安全策略配置原则
首包做安全策略过滤;后续包不做安全策略过滤,而是根据会话表进行转发。
安全策略业务流程
流量通过下一代防火墙(NGFW)时,安全策略的处理流程如下:
①NGFW会对收到的流量进行检测,检测出流量的属性,包括:源安全区域、目的安全区域、源地址/地区、目的地址/地区、用户、服务(源端口、目的端口、协议类型)、应用和时间段。
②NGFW将流量的属性与安全策略的条件进行匹配。如果所有条件都匹配,则此流量成功匹配安全策略。如果其中有一个条件不匹配,则继续匹配下一条安全策略。以此类推,如果所有安全策略都不匹配,则NGFW会执行缺省安全策略的动作(默认为“禁止”)。
③如果流量成功匹配一条安全策略,NGFW将会执行此安全策略的动作。如果动作为“禁止”,则NGFW会阻断此流量。如果动作为“允许”,则NGFW会判断安全策略是否引用了安全配置文件。如果引用了安全配置文件,则继续进行步骤4的处理;如果没有引用安全配置文件,则允许此流量通过。
④如果安全策略的动作为“允许”且引用了安全配置文件,则NGFW会对流量进行内容安全的一体化检测。
一体化检测是指根据安全配置文件的条件对流量的内容进行一次检测,根据检测的结果执行安全配置文件的动作。
配置安全策略流程
安全策略配置思路:
①管理员应首先明确要划分哪几个安全区域,接口如何连线,分别加入哪些安全区域。
②管理员选择根据“源地址”或“用户”来区分企业员工。
③先确定每个用户组的权限,然后再确定特殊用户的权限。包括用户所处的源安全区域和源地址;用户需要访问的目的安全区域和目的地址;用户能够使用那些服务和应用;用户的网络访问权限在哪些时间段生效等。
④确定对哪些通过防火墙的流量进行内容安全检测,进行哪些内容安全检测。
⑤将所有安全策略按照先精确(条件细化的、特殊的策略)再宽泛的顺序排序。
配置安全策略的相关命令
①进入安全策略视图
security_ploicy
②创建安全策略规则,并进入安全策略规则视图
rule name rule-name
③配置安全策略的源安全区域和目的安全区域
source-zone {zone-name & <1-6> | any}
destination-zone {zone-name & <1-6> | any}
④配置安全策略规则的源地址和目的地址
source-address { address-set address-set-name &<1-6> | ipv4-address { ipv4-mask-length | mask mask-address | wildcard } | ipv6-address ipv6-prefix-length | range { ipv4-start-address ipv4-end-address | ipv6-start-address ipv6-end-address } | geo-location geo-location-name &<1-6> | geo-location-set geo-location-set-name &<1-6> | mac-address &<1-6> | any }
destination-address { address-set address-set-name &<1-6> | ipv4-address [ ipv4-mask-length | mask mask-address | wildcard ] | ipv6-address ipv6-prefix-length | range { ipv4-start-address ipv4-end-address | ipv6-start-address ipv6-end-address } | geo-location geo-location-name &<1-6> | geo-location-set geo-location-set-name &<1-6> | mac-address &<1-6> | any }
(注:参数说明
- address-set:地址或地址组的名称,依次最多添加或删除6个地址(组)
- ipv4-address:IPv4地址,点分十进制格式
- ipv4-mask-length:IPv4地址的掩码,整数形式,取值范围是1-32
- wildcard:IPv4地址的反掩码
- range:表示地址范围
- geo-location:预定义地区名称或已经创建的自定义地区名称
- mac-address:MAC地址,格式为H-H-H
- any:表示任意地址)
(举例说明:
- source-address 1.1.1.1 24
- source-address geo-location BeiJing
- source-address range 192.168.2.1 192.168.2.10
- source-address any)
⑤配置安全策略规则的用户
user {user-name &<1-6> | any}
⑥指定安全策略规则的协议类型
service protocol{{17 | udp} | {6 | tcp}} [source-port {source-port | start-source-port to end-source-port} | destination-port {destination-port | start-destination-port to end-destination-port}]
⑦配置安全策略规则的服务
service {service-name | any}
⑧配置安全策略规则引用的安全配置文件
profile {app-control | av | data-filter | file-bolck | ips | mail-filter | url-filter} name
(注:安全配置文件的相关参数:
- app-control:应用控制配置文件
- av:反病毒配置文件
- data-filter:内容过滤配置文件
- file-bolck:文件过滤配置文件)
⑨时间段配置
1.创建时间段,并进入时间段视图
time-range time-range-name
2.设置绝对时间段
absolute-range start-time start-date [to end-time end-date]
3.设置周期时间段
period-range start-time to end-time week-days &<1-7>
(例子:
-
绝对时间段:
absolute-range 13:49:00 2019/1/11 to 14:00:00 2019/1/11 -
周期时间段:
period-range 8:00:00 to 18:00:00 working-day