4-防火墙安全策略
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
创建策略
rule [id id] [top | before id | after id] from src-addr to dst-addr service service-name {permit | deny | tunnel tunnel-name | fromtunnel tunnel-name | webauth} – id id – 指定策略规则的ID。如果不指定,系统将会为策略规则自动分配一个ID。规 则ID在整个系统中必须是唯一的。 – top | before id | after id – 指定策略规则的位置,可以是所有规则的首位(top)、 某个规则之前(before id)或者某个ID(after id)之后。默认情况下,系统会将新 创建的策略规则放到所有规则的末尾。 – from src-addr – 指定策略规则的源地址。src-addr为地址簿中定义的地址条目。 – to dst-addr – 指定策略规则的目的地址。dst-addr为地址簿中定义的地址条目。 – service service-name – 指定策略规则的服务名称。service-name为服务簿中定义的服 务。 – permit | deny | tunnel tunnel-name| fromtunnel tunnel-name – 指定策略规则的行为
服务(Service)
• 服务(Service):具有协议标准的信息流。服务具 有一定的特征,例如相应的协议、端口号等。 • 服务组:将一些服务组织到一起便组成了服务组。用 户可以直接将服务组应用到安全网关策略中,这样便 简化了管理。
系统预定义服务
对象>服务簿>所有预定服务 • 用户可以查看或者修改系统预定义服务,预定义服务只提 供对服务超时时间进行修改。
目录
安全策略基础 安全策略基本元素 安全策略配置与应用
安全策略高级特性
小结 网络安全防护
角色
• 神州数码防火墙不仅可以基于IP指定策略控制流 量,而且可以结合角色实现细粒度的基于用户的 访问控制。
把用户和角色(Role)映射起来(配置角色映射规则), 然后把角色/角色组引用到系统策略规则中,就能够实现 设备对不同用户流量的管理与控制。
时间表
对象>时间表>新建 时间表提供“绝对时间”和“周期”两种类型
应用时间表到策略
防火墙>策略 调用时间表的策略,只在时间表范围内生效
查看调用时间表的策略
防火墙>策略 调用时间表的策略,只在时间表范围内生效
CLI:show policy
目录
安全策略基础 安全策略基本元素 安全策略配置与应用
安全策略高级特性
小结 网络安全防护
攻击防护
• 网络中存在多种防不胜防的攻击,如侵入或破坏 网络上的服务器、盗取服务器的敏感数据、破坏 服务器对外提供的服务,或者直接破坏网络设备 导致网络服务异常甚至中断。作为网络安全设备 的防火墙,必须具备攻击防护功能来检测各种类 型的网络攻击,从而采取相应的措施保护内部网 络免受恶意攻击,以保证内部网络及系统正常运 行。神州数码防火墙提供基于域的攻击防护功能
防火墙安全策略
神州数码客服 2015-1
目录
安全策略基础 安全策略基本元素 安全策略配置与应用
安全策略高级特性
小结 网络安全防护
安全策略基础
• 安全策略基础 • 策略是网络安全设备的基本功能 • 默认情况下,安全设备会拒绝设备上所有安全域之间 的信息传输 • 策略则通过策略规则(Policy Rule)决定从一个安全 域到另一个安全域的哪些流量该被允许,哪些流量该 被拒绝。
show policy [id id] [from src-zone] [to dst-zone]
– id id – 显示指定ID规则的详细信息。 – from src-zone – 显示源安全域为指定域的规则的详细信息。 – to dst-zone – 显示目标安全域为指定域的规则的详细信息。
检查 /移动策略规则
•
• • • •
策略规则
• 策略规则分为两部分:过滤条件和行为。安全域间流 量的源地址、目的地址、服务类型以及角色构成策略 规则的过滤条件。 对于匹配过滤条件的流量可以制定 处理行为,如permit或deny等。 • 策略匹配顺序:系统查找策略顺序为由上至下,对流 量按照找到的第一条与过滤条件相匹配的策略规则进 行处理。 • 系统缺省的策略是拒绝所有的流量
采取的动作 允许通过,还是拒绝通过
目录
安全策略基础 安全策略基本元素 安全策略配置与应用
安全策略高级特性
小结 网络安全防护
面向对象的策略管理
