[No.8] Primera experiencia de políticas de seguridad

78 0 0 0

Como mencioné muchas veces en el capítulo anterior, las "reglas" son en realidad "inspectores de control de seguridad" para el control de seguridad y desempeñan un papel importante cuando los firewalls envían paquetes. Los paquetes pueden viajar entre zonas de seguridad solo cuando la acción en las reglas es "permitir". Si la acción es "denegar", los paquetes se descartarán.

En los firewalls, las reglas se expresan como "políticas de seguridad". Explicaré las políticas de seguridad en detalle en este capítulo.

1 conceptos básicos

Primero, comencemos desde un entorno de red simple. Como se muestra en la Figura 1-1, una PC y un servidor web están en redes diferentes, y ambas se conectan a un firewall. La PC está en la zona Trust, mientras que el servidor web está en la zona Untrust.

Figura 1-1 Conexión en red de una PC para acceder a un servidor web


061147wp01ie8z87e7b6ao.png?image.png


Si queremos que el firewall permita que la PC acceda al servidor web, el requisito se puede describir de la siguiente manera: Permitir que los paquetes pasen de la dirección de origen 192.168.0.1 en la zona Trust a la dirección de destino 172.16.0.1 y al puerto de destino 80 (puerto HTTP ) en la zona Untrust.

Si expresamos el requisito en una política de seguridad y complementamos la información del puerto de origen implícito, el resultado se muestra en la Figura 1-2.

Figura 1-2 Política de seguridad de una PC para acceder a un servidor web


061202s92v2avjbmmkspap.png?image.png


Podemos ver que las políticas de seguridad se basan en relaciones entre zonas. Una política de seguridad consta de las siguientes partes:

Condición

Indica la referencia en función de la cual el firewall comprueba los paquetes. El firewall compara la información transportada en un paquete con la condición de revisar una por una para verificar si el paquete coincide.

Acción

Indica la acción a realizar en paquetes coincidentes. Una política tiene una sola acción, ya sea permitir o denegar.

Tenga en cuenta que la condición tiene varios campos, como la dirección de origen, la dirección de destino, el puerto de origen y el puerto de destino. Estos campos están en la relación "Y". Es decir, un paquete coincide con una política solo cuando la información en el paquete coincide con todos los campos de la política. Si un campo tiene varios elementos coincidentes (como dos direcciones de origen o tres direcciones de destino), los elementos coincidentes están en la relación "O". Es decir, un paquete coincide con la condición solo cuando coincide con un elemento.

Después de configurar la política de seguridad en el firewall, la PC puede acceder al servidor web. Los paquetes que el servidor web responde a las sesiones de coincidencia de la PC y, por lo tanto, no se requiere una política de seguridad adicional. Este mecanismo ha sido descrito en la sección 1.5.

En los entornos de red reales, es frecuente que dos segmentos de red (como 192.168.0.0/24 y 172.16.0.0/24) necesiten comunicarse, no solo dos destinos específicos (PC y servidor web). En este caso, establecemos la condición de una política de seguridad en un segmento de red. Por ejemplo, permita que los paquetes pasen del segmento de red de origen 192.168.0.0/24 en la zona Trust al segmento de red de destino 172.16.0.0/24 en la zona Untrust. Si hay un nuevo requisito de que los paquetes de 192.168.0.100 en el segmento de la red de origen no tienen permiso para acceder al segmento de la red de destino, ¿cómo podemos cumplir el requisito?

Podemos configurar otra política de seguridad para rechazar los paquetes de la dirección de origen 192.168.0.100 en la zona Trust a la zona Untrust. Aquí puede tener la pregunta de que las condiciones de ambas políticas de seguridad contienen la dirección de origen 192.168.0.100. Para ser específicos, los paquetes de 192.168.0.100 coinciden con ambas políticas de seguridad, pero las acciones definidas en las políticas son conflictivas. ¿Qué acción realiza el firewall?

Veamos la secuencia coincidente de las políticas de seguridad.

2 secuencias coincidentes

Las políticas de seguridad están en secuencia. Cuando un Firewall reenvía paquetes entre zonas de seguridad, busca políticas de seguridad entre zonas de arriba a abajo. Si un paquete coincide con una política de seguridad específica, el firewall realiza la acción definida en la política y deja de buscar políticas de seguridad posteriores. Si el paquete no coincide con la política, el firewall continúa buscando políticas posteriores.

 Debido a la secuencia coincidente, debemos cumplir con el principio "primero refinado, segundo áspero" al configurar las políticas de seguridad. Para ser específicos, primero debemos configurar las políticas de seguridad con ámbitos de coincidencia estrechos y condiciones precisas, y luego con políticas de gran alcance y condiciones amplias. La configuración de las políticas de seguridad es similar a la de las reglas de ACL.

