网康NGFW上线指南-安全策略配置指导

安全策略配置指导
声明
该配置指导只针对中小企业的在网络出口部署下一代防火墙的应用场景。

由于中小企业网络管理者安全意识不强、网络应用环境也不是特别复杂，所以本文档输出针对大多数企业有共性的基本安全策略配置建议。

细致完整的安全策略配置要根据客户实际情况具体分析。

以下安全策略配置是基于设备上线后，内外网已经能够正常访问的情况下，开启对内网的最基本的安全防护策略。

1. 网络部署
在企业内网与互联网边界部署下一代防火墙的建议拓扑结构如下： 网关模式：部署在核心交换机前面，和运营商链路直接连接。

NGFW
办公区1办公区N
核心交换机
透明模式：部署在核心交换机和路由器之间
NGFW
办公区1办公区N
核心交换机
2. 区域防护文件配置
区域防护文件配置主要体现传统防火墙的安全防护功能。

只配置文件并不会生效，需要在区域配置时关联该区域防护文件才会生效。

配置步骤：【网络配置】【接口与区域】【区域防护配置文件】新建，【flood 防护】选择“SYN”、“ICMP”、“UDP”、“DNS”。

【端口扫描】选择“TCP”、“UDP”、“ICMP”。

【基于数据包的攻击防护】选择“Ping of Death”、“Tear Drop”、“IP Option”、“TCP Anomaly”、“Land Attack”、“Smurf”。

【ARP攻击防护】选择“ARP反向查询”、“每MAC的IP数限制”
3.区域划分
为了更有效的进行安全防护，对于不同安全等级的网络划分在不同的安全区域内。

安全域：NGFW连接内网用户的接口
配置步骤：【网络配置】【接口与区域】【区域】新建，添加内网网口Eth1，选择安全域防护。

非安全域：NGFW连接外网的接口
配置步骤：【网络配置】【接口与区域】【区域】新建，添加外网网口eth0.
4.安全策略配置
1）内网到外网的安全策略
配置步骤：【策略配置】【策略配置】【安全策略】新建策略，源区域选择安全域，目的区域选择非安全域，动作选择允许，勾选记录流量日志，防漏洞配置选择default（保护客户端），网址过滤选择default，其他动作根据具体需求情况再配置。

2）外网到内网安全策略
配置步骤：【策略配置】【策略配置】【安全策略】新建策略，源区域选择非安全域，目的区域选择安全域，即动作选择允许，勾选记录流量日志，防病毒
配置选择default，防漏洞配置选择default（保护服务器），防间谍软件配置选择default，其他动作根据具体需求情况再配置。

配置成功后的安全策略汇总
5.智能分析开启
僵尸网络，根据流量日志，网址过滤日志，威胁日志（所以需要开启这三项日志检测，僵尸网络才能正常使用）的大数据分析，指定时间存在相关行为并超过阀值，即输出日志。

配置步骤：【数据中心】【智能分析】【僵尸网络】【规则设置】，开启所有的匹配规则，阈值采用默认值。

可根据特定的网络应用环境修改阈值。

其中“IRC 流量”和“僵尸网络指令传输”不需要设定阀值。

应用威胁
配置步骤：【数据中心】【智能分析】【应用威胁】，选择开启应用威胁分析。

6.安全策略配置注意事项
默认隐藏一条优先级最低的全deny安全策略。

策略中尽可能不用ALL作源/目的地址。

策略中尽可能不用ANY作协议/服务。

每条策略中的源区域或目的区域尽量只选择1个，以清晰流量方向。

每条策略加上注释，以便容易理解。

通用策略尽量使用地址组及服务组，以减少策略条数，既能优化性能，也能便于管理。

特殊策略尽量精确到单个IP地址、单个端口，这样既提高安全性，也能提高系统的性能和稳定性。

尽量将用得最多或最重要的策略优先级提高，安全策略是按照优先级至上而下执行的。

安全策略配置后，运行并观察一段时间，然后再根据客户业务运行情况对策略进行微调（比如删除未命中策略）。