1 politique de sécurité
Dans les réseaux réels, des politiques de sécurité inappropriées entraînent souvent des interruptions de service. La commande display firewall statistic system discard peut être utilisée pour afficher des statistiques sur les paquets rejetés par les pare-feu. En analysant la sortie de la commande, nous pouvons déterminer si les paquets sont ignorés en raison de politiques de sécurité. Par exemple:
[FW] display firewall statistic system discard
Packets discarded statistic
Total packets discarded: 10
ACL deny packets discarded: 5
Default deny packets discarded: 5
Dans la sortie de la commande, la valeur "ACL refuser les paquets rejetés" indique le nombre de paquets rejetés en raison de politiques de sécurité. la valeur "Refuser par défaut les paquets rejetés" indique le nombre de paquets rejetés en raison du filtrage de paquets par défaut. Si les statistiques sur les paquets rejetés contiennent les informations précédentes, les stratégies de sécurité sont inexactes et doivent être dépannées.Commencez par vérifier les conditions de correspondance dans les stratégies de sécurité. Si les conditions de correspondance sont incorrectes, les paquets ne peuvent pas correspondre aux politiques de sécurité et, par conséquent, les pare-feu ne peuvent pas effectuer les actions prédéfinies sur les paquets. Une fois la stratégie de sécurité configurée sur un pare-feu, si celui-ci ne traite pas les paquets de la manière attendue, vous devez vérifier la configuration de la stratégie de sécurité.
[FW] display policy interzone trust untrust outbound
policy interzone trust untrust outbound
firewall default packet-filter is deny
policy 1 (0 times matched)
action permit
policy service service-set http (predefined)
policy source 192.168.0.1 0
policy destination 172.16.0.1 0
Dans la sortie de commande précédente, 0 paquet correspondait à la stratégie 1. Si l'interface correspondante a été ajoutée à la zone de sécurité correcte, nous devons vérifier si les conditions de la stratégie sont correctes.Deuxièmement, si plusieurs politiques de sécurité sont configurées dans un interzone, faites attention à leur séquence correspondante. Dans l'exemple suivant, deux stratégies de sécurité sont configurées dans l'interzone Trust-Untrust.
[FW] policy interzone trust untrust outbound
[FW-policy-interzone-trust-untrust-outbound] policy 1
[FW-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.0 0.0.0.255
[FW-policy-interzone-trust-untrust-outbound-1] policy destination 172.16.0.0 0.0.0.255
[FW-policy-interzone-trust-untrust-outbound-1] action permit
[FW-policy-interzone-trust-untrust-outbound-1] quit
[FW-policy-interzone-trust-untrust-outbound] policy 2
[FW-policy-interzone-trust-untrust-outbound-2] policy source 192.168.0.100 0
[FW-policy-interzone-trust-untrust-outbound-2] action deny
[FW-policy-interzone-trust-untrust-outbound-2] quit
Comme l'étendue de l'adresse source dans la politique 1 couvre celle de la politique 2, les paquets de 192.168.0.100 correspondent toujours à la politique 1 et passent à travers le pare-feu. L'action deny définie dans la politique 2 pour les paquets de 192.168.0.100 ne sera jamais prise.
Pour résoudre ce problème, nous pouvons exécuter la commande suivante pour déplacer la stratégie 2 avant la stratégie 1.
[FW-policy-interzone-trust-untrust-outbound] policy move 2 before 1
Ensuite, les paquets de 192.168.0.100 correspondent d’abord à la stratégie 2 et sont refusés par le pare-feu.
#
policy interzone trust untrust outbound
policy 2
action deny
policy source 192.168.0.100 0
policy 1
action permit
policy source 192.168.0.0 0.0.0.255
policy destination 172.16.0.0 0.0.0.255
#
Il est difficile de spécifier des conditions de correspondance précises pour les stratégies de sécurité. Les conditions de correspondance étendues comportent des risques de sécurité, tandis que les conditions de correspondance strictes peuvent empêcher certains paquets de correspondre aux stratégies, ce qui affecte les services. Ici, je souhaite vous présenter une feuille de route de configuration générale: d’abord, définissez l’action dans le filtrage de paquets par défaut sur "permission" pour mettre en service des services, assurant ainsi le fonctionnement normal du service. Ensuite, affichez la table de session et configurez les politiques de sécurité avec les informations enregistrées dans la table de session correspondant aux conditions. Enfin, restaurez la configuration de filtrage de paquets par défaut sur les services de commission, en vérifiant l'effet de la politique de sécurité.Lorsque l'action dans le filtrage de paquets par défaut est permit, le pare-feu laisse passer tous les paquets, exposant ainsi le pare-feu à des risques. Par conséquent, il est recommandé d'utiliser ce paramètre uniquement pour la mise en service. Après la mise en service, vous devez restaurer la configuration de filtrage de paquets par défaut. C'est-à-dire, définissez l'action pour deny.
Regardons deux exemples. La figure 1-1 illustre la mise en réseau du premier exemple. Un PC et un serveur Web se connectent directement à un pare-feu. Le PC réside dans la zone de confiance, tandis que le serveur Web réside dans la zone non approuvée. Le PC doit accéder au serveur Web.
