Creación de Historial de políticas de seguridad

67 0 0 0

El mundo de la red está en medio de los vientos del cambio, y las amenazas de seguridad emergen una tras otra. Para adaptar dichos cambios, los firewalls de Huawei se actualizan constantemente y, en consecuencia, se desarrollan y mejoran las políticas de seguridad.

Como se muestra en la Figura 1-1, el desarrollo de las políticas de seguridad del firewall de Huawei ha experimentado tres fases: filtrado de paquetes basado en ACL, política de seguridad integrada UTM y política de seguridad unificada.

Figura 1-1 Historial de desarrollo de las políticas de seguridad del firewall de Huawei.


092919tbsx5sazatvsfn54.png

El historial de desarrollo muestra las siguientes características:

·         Las condiciones de juego son más refinadas. Se desarrollan desde la dirección IP y la identificación de paquetes basada en puerto por los firewalls tradicionales a la identificación de paquetes basada en el usuario, la aplicación y el contenido mediante los firewalls de próxima generación (NGFWs). Se ha mejorado la capacidad de identificación de paquetes.

 

·         más acciones están disponibles. Al principio, los paquetes eran simplemente permitidos o rechazados. Ahora, los Firewall pueden realizar varias comprobaciones de seguridad de contenido en paquetes.

 

 

·         la configuración es más conveniente Para configurar las políticas de seguridad en los Firewall tradicionales, debe ser experto en la configuración de ACL. La configuración de la política de seguridad unificada en NGFW es más simple, conveniente y fácil de entender.

 

 

Vamos a describir las tres fases de desarrollo una por una.

Fase 1: Filtrado de paquetes basado en ACL

El filtrado de paquetes basado en ACL es la implementación en los firewalls iniciales de Huawei. Solo las versiones anteriores (como V200R001 para la serie Eudemon8000E-X) admiten este modo.

En esta fase, las ACL están configuradas para controlar paquetes. Cada ACL contiene varias reglas, y cada regla tiene la condición y la acción definidas. Las ACL se deben configurar de antemano y hacer referencia entre zonas.

Cuando se reenvía un paquete entre zonas de seguridad, un firewall busca reglas en las ACL de arriba a abajo. Si el paquete coincide con una regla, el firewall realiza la acción definida en la regla y detiene la búsqueda de la regla. Si el paquete no coincide con la regla, el firewall continúa buscando la siguiente regla. Si el paquete no coincide con ninguna regla, el firewall realiza la acción definida en el filtrado de paquetes predeterminado.

Como se muestra en la Figura 1-2, la relación entre zona Trust-Untrust se utiliza como ejemplo para explicar la lógica de configuración del filtrado de paquetes basado en ACL.

 

Figura 1-2 Lógica de configuración del filtrado de paquetes basado en ACL.


092932h3jq2us2wuc3uu2c.png


Para configurar el filtrado de paquetes basado en ACL, primero debe configurar una ACL y luego hacer referencia a la ACL entre las zonas. Por ejemplo, para denegar los paquetes de 192.168.0.100 en la zona Trust a la zona Untrust y permitir los paquetes desde 192.168.0.0/24 a 172.16.0.0/24, configure la siguiente ACL:

[FW] acl 3000

[FW-acl-adv-3000] rule deny ip source 192.168.0.100 0

[FW-acl-adv-3000] rule permit ip source 192.168.0.0 0.0.0.255 destination 172.16.0.0 0.0.0.255

[FW-acl-adv-3000] quit

[FW] firewall interzone trust untrust

[FW-interzone-trust-untrust] packet-filter 3000 outbound

 

Fase 2: Política de seguridad integrada UTM

Con el lanzamiento de los productos UTM, las políticas de seguridad del firewall de Huawei dan un paso adelante y se convierten en "políticas" reales. A diferencia del filtrado de paquetes basado en ACL, las políticas de seguridad integradas en UTM tienen condiciones y acciones definidas sin la ayuda de las ACL. Además, si la acción es un permiso, las políticas UTM, como las políticas antivirus e IPS, pueden ser referenciadas para una inspección de paquetes adicional.