• 通过采用面向对象方式来实现访问控制,可以合并类 似的访问控制策略,减少访问规则数量。并且对象内 容的修改,安全策略可自动更新,减少安全策略的维 护量。 • 面向对象的策略实现方法: 第一步:定义对象 · 地址对象 · 服务对象 · 时间对象等 第二步:配置面向对象的安全策略
角色(创建用户、角色)
用户>用户 新建用户 界面输入需新建用户名/密码,点击确定
→ →
用户名称 用户密码
用户>角色 新角色
→
角色名称
角色(创建用户映射规则)
用户>角色 新角色映射 配置用户-角色对应关系,点击确定完成新建操作,可编辑该角色映射规 则,添加和删除对应关系。
→ → →
映射规则名称
需映射用户
安全策略高级特性
小结 网络安全防护
策略规则的基本元素
策略规则允许或者拒绝从一个安全域到另一个安全域 的流量。流量的类型、流量的源地址与目标地址以及 行为构成策略规则的基本元素。 Direction - 两个安全域之间的流量的方向,指从源 安全域到目标安全域。 Source Address - 流量的源地址。 Destination Address – 流量的目标地址。 Service – 流量的服务类型。 Action – 安全设备在遇到指定类型流量时所做的行为 ,包括允许(Permit)、拒绝(Deny)、隧道( Tunnel)、是否来自隧道(Fromtunnel)以及Web 认证五个行为。
• CLI:show service predefined
系统预定义服务组
对象>服务簿>所有预定服务组 • 用户可以查看系统预定义服务组,预定义服务组不可修改
• CLI:show predefine-servgroup
用户自义服务 • 除了使用DCFOS提供的预定义服务以外,用户还 可以很容易地创建自己的自定义服务。用户自定 义服务可包含最多8条服务条目。用户需指定的自 定义服务条目的参数包括:
地址(Address)
• 地址簿是DCFOS系统中用来存储IP地址范围与其名称 的对应关系的数据库 • 地址簿中的IP地址与名称的对应关系条目被称作地址 条目(Addess Entry) • 地址条目的IP地址改变时,DCFOS会自动更新引用了 改地址条目的模块。
配置地址簿(WebUI)
对象>地址簿>新建
※ 在全局模式下,使用以下命令绑定IP-MAC: arp ip-address mac-address ※ 在全局模式下,使用以下命令绑定MAC-接口: mac-address-static mac-adress interface interface-name
DHCP监控
防火墙>二层防护>DHCP Snooping
安全策略基础
• 策略分为两种: 域间策略:域间策略对安全域间的流量进行控制可通 过设置域间策略来拒绝、允许从一个安全域到另一个 安全域的流量 域内策略:安全域内策略对绑定到同一个安全域的接 口间流量进行控制。源地址和目的地址都在同一个安 全域中,但是通过安全网关的不同接口到达。
目录
安全策略基础 安全策略基本元素 安全策略配置与应用
攻击防护
防火墙>攻击防护
检测阀值 该防护功能动作
→
→
是否启用防护
→
攻击防护
防火墙>攻击防护
→
是否启用防护 Syn cookie
→
代理阀值
代理时间
主机防御
• 防火墙>二层防护>主机防御 安全网关代替不同主机发送 免费arp包,保护被代理主机免受arp攻击。
→ → → →
服务器所在接口
服务器IP
服务器mac
- 名称 - 传输协议 - TCP或UDP类型服务的源和目标端口号或者ICMP类型服 务的type和code值 - 超时时间 - 应用类型
配置自义服务组
对象>服务簿>所有自定义服务
CLI:service service-name
配置策略规则(WebUI)
防火墙>策略
配置策略
配置策略规则(CLI)
安全策略部署流量
网络安全分析
↗
存在安全需求 指定安全策略
安全效果检查
部署安全策略
配置策略的步骤
安全策略的方向 从哪个安全域,到那个安全域 如trust->untrust
网络层的信息 源自哪个IP/段,到哪个IP/段 如:从192.168.1.0/24->any
服务信息 什么服务 如:http、ftp、bt等
对应角色
用户>AAA服务器>编辑 界面绑定映射规则
→
绑定角色映射规则
角色(实现Web认证)
网络>Web认证 界面开启认证模式,可根据需要调整超时值和认证端口。
认证模式
防火墙>策略 对需要通过角色控制策略选择已定义角色,实现基于角色策 略控制
新建一条用户认证用户的策略,置于角色控制策略之上
配置角色控制策略
Arp包速率
ARP防御
• 防火墙>二层防护>arp防御
通过使用ARP学习功能、MAC学习、ARP认证以及ARP检查功能, DCFOS能够很好的防御ARP欺骗攻击。并且,DCFOS能够对ARP欺骗攻 击进行统计,显示ARP欺骗攻击统计信息
→
ARP广播包限制
是否启用ARP检查
应用
静态绑定
防火墙>二层防护>静态绑定
ห้องสมุดไป่ตู้
↙
配置地址簿(CLI)
• 在全局配置模式下,使用以下命令定义修改地址簿: address address-entry • 在地址配置模式下,使用以下命令来为地址簿添加删除条目: ip ip/mask ip地址段 host host-name 主机名 range min-ip [max-ip] 地址范围 member address-entry 地址簿成员嵌套 no ip ip/mask no host host-name no range min-ip [max-ip] no member address-entry • 查看地址簿信息 show address [address-entry]
基于安全域策略模式:
基于全局策略模式:
时间表
• DCFW-1800系列防火墙支持时间表(Schedule)功能。时 间表功能可以使策略规则在指定的时间生效,也可以控制 PPPoE接口与因特网的连接时间。时间表包含绝对时间和 周期。周期通过周期条目指定时间表的时间点或者时间段 而绝对时间决定周期的生效时间。每个周期最多可以拥有 16条周期条目。
小结
※ 在本章中讲述了以下内容:
※ 基于角色的策略 ※ 基于时间表的策略 ※ 配置网络攻击防护 ※ 配置二层防护
问题
• 基于角色的策略中,unknow角色策略的作用? • 神州数码防火墙支持的ARP攻击防护的方法有哪些? • 神州数码防火墙支持抵御哪些Flood攻击?如何防止SynFlood攻击? • 解释Secure Defender的作用。
安全>策略>列出
移动策略规则位置 move id {top | bottom | before id | after id}
小结
※ 在本章中讲述了以下内容: ※ 安全策略的用途 ※ 配置安全策略使用的地址簿 ※ 配置服务簿和服务组 ※ 配置安全策略保护网络资源
问题
• • • • • • 1、安全策略由哪几部分组成? 2、安全策略规则的动作支持哪几种? 3、安全策略执行的顺序? 4、同一个安全域内的策略,安全网关缺省的动作是什么? 5、状态检测与包过滤两种实现方式有何不同? 6、系统自带的地址簿对象“ipv4.ethernet0/0”和 “ipv4.ethernet0/0_subnet”代表什么地址?
谢谢
rule [id id] [top | before id | after id] from src-addr to dst-addr service service-name {permit | deny | tunnel tunnel-name | fromtunnel tunnel-name | webauth} – id id – 指定策略规则的ID。如果不指定,系统将会为策略规则自动分配一个ID。规 则ID在整个系统中必须是唯一的。 – top | before id | after id – 指定策略规则的位置,可以是所有规则的首位(top)、 某个规则之前(before id)或者某个ID(after id)之后。默认情况下,系统会将新 创建的策略规则放到所有规则的末尾。 – from src-addr – 指定策略规则的源地址。src-addr为地址簿中定义的地址条目。 – to dst-addr – 指定策略规则的目的地址。dst-addr为地址簿中定义的地址条目。 – service service-name – 指定策略规则的服务名称。service-name为服务簿中定义的服 务。 – permit | deny | tunnel tunnel-name| fromtunnel tunnel-name – 指定策略规则的行为
服务(Service)
• 服务(Service):具有协议标准的信息流。服务具 有一定的特征,例如相应的协议、端口号等。 • 服务组:将一些服务组织到一起便组成了服务组。用 户可以直接将服务组应用到安全网关策略中,这样便 简化了管理。
系统预定义服务
对象>服务簿>所有预定服务 • 用户可以查看或者修改系统预定义服务,预定义服务只提 供对服务超时时间进行修改。
目录
安全策略基础 安全策略基本元素 安全策略配置与应用
安全策略高级特性
小结 网络安全防护
角色
• 神州数码防火墙不仅可以基于IP指定策略控制流 量,而且可以结合角色实现细粒度的基于用户的 访问控制。
把用户和角色(Role)映射起来(配置角色映射规则), 然后把角色/角色组引用到系统策略规则中,就能够实现 设备对不同用户流量的管理与控制。
时间表
对象>时间表>新建 时间表提供“绝对时间”和“周期”两种类型
应用时间表到策略
防火墙>策略 调用时间表的策略,只在时间表范围内生效
查看调用时间表的策略
防火墙>策略 调用时间表的策略,只在时间表范围内生效
CLI:show policy
目录
安全策略基础 安全策略基本元素 安全策略配置与应用
安全策略高级特性
小结 网络安全防护
攻击防护
• 网络中存在多种防不胜防的攻击,如侵入或破坏 网络上的服务器、盗取服务器的敏感数据、破坏 服务器对外提供的服务,或者直接破坏网络设备 导致网络服务异常甚至中断。作为网络安全设备 的防火墙,必须具备攻击防护功能来检测各种类 型的网络攻击,从而采取相应的措施保护内部网 络免受恶意攻击,以保证内部网络及系统正常运 行。神州数码防火墙提供基于域的攻击防护功能
防火墙安全策略
神州数码客服 2015-1
目录
安全策略基础 安全策略基本元素 安全策略配置与应用
安全策略高级特性
小结 网络安全防护
安全策略基础
• 安全策略基础 • 策略是网络安全设备的基本功能 • 默认情况下,安全设备会拒绝设备上所有安全域之间 的信息传输 • 策略则通过策略规则(Policy Rule)决定从一个安全 域到另一个安全域的哪些流量该被允许,哪些流量该 被拒绝。
show policy [id id] [from src-zone] [to dst-zone]
– id id – 显示指定ID规则的详细信息。 – from src-zone – 显示源安全域为指定域的规则的详细信息。 – to dst-zone – 显示目标安全域为指定域的规则的详细信息。
检查 /移动策略规则
•
• • • •
策略规则
• 策略规则分为两部分:过滤条件和行为。安全域间流 量的源地址、目的地址、服务类型以及角色构成策略 规则的过滤条件。 对于匹配过滤条件的流量可以制定 处理行为,如permit或deny等。 • 策略匹配顺序:系统查找策略顺序为由上至下,对流 量按照找到的第一条与过滤条件相匹配的策略规则进 行处理。 • 系统缺省的策略是拒绝所有的流量
采取的动作 允许通过,还是拒绝通过
目录
安全策略基础 安全策略基本元素 安全策略配置与应用
安全策略高级特性
小结 网络安全防护
面向对象的策略管理
• 通过采用面向对象方式来实现访问控制,可以合并类 似的访问控制策略,减少访问规则数量。并且对象内 容的修改,安全策略可自动更新,减少安全策略的维 护量。 • 面向对象的策略实现方法: 第一步:定义对象 · 地址对象 · 服务对象 · 时间对象等 第二步:配置面向对象的安全策略
角色(创建用户、角色)
用户>用户 新建用户 界面输入需新建用户名/密码,点击确定
→ →
用户名称 用户密码
用户>角色 新角色
→
角色名称
角色(创建用户映射规则)
用户>角色 新角色映射 配置用户-角色对应关系,点击确定完成新建操作,可编辑该角色映射规 则,添加和删除对应关系。
→ → →
映射规则名称
需映射用户
安全策略高级特性
小结 网络安全防护
策略规则的基本元素
策略规则允许或者拒绝从一个安全域到另一个安全域 的流量。流量的类型、流量的源地址与目标地址以及 行为构成策略规则的基本元素。 Direction - 两个安全域之间的流量的方向,指从源 安全域到目标安全域。 Source Address - 流量的源地址。 Destination Address – 流量的目标地址。 Service – 流量的服务类型。 Action – 安全设备在遇到指定类型流量时所做的行为 ,包括允许(Permit)、拒绝(Deny)、隧道( Tunnel)、是否来自隧道(Fromtunnel)以及Web 认证五个行为。
• CLI:show service predefined
系统预定义服务组
对象>服务簿>所有预定服务组 • 用户可以查看系统预定义服务组,预定义服务组不可修改
• CLI:show predefine-servgroup
用户自义服务 • 除了使用DCFOS提供的预定义服务以外,用户还 可以很容易地创建自己的自定义服务。用户自定 义服务可包含最多8条服务条目。用户需指定的自 定义服务条目的参数包括:
地址(Address)
• 地址簿是DCFOS系统中用来存储IP地址范围与其名称 的对应关系的数据库 • 地址簿中的IP地址与名称的对应关系条目被称作地址 条目(Addess Entry) • 地址条目的IP地址改变时,DCFOS会自动更新引用了 改地址条目的模块。
配置地址簿(WebUI)
对象>地址簿>新建
※ 在全局模式下,使用以下命令绑定IP-MAC: arp ip-address mac-address ※ 在全局模式下,使用以下命令绑定MAC-接口: mac-address-static mac-adress interface interface-name
DHCP监控
防火墙>二层防护>DHCP Snooping
安全策略基础
• 策略分为两种: 域间策略:域间策略对安全域间的流量进行控制可通 过设置域间策略来拒绝、允许从一个安全域到另一个 安全域的流量 域内策略:安全域内策略对绑定到同一个安全域的接 口间流量进行控制。源地址和目的地址都在同一个安 全域中,但是通过安全网关的不同接口到达。
目录
安全策略基础 安全策略基本元素 安全策略配置与应用
攻击防护
防火墙>攻击防护
检测阀值 该防护功能动作
→
→
是否启用防护
→
攻击防护
防火墙>攻击防护
→
是否启用防护 Syn cookie
→
代理阀值
代理时间
主机防御
• 防火墙>二层防护>主机防御 安全网关代替不同主机发送 免费arp包,保护被代理主机免受arp攻击。
→ → → →
服务器所在接口
服务器IP
服务器mac
- 名称 - 传输协议 - TCP或UDP类型服务的源和目标端口号或者ICMP类型服 务的type和code值 - 超时时间 - 应用类型
配置自义服务组
对象>服务簿>所有自定义服务
CLI:service service-name
配置策略规则(WebUI)
防火墙>策略
配置策略
配置策略规则(CLI)
安全策略部署流量
网络安全分析
↗
存在安全需求 指定安全策略
安全效果检查
部署安全策略
配置策略的步骤
安全策略的方向 从哪个安全域,到那个安全域 如trust->untrust
网络层的信息 源自哪个IP/段,到哪个IP/段 如:从192.168.1.0/24->any
服务信息 什么服务 如:http、ftp、bt等
对应角色
用户>AAA服务器>编辑 界面绑定映射规则
→
绑定角色映射规则
角色(实现Web认证)
网络>Web认证 界面开启认证模式,可根据需要调整超时值和认证端口。
认证模式
防火墙>策略 对需要通过角色控制策略选择已定义角色,实现基于角色策 略控制
新建一条用户认证用户的策略,置于角色控制策略之上
配置角色控制策略
Arp包速率
ARP防御
• 防火墙>二层防护>arp防御
通过使用ARP学习功能、MAC学习、ARP认证以及ARP检查功能, DCFOS能够很好的防御ARP欺骗攻击。并且,DCFOS能够对ARP欺骗攻 击进行统计,显示ARP欺骗攻击统计信息
→
ARP广播包限制
是否启用ARP检查
应用
静态绑定
防火墙>二层防护>静态绑定
ห้องสมุดไป่ตู้
↙
配置地址簿(CLI)
• 在全局配置模式下,使用以下命令定义修改地址簿: address address-entry • 在地址配置模式下,使用以下命令来为地址簿添加删除条目: ip ip/mask ip地址段 host host-name 主机名 range min-ip [max-ip] 地址范围 member address-entry 地址簿成员嵌套 no ip ip/mask no host host-name no range min-ip [max-ip] no member address-entry • 查看地址簿信息 show address [address-entry]
基于安全域策略模式:
基于全局策略模式:
时间表
• DCFW-1800系列防火墙支持时间表(Schedule)功能。时 间表功能可以使策略规则在指定的时间生效,也可以控制 PPPoE接口与因特网的连接时间。时间表包含绝对时间和 周期。周期通过周期条目指定时间表的时间点或者时间段 而绝对时间决定周期的生效时间。每个周期最多可以拥有 16条周期条目。
小结
※ 在本章中讲述了以下内容:
※ 基于角色的策略 ※ 基于时间表的策略 ※ 配置网络攻击防护 ※ 配置二层防护
问题
• 基于角色的策略中,unknow角色策略的作用? • 神州数码防火墙支持的ARP攻击防护的方法有哪些? • 神州数码防火墙支持抵御哪些Flood攻击?如何防止SynFlood攻击? • 解释Secure Defender的作用。
安全>策略>列出
移动策略规则位置 move id {top | bottom | before id | after id}
小结
※ 在本章中讲述了以下内容: ※ 安全策略的用途 ※ 配置安全策略使用的地址簿 ※ 配置服务簿和服务组 ※ 配置安全策略保护网络资源
问题
• • • • • • 1、安全策略由哪几部分组成? 2、安全策略规则的动作支持哪几种? 3、安全策略执行的顺序? 4、同一个安全域内的策略,安全网关缺省的动作是什么? 5、状态检测与包过滤两种实现方式有何不同? 6、系统自带的地址簿对象“ipv4.ethernet0/0”和 “ipv4.ethernet0/0_subnet”代表什么地址?
谢谢