要是刷新会话表老化时间,老化时间决定会话在没有相应的报文匹配的情况下,何时被系统删除。

    配置转发策略流程:

    这里写图片描述

    图:配置转发策略的流程图

    基于IP地址的转发策略配置示例:

    实验拓扑:

    这里写图片描述

    图:实验拓扑图

    实验要求:

    如上图,防火墙的Gi0/0/0口在Trust区域,Gi0/0/01在UNtrust区域,通过配置策略,使得内网中除了PC1:192.168.1.2可以访问服务器,其他主机都不能访问服务器。

    配置文件:

    FW配置文件:

    [FW]dis current-configuration  
    23:45:46  2018/04/26
    #
    interface GigabitEthernet0/0/0
     ip address 192.168.1.1 255.255.255.0
    #
    interface GigabitEthernet0/0/1
     ip address 10.1.1.1 255.255.255.0
    #
    firewall zone local
     set priority 100
    #
    firewall zone trust
     set priority 85
     add interface GigabitEthernet0/0/0
    #
    firewall zone untrust
     set priority 5
     add interface GigabitEthernet0/0/1
    #
    firewall zone dmz
     set priority 50
    #
     //配置地址集
    ip address-set ip_deny type object
     address 1 192.168.1.3 0
     address 2 192.168.1.4 0
    #
     sysname FW
    #
     firewall packet-filter default permit interzone local trust direction inbound
     firewall packet-filter default permit interzone local trust direction outbound
     firewall packet-filter default permit interzone local untrust direction outboun
    d
     firewall packet-filter default permit interzone local dmz direction outbound
    #
    #
     firewall statistic system enable
     //防火墙状态检测默认开启
    #
    //防火墙策略
    policy interzone trust untrust inbound
     policy 0
      action permit
      policy destination 192.168.1.2 0
    
     policy 1
      action permit
      policy source 192.168.1.2 0
    #
    policy interzone trust untrust outbound
     policy 0
      action deny
      policy source address-set ip_deny
    
     policy 1
      action permit
      policy source 192.168.1.2 0
    #
    return
    

    配置成功后测试:

    这里写图片描述

    图:PC1可以ping通服务器

    这里写图片描述

    图:PC2不能ping通服务器

    [外链图片转存失败(img-IQFcshom-1566700164525)(防火墙安全策略/策略.png)]

    图:防火墙策略

    这里写图片描述

    图:会话表


    参考文档:华为HedEx文档


    展开全文
  • 华为防火墙安全策略

    千次阅读 2020-12-11 10:48:39
    因此我们需要配置防火墙的一个特性,让它更好的实现防火墙的功能,这个特性就是安全策略。平时我们上班乘坐地铁,出差乘坐高铁或飞机,在这三个场所中都会有蓝色的标志“Security Check”,旁边站着一个工作人员...

    1初识安全策略

       小伙伴们,我们试想下如果防火墙把所有流量都拒绝了,内部用户将无法畅游网络,外部合法用户将无法访问内部资源。因此我们需要配置防火墙的一个特性,让它更好的实现防火墙的功能,这个特性就是安全策略。平时我们上班乘坐地铁,出差乘坐高铁或飞机,在这三个场所中都会有蓝色的标志“Security Check”,旁边站着一个工作人员“安检员”。他的作用就是检查乘客随身携带的物品是否安全,如安全放行通过,如不安全,拒绝通过。回顾下防火墙的作用是保护特定的网络免受“不信任”的网络的攻击和入侵,但还要允许网络之间进行合法的通信。安全策略的作用类似于“安检员”对通过防火墙的网络流量和抵达自身流量进行安全检查,满足安全策略条件的流量执行允许的动作才能通过防火墙。

    2基本概念

           上图所示,PC位于Untrust区域,HTTP Server位于Trust区域,假设我们希望PC可以访问HTTP Server,配置的策略应该是允许源区域Untrust,目的区域Trust,源IP地址202.100.1.100,目的IP地址192.168.1.100,源端口Any,目的端口是80,应用协议是TCP。

    配置中可以看出防火墙安全策略由两大部分组成:

    a.条件:防火墙将报文中携带的信息与条件逐一对比,从而来判断报文是否匹配。

    b.动作:允许(permit)和拒绝(deny),一条策略只能有一个动作。

          如上图中每条策略中都包含了多个匹配条件,如安全区域、用户、应用等。各个匹配条件之间是“与”的关系,报文的属性与各个条件必须全部匹配,才认为该报文匹配这条规则。也就是说报文中的信息都要满足所有字段才能匹配。一个匹配条件中可以配置多个值,多个值之间是“或”的关系,报文的属性只要匹配任意一个值,就认为报文的属性匹配了这个条件。比如源区域有2个,目的IP有2个,那么这些匹配项之间是“或”的关系,也就是说只要报文的信息满足其中一项,就证明匹配了该条件。