V300R001 para la serie Eudemon1000E-X usa políticas de seguridad integradas UTM. V300R001 para la serie Eudemon8000E-X también es compatible con este tipo de política de seguridad, pero solo se pueden establecer condiciones y acciones, y no se puede hacer referencia a las políticas UTM.

Como se muestra en la Figura 1-3, una política de seguridad integrada en UTM consiste en la condición, la acción y la política UTM. Tenga en cuenta que el concepto de "conjunto de servicios" surge en condiciones de política de seguridad como un sustituto del protocolo y el puerto. Algunos conjuntos de servicios que incluyen protocolos comunes se han predefinido en las políticas de seguridad. Estos conjuntos de servicios se pueden establecer directamente como condiciones. Para otros protocolos o puertos, podemos definir nuevos conjuntos de servicios y hacer referencia a ellos en políticas de seguridad.


Figura 1-3 Composición de una política de seguridad integrada en UTM


092954ot2vhijisai6t2mp.png

Las políticas de seguridad integradas de UTM están en secuencia. Cuando un firewall reenvía paquetes entre zonas de seguridad, busca políticas de seguridad entre zonas de arriba a abajo. Si un paquete coincide con una política de seguridad específica, el firewall realiza la acción definida en la política y deja de buscar políticas de seguridad posteriores. Si el paquete no coincide con la política, el firewall continúa buscando políticas posteriores. Si el paquete no coincide con ninguna política, el firewall realiza la acción definida en el filtrado de paquetes predeterminado.

Como se muestra en la Figura 1-4, la relación interzona Trust-Untrust se usa como un ejemplo para explicar la lógica de configuración de las políticas de seguridad integradas en UTM.

Figura 1-4 Lógica de configuración de las políticas de seguridad integradas en UTM


093012kioi4o87oj4ng9g3.png


Para configurar una política de seguridad integrada en UTM, puede establecer directamente la condición y la acción. Si se requiere la inspección de UTM en los paquetes, establezca una política de UTM y haga referencia a la política de UTM en la política de seguridad con la acción que se permita. Por ejemplo, para denegar los paquetes de 192.168.0.100 en la zona Trust a la zona Untrust y permitir los paquetes desde 192.168.0.0/24 a 172.16.0.0/24, configure la siguiente política de seguridad:

[FW] policy interzone trust untrust outbound

[FW-policy-interzone-trust-untrust-outbound] policy 1

[FW-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.100 0

[FW-policy-interzone-trust-untrust-outbound-1] action deny

[FW-policy-interzone-trust-untrust-outbound-1] quit

[FW-policy-interzone-trust-untrust-outbound] policy 2

[FW-policy-interzone-trust-untrust-outbound-2] policy source 192.168.0.0 0.0.0.255

[FW-policy-interzone-trust-untrust-outbound-2] policy destination 172.16.0.0 0.0.0.255

[FW-policy-interzone-trust-untrust-outbound-2] action permit

 

 

 

Fase 3: Política de seguridad unificada

A medida que las redes se desarrollan rápidamente y las aplicaciones florecen, el uso del protocolo y los modos de transmisión de datos han cambiado, y surgen constantemente errores de redes, redes de bots y otras aplicaciones basadas en aplicaciones. Los firewalls tradicionales son incapaces de prevenir amenazas de gusanos y botnets de red, ya que identifican aplicaciones basadas en puertos y protocolos y detectan y defienden contra ataques basados en firmas de la capa de transporte. El nuevo requisito de seguridad impulsa la aparición del firewall de próxima generación. Los firewalls de Huawei siguen el ritmo de los tiempos y sus políticas de seguridad se desarrollan en la fase de política de seguridad "unificada". Actualmente, la serie V100R001 para Eudemon200E-N / 1000E-N admite políticas de seguridad unificadas.

