防火墙安全策略

防火墙安全策略

李明峻工程师·讲师

策略元素

元素：源地址----------数据包来源地址：192.168.0.1目的地址-------数据包目标地址：0.0.0.0

服务应用-------数据包协议端口：any

时间表----------数据包所处时间：always 模式：允许------------如果无素全符合，则允许通过禁止------------如果元素全符合，则禁止通过

加密------------如果元素全符合，则进行加密动作：NAT------------对数据包进行NAT转换

带宽控制------对数据流进行带宽控制

用户认证------认证通过后策略才生效

内容过滤------对数据流进行内容过滤

日志------------对数据流进行日志记录

元素别名

地址：Allnet------0.0.0.0/0.0.0.0

Lan-1------192.168.1.0/255.255.255.0

PC-25------192.168.1.25/255.255.255.0

财务部------PC11,PC18,PC36,PC45

服务：Http ------Tcp-25

Office ------dns,http,pop3,smtp,ftp

OA ------tcp8081-tcp8090

时间：Always ------anytime

五一------5.1零时-5.8零时

workam------周1-周5,8:30-12:00

workpm------周1-周5,2:00-5:30

•由上至下：策略按由上开始往下执行

•匹配优先：最先匹配的策略会立即执行

•默认禁止：不可见的最后一条默认策略是禁止

•实例：

策略1：允许内部IP2访问外网任意端口

策略2：禁止内部所有IP访问外网的Tcp-25端口

策略3：允许内部所有IP访问外网任意端口

不可见策略（默认）：禁止所有

•由上至下：策略按由上开始往下执行

•匹配优先：最先匹配的策略会立即执行

•默认禁止：不可见的最后一条默认策略是禁止

•实例：

策略1：禁止内部IP2访问外网任意端口

策略2：允许内部所有IP访问外网的Tcp-80端口

策略3：允许内部所有IP访问外网的Udp-53端口

不可见策略（默认）：禁止所有

ID 源IP 目的IP 时间表服务模式动作

1all all always 53 允许NAT

2组1 all always 25,110 允许NAT

3组1 W-1 always 80 允许NAT

4组2 all work 80 允许NAT,50KB中5VoIP all always VoPort允许NAT,60KB,高6组3 all always 1-500 允许NAT, 80KB,中7组3 all always 501up 允许NAT,50KB,低

ID 源IP 目的IP 时间表服务模式动作

1all all always DePort禁止NAT

2all all always 53,110 允许NAT,50KB,高3组1 all work any 禁止log

4all all work 500low 允许NAT,90KB,中5all all work 501up 允许NAT,60KB,低6组2 all always any 禁止log

7all all always any 允许NAT

ID 源IP 目的IP 时间表服务模式动作

1all all always DePort禁止NAT

2all all always 53 允许NAT

3all all always 80,25,110 允许NAT,Virus 4all all work 21 允许NAT,Auth 5all all always 21 允许NAT

6组1 all always any 允许NAT

注: Virus是指进行病毒检查，Auth是指进行用户认证

十条守则

1、尽量只开放真正必需的服务

2、了解你的网络正在使用什么服务和应用

3、您的服务器不一定需要访问外部

4、尽量简化防火墙的策略，要清楚每条策略的作用

5、为重要用户开放最大访问权限并非上策

6、对VPN远程访问内部的策略进行严格限制

7、策略配置好后，进行有效的测试检验效果

8、防火墙只会执行策略，效果没达到不要怪防火墙

9、将策略进行备份，每次修改策略都要慎重

10、防火墙策略只对经过防火墙的流量起作用

检查与排错

1、检查地址别名，不同产品的掩码设置方式有可能不同

2、检查服务别名，相应的服务要开放相应的端口

3、如果使用了周期表，要校正系统的时间

4、排错前，可以尝试先关闭某些UTM功能

5、要检查策略的顺序，要符合“由上至下，匹配优先”

6、要注间Accept All或Deny All这两类策略

7、有时候可能不是策略的问题，想想别的方面

8、策略和其它方面都检查完了，重启一下或许……

9、在排错过程，在适当时候将策略配置进行备份

10、排错完成后，记得做一份最新的配置备份

防火墙技术以外

1、一个主机的多个系统实体

2、企业小网吧或tcp-3389,或许是个不错的主意

3、良好的密码策略和密码的复杂性一样重要

4、制度建军设和日志取证

5、加强安全区内的访问控制，不要轻易关闭PC防火墙

6、只买对的，不买贵的。选好产品，用好产品！

7、100元>10000元，500元>50000元

8、我不想用专门要一个机柜来放网关

9、特洛伊木马之前的故事

10、非IT人员的安全意识教育，也很重要