    安全策略配置完成后,PC就可以正常访问HTTP Server了,无需放行返回流量的安全策略,防火墙默认是基于状态化进行转发的,所以返回流量匹配会话表就转发了。

     

    3匹配顺序

          安全策略之间是存在匹配顺序的,防火墙会按照从上到下的顺序逐条查找相应安全策略。如果报文命中了某一条安全策略,就会执行该策略的动作,不会再继续向下查找;如果报文没有命中某一条安全策略,则会继续向下查找。

         基于安全策略的匹配顺序,建议我们在配置安全策略时,应该遵循“先明细,后粗犷”的原则。比如我们配置两条trust--untrust安全策略,分别为192.168.0.0/24网段报文通过,192.168.1.1报文拒绝通过,防火墙在查找安全策略时,第一条策略192.168.0.0/24网段会匹配允许通过,第二条策略192.168.1.1报文永远也不会匹配到,这样我们实现控制的目的也没有达到。

          如果还没有找到对应的安全策略,则会匹配默认的安全策略,动作为拒绝。默认安全策略的名字叫default,条件为any,动作为拒绝。大部厂商的安全策略都是这样定义的,缺省的为拒绝所有。个人认为如果小伙伴们在排错过程中,快速定位安全策略的问题,可以把默认策略动作配置为允许。如果报文可以通过,证明安全策略配置问题,然后配置正确的安全策略。非常不建议把防火墙安全策略配置为允许所有,因为这样存在极大的安全风险,防火墙也失去了意义

          华为防火墙安全策略控制可分三点:1.控制抵达自身和自身发起的流量,比如从外部网管防火墙,应该是untrust—>local之间的网管流量,如SSH、Telnet、HTTPS等。在比如防火墙要网管其它网络设备,应该是local—>到其它区域之间的网管流量  2.控制区域间的流量,比如untrust—>trust,trust—>dmz  3,控制区域内的流量,比如trust两台PC,我们不希望它们之间进行访问,那就是trust—> trust。

    4安全配置案例

    组网需求:

    a.仅要求互联网到Untrust接口ICMP和Telnet流量。

    b.除192.168.1.2/32外,允许所有Trust主机可以访问互联网。

    c.Untrust用户在周一至周五上班时间可以访问所有DMZ服务器资源。

    d.Trust区域内PC1不能访问PC3资源。

     

    5实验配置

    #进入接口视图,启用管理功能。

    [NGFW] int g1/0/1

    [NGFW-GigabitEthernet1/0/1]service-manage enable

    [NGFW-GigabitEthernet1/0/1]service-manage ping permit

    [NGFW-GigabitEthernet1/0/1]service-manage telnet permit

    注:对于抵达防火墙自身的流量建议接口开启。

    #进入安全策略视图,配置相应策略

    [NGFW]security-policy               

    [NGFW-policy-security]rulename rule1

    [NGFW-policy-security-rule-rule1]source-zone trust   //可以指多个区域

    [NGFW-policy-security-rule-rule1]destination-zone untrust   //如果域内策略,目的为相同区域

    [NGFW-policy-security-rule-rule1]source-address 192.168.1.1 32

    [NGFW-policy-security-rule-rule1]action deny

    #创建时间范围,调用到安全策略

    [NGFW]time-range worktime

    [NGFW-time-range-worktime]period-range 09:00:00 to 17:00:00 working-day

    [NGFW-policy-security]rulename rule3

    [NGFW-policy-security-rule-rule3]time-range worktime

    #其它安全策略同理

    • 测试

    需求一、

    <Untrust>telnet 202.100.1.10

    Loginauthentication

    Username:user1

    Password:

    <NGFW>

    <Untrust>ping 202.100.1.10

    PING 202.100.1.10:56  data bytes, press CTRL_C to break

    Reply from202.100.1.10: bytes=56 Sequence=1 ttl=255 time=20 ms

    Reply from 202.100.1.10: bytes=56 Sequence=2 ttl=255 time=20 ms

    需求二、

     <PC1>ping 202.100.1.1

    PING 202.100.1.1: 56  data bytes, press CTRL_C to break

    Request time out

    Request time out

    Request time out

    <PC2>ping 202.100.1.1

    PING 202.100.1.1: 56  data bytes, press CTRL_C to break

     Reply from 202.100.1.1: bytes=56 Sequence=1ttl=254 time=40 ms

     Reply from 202.100.1.1: bytes=56 Sequence=2ttl=254 time=20 ms

     Reply from 202.100.1.1: bytes=56 Sequence=3ttl=254 time=20 ms

     Reply from 202.100.1.1: bytes=56 Sequence=4ttl=254 time=10 ms

    需求三、

    <Untrust>ping 172.16.1.1

    PING 172.16.1.1: 56  data bytes, press CTRL_C to break

    Reply from 172.16.1.1: bytes=56Sequence=1 ttl=254 time=30 ms

    Reply from 172.16.1.1: bytes=56 Sequence=2ttl=254 time=20 ms

    Reply from 172.16.1.1: bytes=56Sequence=3 ttl=254 time=20 ms

    Reply from 172.16.1.1: bytes=56Sequence=4 ttl=254 time=10 ms

    Reply from 172.16.1.1: bytes=56 Sequence=5ttl=254 time=20 ms

     <NGFW>display clock

    2017-06-0618:01:30

    Tuesday

    <Untrust>ping 172.16.1.1

     PING 172.16.1.1: 56  data bytes, press CTRL_C to break

     Request time out

     Request time out

     Request time out

     Request time out

     需求四、

     <PC3>ping192.168.2.1

    PING 192.168.2.1: 56  data bytes, press CTRL_C to break

     Request time out

     Request time out

     Request time out

    Request time out

    <PC3>ping192.168.1.1

    PING 192.168.1.1:56  data bytes, press CTRL_C to break

    Reply from 192.168.1.1: bytes=56 Sequence=1ttl=255 time=1 ms 

    Reply from 192.168.1.1: bytes=56 Sequence=1ttl=255 time=1 ms

    Reply from 192.168.1.1: bytes=56 Sequence=1ttl=255 time=1 ms

    注:默认域内的安全策略是允许的。

    展开全文
  • 防火墙安全策略配置

    2022-02-26 21:35:55
    安全策略原理 防火墙的基本作用是保护特定网络免受“不信任”网络的攻击,同时还必须允许两个网络之间...防火墙安全策略工作流程 流量通过NGFW时,安全策略的处理流程如下: 1.NGFW会对收到的流量进行检测,检测出流量

    安全策略原理

    防火墙的基本作用是保护特定网络免受“不信任”网络的攻击,同时还必须允许两个网络之间可以进行合法的通信。
    安全策略是控制设备对流量转发以及对流量进行内容安全一体化检测的策略。
    安全策略的作用就是对通过防火墙的数据流进行检验,符合安全策略的合法数据流才能通过防火墙。

    防火墙安全区域

    安全区域(Security Zone),或者简称为区域(Zone)。
    Zone是本地逻辑安全区域的概念。
    Zone是一个或多个接口所连接的网络。

    Zone的作用:

    • 安全策略都基于安全区域实施;
    • 在同一安全区域内部发生的数据流动是不存在安全风险的,不需要实施任何安全策略;
    • 只有当不同安全区域之间发生数据流动时,才会触发设备的安全检查,并实施相应的安全策略;
    • 在防火墙中,同一个接口所连网络的所有网络设备一定位于同一安全区域中,而一个安全区域可以包含多个接口所连的网络。

    默认四种:

    受信区域Trust——信任值85
    非受信区域Untrust——5
    非军事化区域Dmz——50
    本地区域Local——100

    防火墙安全策略工作流程

    在这里插入图片描述流量通过NGFW时,安全策略的处理流程如下:
    1.NGFW会对收到的流量进行检测,检测出流量的属性,包括:源安全区域、目的安全区域、源地址地区、目的地址地区、用户、服务(源端口、目的端口、协议类型)、应用和时间段。
    2.NGFW将流量的属性与安全策略的条件进行匹配。如果所有条件都匹配,则此流量成功匹配安全策略。如果其中有一个条件不匹配,则继续匹配下一条安全策略。以此类推,如果所有安全策略都不匹配,则NGFW会执行缺省安全策略的动作(默认为“禁止”)。
    3.如果流量成功匹配一条安全策略,NGFW将会执行此安全策略的动作。如果动作为“禁止”,则NGFW会阻断此流量。如果动作为“允许”,则NGFW会判断安全策略是否引用了安全配置文件。如果引用了安全配置文件,则继续进行下一步处理;如果没有引用安全配置文件,则允许此流量通过。
    4.如果安全策略的动作为“允许”且引用了安全配置文件,则NGFW会对流量进行内容安全一体化检测。一体化检测是指根据安全配置文件的条件对流量的内容进行一次检测,根据检测的结果执行安全配置文件的动作。如果其中一个安全配置文件阻断此流量,则NGFW阻断此流量。如果所有的安全配置文件都允许此流量转发,则NGFW允许此流量转发。

    防火墙安全策略配置

    安全策略配置思路:
    1.管理员首先应明确需要划分哪几个安全区域,接口如何连接,分别加入哪些安全区域。
    2.管理员可选择根据“源地址”或“用户”来区分企业员工。
    3.先确定每个用户组的权限,然后再确定特殊用户的权限。包括用户所处的源安全区域和地址,用户需要访问的目的安全区域和地址,用户能够使用哪些服务和应用,用户的网络访问权限在哪些时间段生效等。如果想允许某种网络访问,则配置安全策略的动作为“允许”;如果想禁止某种网络访问,则配置安全策略的动作为“禁止”。
    4.确定对哪些通过防火墙的流量进行内容安全检测,进行哪些内容安全检测。
    5.将以上步骤规划出的安全策略的参数一一列出,并将所有安全策略按照先精确(条件细化的、特殊的策略)再宽泛(条件为大范围的策略)的顺序排序。在配置安全策略时需要按照此顺序进行配置。

    实验

    命令行方式
    在这里插入图片描述
    1)各接口IP地址配置
    各接口需开启网管功能,后续才能进行ping通测试!
    在这里插入图片描述
    2)安全区域划分
    在这里插入图片描述
    3)安全策略配置
    在这里插入图片描述
    4)按照实验要求进行ping测试即可。

    展开全文
  • 防火墙安全策略技术

    千次阅读 2021-07-26 19:56:19
    本文从安全策略的内容和配置入手,向大家说明华为系列下一代防火墙安全策略技术。 一、安全策略概述 防火墙的基本作用时保护特定网络免受“不信任”网络的攻击,同时还必须允许两个网络之间进行合法的通信。而安全...
  • 华为防火墙 安全策略精要
  • 防火墙分类: 1.按照形态分为:硬件防火墙、软件防火墙 2.按照保护对象分为:单机防火墙、网络防火墙 3.按照访问控制方式分为:包过滤防火墙、代理防火墙、状态检测防火墙、UTM、下一代防火墙 (1)包过滤防火墙: ...
  • 配置华为防火墙安全策略

    千次阅读 多人点赞 2021-06-24 10:09:31
    Web配置防火墙安全策略: 命令配置防火墙安全策略: [FW1]security-policy //配置安全策略 [FW1-policy-security]rule name trust_dmz //安全策略名称 [FW1-policy-security-rule-trust_dmz]source-zone trust /...
  • 文/丁坚前面对H3C防火墙自身的加固做了详细的解释,本篇着重介绍运营商防火墙安全策略配置及建议。防火墙作通常位于网络的边界,其主要职责,是保护客户网络的机密性,保障客户网络的可用性。同时,作为网络管理员,...
  • 防火墙安全策略配置.doc
  • 防火墙安全策略梳理.docx
  • 防火墙安全策略概述.pptx
  • 华为防火墙安全策略配置

    千次阅读 2020-07-16 20:18:34
    如果Cloud1不会配置,请看我之前写的用WEB登录ensp的USG6000V防火墙!!! 如果Cloud1不会配置,请看我之前写的用WEB登录ensp的USG6000V防火墙!!! 如果Cloud1不会配置,请看我之前写的用WEB登录ensp的USG6000V...
  • 防火墙安全策略检查表.pdf
  • 防火墙安全策略巡检报告.pdf
  • 现在版本更新很快,WEB页面功能更加完善,其中新版本主推的安全策略配置功能,操作也很方便。 首先在命令行移除了域间策略部分配置: undo security-zone intra-zone default permit 需要注意的是,vFW默认没有...
  • 实验拓扑如上所示,现在要求配置如图所示的实验拓扑图,并配置防火墙安全策略实现: 1、Trust区域可以访问Untrust区域。 2、Trust区域可以访问DMZ区域的lo0,但不能访问其他IP地址。 二、实验配置命令 (一)华为...
  • 包过滤作为一种网络安全保护机制主要用于对网络中各种不同的流量是否转发做一 个最基本的控制 传统的包过滤防火墙对于需要转发的报文会先获取报文头信息包括报文的源IP地 址目的IP地址IP层所承载的上层协议的协议号...
  • ensp练习:防火墙安全策略配置

    万次阅读 多人点赞 2019-09-26 22:12:49
    1、 了解华为防火墙安全策略。 2、 掌握华为防火墙安全策略的配置。 二、实验仪器: 计算机、华为ensp模拟器、华为防火墙 三、实验内容: 根据网络拓扑图如上(交换机不需要配置),在防火墙配置安全策略,要求: ...
  • 包过滤技术 对需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。实现包过滤的核心技术是访问控制列表。 包过滤基础 ...防火墙安全策略原理
  • 华为防火墙笔记-安全策略

    千次阅读 2021-12-04 14:18:23
    这里还要特意说明一下安全策略中的条件,可分为多个字段,如源地址、目的地址、源端口、目的端口等,这些字段之间是“与”的关系,也就是说,只有报文中的信息和所有字段都匹配上,才算是命中了这条策略。...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 81,666
精华内容 32,666
关键字:

防火墙安全策略