La unificación se refiere principalmente a:

·         Configuración unificada: se puede hacer referencia a los perfiles de seguridad en las políticas de seguridad para implementar funciones de seguridad, como antivirus, prevención de intrusiones, filtrado de URL y filtrado de correo, lo que reduce la complejidad de la configuración.

 

·         Procesamiento de servicio unificado: se realizan múltiples servicios en paquetes cuando se usan políticas de seguridad para verificar los paquetes, lo que mejora en gran medida el rendimiento del sistema.

 

Como se muestra en la Figura 1-5, las políticas de seguridad unificadas están configuradas para identificar entornos de servicio reales basados en aplicaciones, contenido, tiempo, usuarios, ataques y ubicaciones, además de la información quíntuple tradicional, implementando un control de acceso preciso e inspección de seguridad.


Figura 1-5 Dimensiones de identificación para políticas de seguridad unificadas


093040vckg3jftkttz4tjc.png


Una política de seguridad unificada consiste en la condición, la acción y el perfil, como se muestra en la Figura 1-6.

El perfil se usa para la inspección de seguridad de contenido en paquetes y solo se puede hacer referencia cuando la acción en la política es permitida.


Figura 1-6 Composición de una política de seguridad unificada 

 

 093111gy888t228ajuf0g0.png


 

En comparación con las políticas de seguridad en las dos primeras fases, las políticas de seguridad unificadas tienen las siguientes características:

·         Las políticas de seguridad unificadas se basan en el alcance global, ya no se basan en la interzona. Las zonas de seguridad son opcionales y se pueden configurar varias zonas de seguridad al mismo tiempo. Una implementación especial en la serie Huawei Eudemon200E-N / 1000E-N es que los paquetes no pueden viajar entre zonas de seguridad de manera predeterminada. Para permitir el viaje, debe configurar una política de seguridad intrazona.

 

·         La acción predeterminada para las políticas de seguridad reemplaza el filtrado de paquetes predeterminado, y la acción se aplica globalmente.

Si se configuran múltiples políticas de seguridad unificadas en un Firewall, el servidor de seguridad busca las políticas de arriba a abajo cuando reenvía paquetes. Como se muestra en la Figura 1-7, si un paquete coincide con una política de seguridad específica, el firewall realiza la acción definida en la política y deja de buscar políticas de seguridad posteriores. Si el paquete no coincide con la política, el firewall continúa buscando políticas posteriores. Si el paquete no coincide con ninguna política, el firewall realiza la acción predeterminada para las políticas de seguridad. La función de la acción predeterminada es la misma que la del filtrado de paquetes predeterminado. La diferencia es que la acción predeterminada se establece en una política de seguridad.

Figura 1-7 Lógica de configuración de políticas de seguridad unificadas

 

 093056cwdeq1n3h6d1ncn1.png

 

 

Por ejemplo, para denegar los paquetes de 192.168.0.100 en la zona Trust a la zona Untrust y permitir los paquetes desde 192.168.0.0/24 a 172.16.0.0/24, configure las siguientes políticas de seguridad unificadas:

[FW] security-policy

[FW-policy-security] rule name policy1

[FW-policy-security-rule-policy1] source-zone trust

[FW-policy-security-rule-policy1] destination-zone untrust

[FW-policy-security-rule-policy1] source-address 192.168.0.100 32

[FW-policy-security-rule-policy1] action deny

[FW-policy-security-rule-policy1] quit

[FW-policy-security] rule name policy2

[FW-policy-security-rule-policy2] source-zone trust

[FW-policy-security-rule-policy2] destination-zone untrust

[FW-policy-security-rule-policy2] source-address 192.168.0.0 24

[FW-policy-security-rule-policy2] destination-address 172.16.0.0 24

[FW-policy-security-rule-policy2] action permit

 

 

Después de la introducción anterior, creo que ha comprendido el historial de desarrollo de las políticas de seguridad del firewall de Huawei. Las políticas de seguridad que se mencionan en las siguientes partes están configuradas como políticas de seguridad integradas en UTM, que son populares en la actualidad, pero solo brindamos condiciones y acciones y no involucramos políticas de UTM.



  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje