防火墙安全策略
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安全策略
CONTENTS
01
目 02 录 03
04
安全策略基础 策略高级选项 配置对象 配置安全策略
01 安全策略基础
安全策略基础
策略是网络安全设备的基本功能。默认情况下,安全网关会拒绝设备上所有接口之间的信息传 输。而策略则通过策略规则决定从一个接口到另一个接口的哪些流量该被允许,哪些流量该被 拒绝。
应用
资源管理>应用>应用 选中 <应用对象>项 资源管理>应用>应用 选中 <应用组对象>项,点击〖新建〗按钮,创建应用组对象。
04 配置安全策略
安全策略配置-WebUI
防火墙>安全策略>IPv4安全策略 ,点击〖新建〗按钮,创建策略。
安全策略配置-实验环境
FW-1
ge2:200.0.0.2/30
02 策略高级选项
策略匹配次数
统计策略在当前环境中的使用情况,以判断是否有效
策略冗余检测
检测当前策略的冗余性
策略老化时间
基于策略的老化时间, 缺省情况下, 老化时间为0, 表示使用各个协议默 认的老化时间。
03 配置对象
对象
对象模块包括以下信息:
- 地址 - 服务 - 应用 - 时间表 - 用户
地址
资源管理>地址 选中 <IPv4地址对象>项,点击〖新建〗按钮,创建IPv4地址对象。 资源管理>地址 选中 <地址组对象>项,点击〖新建〗按钮,创建地址组对象。
服务-预定义服务
资源管理>服务 选中 <预定义服务>项 用户可以查看系统预定义服务
服务-自定义服务
资源管理>服务 选中 <自定义服务>项,点击〖新建〗按钮,创建服务对象。
ID
– 安全策略的唯一标识。
安全域
安全域是若干接口所连网络的集合,这些网络中的用户具有相同的安全属性。三层接口可以绑定到安 全域(除tunnel口和无线接口外),二层接口不能绑定到安全域。
安全策略的匹配原则
策略匹配顺序: –从列表由上至下(不是按照ID号大小匹配)根据流量的过滤条件 进行匹配,系统会对流量按照找到的第一条与过滤条件相匹配的 策略规则进行处理。
哪些网络流量允 许通过?
Server
Internet
策略规则的基本元素
策略规则允许或者拒绝从一个(多个)接口到另一个(多个)接口/从一个地址段到另一个地址 段的流量。流量的类型、流量的源安全域/源地址与目的安全域/目的地址以及行为构成策略规 则的基本元素。
IF_IN/SIP – 流量的源接口或源安全域/源地址。
IF_OUT /DIP – 流量的目的接口或目的安全域/目的地址。
SERVICE
– 流量的服务对象。
USER
– 流量的用户对象。
APPLICATION – 流量的应用对象。
SCHEDULE – 流量的时间对象。
Action
– 安全设备在遇到指定类型流量时所做的行为,包括允许(Permit)、拒绝(Deny)。
系统缺省的策略是拒绝所有流量。
调整策略规则位置-WebUI配置
通过WebUI调整策略规则位置,在IPv4安全策略规则编辑页面选择<优先级>:
匹配顺序举例
1. 源ip地址192.168.255.10,该IP地址工作在ge1接口, 2. 设备连接互连网的接口属于 untrust域, 3. 访问网站www.baidu.com, 4. 按下图策略规则顺序,流量匹配哪条规则?
internet
ge3:192.168.20.1/24
FW-2
ge1 bvi0:ge0,ge1
192.168.20.254/24
ge0
PC 192.168.20.2
来自百度文库
CONTENTS
01
目 02 录 03
04
安全策略基础 策略高级选项 配置对象 配置安全策略
01 安全策略基础
安全策略基础
策略是网络安全设备的基本功能。默认情况下,安全网关会拒绝设备上所有接口之间的信息传 输。而策略则通过策略规则决定从一个接口到另一个接口的哪些流量该被允许,哪些流量该被 拒绝。
应用
资源管理>应用>应用 选中 <应用对象>项 资源管理>应用>应用 选中 <应用组对象>项,点击〖新建〗按钮,创建应用组对象。
04 配置安全策略
安全策略配置-WebUI
防火墙>安全策略>IPv4安全策略 ,点击〖新建〗按钮,创建策略。
安全策略配置-实验环境
FW-1
ge2:200.0.0.2/30
02 策略高级选项
策略匹配次数
统计策略在当前环境中的使用情况,以判断是否有效
策略冗余检测
检测当前策略的冗余性
策略老化时间
基于策略的老化时间, 缺省情况下, 老化时间为0, 表示使用各个协议默 认的老化时间。
03 配置对象
对象
对象模块包括以下信息:
- 地址 - 服务 - 应用 - 时间表 - 用户
地址
资源管理>地址 选中 <IPv4地址对象>项,点击〖新建〗按钮,创建IPv4地址对象。 资源管理>地址 选中 <地址组对象>项,点击〖新建〗按钮,创建地址组对象。
服务-预定义服务
资源管理>服务 选中 <预定义服务>项 用户可以查看系统预定义服务
服务-自定义服务
资源管理>服务 选中 <自定义服务>项,点击〖新建〗按钮,创建服务对象。
ID
– 安全策略的唯一标识。
安全域
安全域是若干接口所连网络的集合,这些网络中的用户具有相同的安全属性。三层接口可以绑定到安 全域(除tunnel口和无线接口外),二层接口不能绑定到安全域。
安全策略的匹配原则
策略匹配顺序: –从列表由上至下(不是按照ID号大小匹配)根据流量的过滤条件 进行匹配,系统会对流量按照找到的第一条与过滤条件相匹配的 策略规则进行处理。
哪些网络流量允 许通过?
Server
Internet
策略规则的基本元素
策略规则允许或者拒绝从一个(多个)接口到另一个(多个)接口/从一个地址段到另一个地址 段的流量。流量的类型、流量的源安全域/源地址与目的安全域/目的地址以及行为构成策略规 则的基本元素。
IF_IN/SIP – 流量的源接口或源安全域/源地址。
IF_OUT /DIP – 流量的目的接口或目的安全域/目的地址。
SERVICE
– 流量的服务对象。
USER
– 流量的用户对象。
APPLICATION – 流量的应用对象。
SCHEDULE – 流量的时间对象。
Action
– 安全设备在遇到指定类型流量时所做的行为,包括允许(Permit)、拒绝(Deny)。
系统缺省的策略是拒绝所有流量。
调整策略规则位置-WebUI配置
通过WebUI调整策略规则位置,在IPv4安全策略规则编辑页面选择<优先级>:
匹配顺序举例
1. 源ip地址192.168.255.10,该IP地址工作在ge1接口, 2. 设备连接互连网的接口属于 untrust域, 3. 访问网站www.baidu.com, 4. 按下图策略规则顺序,流量匹配哪条规则?
internet
ge3:192.168.20.1/24
FW-2
ge1 bvi0:ge0,ge1
192.168.20.254/24
ge0
PC 192.168.20.2
来自百度文库