 La situación anterior se utiliza como ejemplo. Como se muestra en la Figura 1-3, configuramos la primera política de seguridad para rechazar los paquetes de 192.168.0.100 en la zona Trust a la zona Untrust y la segunda política de seguridad para permitir que los paquetes pasen del segmento de red 192.168.0.0/24 en la zona segura al segmento de red 172.16.0.0/24 en la zona Untrust.

Figura 1-3 Secuencia coincidente de políticas de seguridad


061253fxv6munvkrrmurf7.png?image.png



Cuando el firewall busca políticas de seguridad, los paquetes de 192.168.0.100 inicialmente coinciden con la primera política y, por lo tanto, se rechazan. Otros paquetes del segmento de red 192.168.0.0/24 coinciden con la segunda política y se reenvían. Si ajustamos la secuencia de las dos políticas de seguridad, los paquetes de 192.168.0.100 nunca coincidirán con la política con la acción que se deniega.

Es posible que tenga otra pregunta: ¿Cómo procesa los paquetes el firewall si ninguna de las políticas de seguridad coincide? Para tal situación, los firewalls proporcionan la función de "filtrado de paquetes predeterminado".

3 filtrado de paquetes predeterminado

El filtrado de paquetes predeterminado es esencialmente un tipo de política de seguridad, que también se denomina política de seguridad predeterminada. El filtrado de paquetes predeterminado no tiene condiciones específicas, y su acción puede ser permitir o denegar. Tiene efecto en todos los paquetes. Tenga en cuenta que el filtrado de paquetes predeterminado no tiene nada que ver con los del firewall de filtrado de paquetes de primera generación.

El filtrado de paquetes predeterminado tiene la condición más amplia para que todos los paquetes puedan coincidir. Por lo tanto, el filtrado de paquetes predeterminado sirve como medio de procesamiento de paquetes final. Como se muestra en la Figura 1-4, si un paquete no coincide con ninguna política de seguridad, finalmente coincide con el filtrado de paquetes predeterminado y el firewall realiza la acción definida en el filtrado de paquetes predeterminado.

Figura 1-4 Políticas de seguridad y filtrado de paquetes predeterminado



061309r2c824t288fvtfcx.png?image.png


La acción predeterminada en el filtrado de paquetes predeterminado es denegar. Es decir, el firewall no permite que los paquetes que no coincidan con ninguna política de seguridad viajen entre zonas de seguridad. Para simplificar la configuración, podemos configurar la acción para permitir el filtrado de paquetes predeterminado entre zonas de seguridad. Sin embargo, esta operación trae enormes riesgos de seguridad. Permitir que todos los paquetes pasen a través de los medios del firewall no logra el aislamiento de la red ni el control de acceso, lo que hace que el firewall no tenga sentido. Por lo tanto, no se prefiere configurar la acción en el filtrado de paquetes predeterminado para permitir. En su lugar, establezca políticas de seguridad con condiciones precisas para controlar el reenvío de paquetes.

Las políticas de seguridad anteriores están sujetas a paquetes que viajan entre zonas de seguridad. ¿Pueden los firewalls de Huawei controlar paquetes dentro de una zona de seguridad? Por supuesto que sí. De forma predeterminada, los paquetes dentro de una zona de seguridad no están controlados por políticas de seguridad y se reenvían libremente. Los firewalls de Huawei soportan políticas de seguridad intrazona. Podemos configurar políticas de seguridad para restringir el paso de paquetes específicos para cumplir con los requisitos en escenarios especiales.

Preste atención a este punto: cuando las interfaces de un firewall funcionan en modo de capa 2 (transparente), los paquetes que pasan por el firewall están controlados por políticas de seguridad. En este caso, las políticas de seguridad deben configurarse para controlar los paquetes.

Además de los paquetes reenviados por un servidor de seguridad, los paquetes que el servidor de seguridad intercambia con otros dispositivos están controlados por políticas de seguridad, como los paquetes que se generan cuando un administrador inicia sesión en el servidor de seguridad o el servidor de seguridad establece una VPN con otro dispositivo. Las condiciones en tales políticas de seguridad difieren mucho, y las presentaremos en la sección "ASPF".

A través de la introducción anterior, creo que ha tenido un entendimiento preliminar sobre las políticas de seguridad. Como nada es inmutable, las políticas de seguridad establecidas en los firewalls de Huawei siguen el ritmo de los tiempos y se desarrollan constantemente. En la siguiente sección, le informaremos el historial de desarrollo de las políticas de seguridad del firewall de Huawei.


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba