El mundo de la red está en medio de los vientos del cambio, y las amenazas de seguridad emergen una tras otra. Para adaptar dichos cambios, los firewalls de Huawei se actualizan constantemente y, en consecuencia, se desarrollan y mejoran las políticas de seguridad.
Como se muestra en la Figura 1-1, el desarrollo de las políticas de seguridad del firewall de Huawei ha experimentado tres fases: filtrado de paquetes basado en ACL, política de seguridad integrada UTM y política de seguridad unificada.
Figura 1-1 Historial de desarrollo de las políticas de seguridad del firewall de Huawei.
El historial de desarrollo muestra las siguientes características:
· Las condiciones de juego son más refinadas. Se desarrollan desde la dirección IP y la identificación de paquetes basada en puerto por los firewalls tradicionales a la identificación de paquetes basada en el usuario, la aplicación y el contenido mediante los firewalls de próxima generación (NGFWs). Se ha mejorado la capacidad de identificación de paquetes.
· más acciones están disponibles. Al principio, los paquetes eran simplemente permitidos o rechazados. Ahora, los Firewall pueden realizar varias comprobaciones de seguridad de contenido en paquetes.
· la configuración es más conveniente Para configurar las políticas de seguridad en los Firewall tradicionales, debe ser experto en la configuración de ACL. La configuración de la política de seguridad unificada en NGFW es más simple, conveniente y fácil de entender.
Vamos a describir las tres fases de desarrollo una por una.
Fase 1: Filtrado de paquetes basado en ACL
El filtrado de paquetes basado en ACL es la implementación en los firewalls iniciales de Huawei. Solo las versiones anteriores (como V200R001 para la serie Eudemon8000E-X) admiten este modo.
En esta fase, las ACL están configuradas para controlar paquetes. Cada ACL contiene varias reglas, y cada regla tiene la condición y la acción definidas. Las ACL se deben configurar de antemano y hacer referencia entre zonas.
Cuando se reenvía un paquete entre zonas de seguridad, un firewall busca reglas en las ACL de arriba a abajo. Si el paquete coincide con una regla, el firewall realiza la acción definida en la regla y detiene la búsqueda de la regla. Si el paquete no coincide con la regla, el firewall continúa buscando la siguiente regla. Si el paquete no coincide con ninguna regla, el firewall realiza la acción definida en el filtrado de paquetes predeterminado.
Como se muestra en la Figura 1-2, la relación entre zona Trust-Untrust se utiliza como ejemplo para explicar la lógica de configuración del filtrado de paquetes basado en ACL.
Figura 1-2 Lógica de configuración del filtrado de paquetes basado en ACL.
Para configurar el filtrado de paquetes basado en ACL, primero debe configurar una ACL y luego hacer referencia a la ACL entre las zonas. Por ejemplo, para denegar los paquetes de 192.168.0.100 en la zona Trust a la zona Untrust y permitir los paquetes desde 192.168.0.0/24 a 172.16.0.0/24, configure la siguiente ACL:
[FW] acl 3000
[FW-acl-adv-3000] rule deny ip source 192.168.0.100 0
[FW-acl-adv-3000] rule permit ip source 192.168.0.0 0.0.0.255 destination 172.16.0.0 0.0.0.255
[FW-acl-adv-3000] quit
[FW] firewall interzone trust untrust
[FW-interzone-trust-untrust] packet-filter 3000 outbound
Fase 2: Política de seguridad integrada UTM
Con el lanzamiento de los productos UTM, las políticas de seguridad del firewall de Huawei dan un paso adelante y se convierten en "políticas" reales. A diferencia del filtrado de paquetes basado en ACL, las políticas de seguridad integradas en UTM tienen condiciones y acciones definidas sin la ayuda de las ACL. Además, si la acción es un permiso, las políticas UTM, como las políticas antivirus e IPS, pueden ser referenciadas para una inspección de paquetes adicional.
V300R001 para la serie Eudemon1000E-X usa políticas de seguridad integradas UTM. V300R001 para la serie Eudemon8000E-X también es compatible con este tipo de política de seguridad, pero solo se pueden establecer condiciones y acciones, y no se puede hacer referencia a las políticas UTM.
Como se muestra en la Figura 1-3, una política de seguridad integrada en UTM consiste en la condición, la acción y la política UTM. Tenga en cuenta que el concepto de "conjunto de servicios" surge en condiciones de política de seguridad como un sustituto del protocolo y el puerto. Algunos conjuntos de servicios que incluyen protocolos comunes se han predefinido en las políticas de seguridad. Estos conjuntos de servicios se pueden establecer directamente como condiciones. Para otros protocolos o puertos, podemos definir nuevos conjuntos de servicios y hacer referencia a ellos en políticas de seguridad.
Figura 1-3 Composición de una política de seguridad integrada en UTM
Las políticas de seguridad integradas de UTM están en secuencia. Cuando un firewall reenvía paquetes entre zonas de seguridad, busca políticas de seguridad entre zonas de arriba a abajo. Si un paquete coincide con una política de seguridad específica, el firewall realiza la acción definida en la política y deja de buscar políticas de seguridad posteriores. Si el paquete no coincide con la política, el firewall continúa buscando políticas posteriores. Si el paquete no coincide con ninguna política, el firewall realiza la acción definida en el filtrado de paquetes predeterminado.
Como se muestra en la Figura 1-4, la relación interzona Trust-Untrust se usa como un ejemplo para explicar la lógica de configuración de las políticas de seguridad integradas en UTM.
Figura 1-4 Lógica de configuración de las políticas de seguridad integradas en UTM
Para configurar una política de seguridad integrada en UTM, puede establecer directamente la condición y la acción. Si se requiere la inspección de UTM en los paquetes, establezca una política de UTM y haga referencia a la política de UTM en la política de seguridad con la acción que se permita. Por ejemplo, para denegar los paquetes de 192.168.0.100 en la zona Trust a la zona Untrust y permitir los paquetes desde 192.168.0.0/24 a 172.16.0.0/24, configure la siguiente política de seguridad:
[FW] policy interzone trust untrust outbound
[FW-policy-interzone-trust-untrust-outbound] policy 1
[FW-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.100 0
[FW-policy-interzone-trust-untrust-outbound-1] action deny
[FW-policy-interzone-trust-untrust-outbound-1] quit
[FW-policy-interzone-trust-untrust-outbound] policy 2
[FW-policy-interzone-trust-untrust-outbound-2] policy source 192.168.0.0 0.0.0.255
[FW-policy-interzone-trust-untrust-outbound-2] policy destination 172.16.0.0 0.0.0.255
[FW-policy-interzone-trust-untrust-outbound-2] action permit
Fase 3: Política de seguridad unificada
A medida que las redes se desarrollan rápidamente y las aplicaciones florecen, el uso del protocolo y los modos de transmisión de datos han cambiado, y surgen constantemente errores de redes, redes de bots y otras aplicaciones basadas en aplicaciones. Los firewalls tradicionales son incapaces de prevenir amenazas de gusanos y botnets de red, ya que identifican aplicaciones basadas en puertos y protocolos y detectan y defienden contra ataques basados en firmas de la capa de transporte. El nuevo requisito de seguridad impulsa la aparición del firewall de próxima generación. Los firewalls de Huawei siguen el ritmo de los tiempos y sus políticas de seguridad se desarrollan en la fase de política de seguridad "unificada". Actualmente, la serie V100R001 para Eudemon200E-N / 1000E-N admite políticas de seguridad unificadas.
La unificación se refiere principalmente a:
· Configuración unificada: se puede hacer referencia a los perfiles de seguridad en las políticas de seguridad para implementar funciones de seguridad, como antivirus, prevención de intrusiones, filtrado de URL y filtrado de correo, lo que reduce la complejidad de la configuración.
· Procesamiento de servicio unificado: se realizan múltiples servicios en paquetes cuando se usan políticas de seguridad para verificar los paquetes, lo que mejora en gran medida el rendimiento del sistema.
Como se muestra en la Figura 1-5, las políticas de seguridad unificadas están configuradas para identificar entornos de servicio reales basados en aplicaciones, contenido, tiempo, usuarios, ataques y ubicaciones, además de la información quíntuple tradicional, implementando un control de acceso preciso e inspección de seguridad.
Figura 1-5 Dimensiones de identificación para políticas de seguridad unificadas
Una política de seguridad unificada consiste en la condición, la acción y el perfil, como se muestra en la Figura 1-6.
El perfil se usa para la inspección de seguridad de contenido en paquetes y solo se puede hacer referencia cuando la acción en la política es permitida.
Figura 1-6 Composición de una política de seguridad unificada
En comparación con las políticas de seguridad en las dos primeras fases, las políticas de seguridad unificadas tienen las siguientes características:
· Las políticas de seguridad unificadas se basan en el alcance global, ya no se basan en la interzona. Las zonas de seguridad son opcionales y se pueden configurar varias zonas de seguridad al mismo tiempo. Una implementación especial en la serie Huawei Eudemon200E-N / 1000E-N es que los paquetes no pueden viajar entre zonas de seguridad de manera predeterminada. Para permitir el viaje, debe configurar una política de seguridad intrazona.
· La acción predeterminada para las políticas de seguridad reemplaza el filtrado de paquetes predeterminado, y la acción se aplica globalmente.
Si se configuran múltiples políticas de seguridad unificadas en un Firewall, el servidor de seguridad busca las políticas de arriba a abajo cuando reenvía paquetes. Como se muestra en la Figura 1-7, si un paquete coincide con una política de seguridad específica, el firewall realiza la acción definida en la política y deja de buscar políticas de seguridad posteriores. Si el paquete no coincide con la política, el firewall continúa buscando políticas posteriores. Si el paquete no coincide con ninguna política, el firewall realiza la acción predeterminada para las políticas de seguridad. La función de la acción predeterminada es la misma que la del filtrado de paquetes predeterminado. La diferencia es que la acción predeterminada se establece en una política de seguridad.
Figura 1-7 Lógica de configuración de políticas de seguridad unificadas
Por ejemplo, para denegar los paquetes de 192.168.0.100 en la zona Trust a la zona Untrust y permitir los paquetes desde 192.168.0.0/24 a 172.16.0.0/24, configure las siguientes políticas de seguridad unificadas:
[FW] security-policy
[FW-policy-security] rule name policy1
[FW-policy-security-rule-policy1] source-zone trust
[FW-policy-security-rule-policy1] destination-zone untrust
[FW-policy-security-rule-policy1] source-address 192.168.0.100 32
[FW-policy-security-rule-policy1] action deny
[FW-policy-security-rule-policy1] quit
[FW-policy-security] rule name policy2
[FW-policy-security-rule-policy2] source-zone trust
[FW-policy-security-rule-policy2] destination-zone untrust
[FW-policy-security-rule-policy2] source-address 192.168.0.0 24
[FW-policy-security-rule-policy2] destination-address 172.16.0.0 24
[FW-policy-security-rule-policy2] action permit
Después de la introducción anterior, creo que ha comprendido el historial de desarrollo de las políticas de seguridad del firewall de Huawei. Las políticas de seguridad que se mencionan en las siguientes partes están configuradas como políticas de seguridad integradas en UTM, que son populares en la actualidad, pero solo brindamos condiciones y acciones y no involucramos políticas de UTM.
Saludos.
FIN
Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums
#ComunidadEnterprise
#OneHuawei