Figure 1-1 Mise en réseau d'un PC pour accéder à un serveur Web
Au début, nous ne connaissons pas la condition d’adéquation exacte. Par conséquent, définissez l'action de manière à autoriser le filtrage de paquets par défaut dans l'interzone Trust-Untrust et entrez y lorsque le message suivant s'affiche.
[FW] firewall packet-filter default permit interzone trust untrust direction outbound
Warning: Setting the default packet filtering to permit poses security risks. You are advised to configure the security policy based on the actual data flows. Are you sure you want to continue?[Y/N] y
À ce stade, le pare-feu permet à tous les paquets de passer de la zone de confiance à la zone de confiance. Utilisez le PC pour accéder au serveur Web. Une fois l'accès réussi, affichez la table de session sur le pare-feu.
[FW] display firewall session table verbose
Current Total Sessions : 1
http VPN:public --> public
Zone: trust--> untrust TTL: 00:00:10 Left: 00:00:07
Interface: GigabitEthernet0/0/1 NextHop: 172.16.0.1 MAC: 54-89-98-c0-15-c5
<--packets:4 bytes:465 -->packets:7 bytes:455
192.168.0.1:2052-->172.16.0.1:80
Une session a été générée pour la connexion du PC au serveur Web. Ensuite, configurez la stratégie de sécurité suivante:
[FW] policy interzone trust untrust outbound
[FW-policy-interzone-trust-untrust-outbound] policy 1
[FW-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.1 0
[FW-policy-interzone-trust-untrust-outbound-1] policy destination 172.16.0.1 0
[FW-policy-interzone-trust-untrust-outbound-1] policy service service-set http
[FW-policy-interzone-trust-untrust-outbound-1] action permit
[FW-policy-interzone-trust-untrust-outbound-1] quit
Enfin, définissez l'action sur Refuser pour le filtrage de paquets par défaut. La configuration de la politique de sécurité est terminée.[FW] firewall packet-filter default deny interzone trust untrust direction outbound
La figure 1-2 illustre la mise en réseau du deuxième exemple. Un PC résidant dans la zone de confiance se connecte directement à un pare-feu. Un administrateur doit se connecter au pare-feu via Telnet à partir du PC.
Figure 1-2 Mise en réseau d'un administrateur pour qu'il se connecte à un pare-feu via Telnet à partir d'un PC
Commencez par configurer le filtrage de paquets par défaut dans l'interzone Trust-Local et définissez l'action sur Permettre. Lorsque le message suivant est affiché, entrez y.
[FW] firewall packet-filter default permit interzone trust local direction inbound
Warning: Setting the default packet filtering to permit poses security risks. You
are advised to configure the security policy based on the actual data flows. Are
you sure you want to continue?[Y/N] y
Utilise****lnet pour vous connecter au pare-feu à partir du PC. Une fois la connexion établie, affichez la table de session sur le pare-feu.
[FW] display firewall session table verbose
Current Total Sessions : 1
telnet VPN:public --> public
Zone: trust--> local TTL: 00:10:00 Left: 00:09:55
Interface: InLoopBack0 NextHop: 127.0.0.1 MAC: 00-00-00-00-00-00
<--packets:6 bytes:325 -->packets:8 bytes:415
192.168.0.1:2053-->192.168.0.2:23
Ensuite, configurez la stratégie de sécurité suivante en fonction de la session précédente:
[FW] policy interzone local trust inbound
[FW-policy-interzone-local-trust-inbound] policy 1
[FW-policy-interzone-local-trust-inbound-1] policy source 192.168.0.1 0
[FW-policy-interzone-local-trust-inbound-1] policy destination 192.168.0.2 0
[FW-policy-interzone-local-trust-inbound-1] policy service service-set telnet
[FW-policy-interzone-local-trust-inbound-1] action permit
Enfin, définissez l'action sur Refuser pour le filtrage de paquets par défaut. La configuration de la politique de sécurité est terminée.[FW] firewall packet-filter default deny interzone trust local direction inbound
J'espère que ces deux exemples vous aideront à comprendre la feuille de route de configuration, de sorte que vous puissiez configurer des conditions de correspondance précises dans des réseaux réels.
2 ASPF
ASPF détermine si les pare-feu peuvent transférer correctement les paquets de protocoles spéciaux. Lorsque FTP est utilisé sur un réseau, vérifiez si ASPF est activé. Les pare-feu des séries USG2000 / 5000 sont utilisés à titre d'exemple. Le tableau 1-1 répertorie les protocoles pour lesquels ASPF peut être activé. Pour connaître les conditions de support des autres modèles de pare-feu, voir la documentation produit d'un modèle de pare-feu spécifique.
Tableau 1-1 Protocoles pour lesquels ASPF peut être activé sur l'USG2000 / 5000
Exécutez la commande display interzone pour vérifier si ASPF a été activé dans un interzone. Par exemple:
[FW] display interzone
interzone trust untrust
detect ftp
#
Le résultat de la commande indique qu'ASPF a été activé pour FTP dans l'interzone Trust-Untrust. Exécutez la commande display zone pour vérifier si ASPF a été activé dans une zone. Par exemple:
[FW] display zone
local
priority is 100
#
trust
priority is 85
detect qq
interface of the zone is (1):
GigabitEthernet0/0/1
#
untrust
priority is 5
interface of the zone is (0):
#
dmz
priority is 50
interface of the zone is (0):
#
Le résultat de la commande indique que ASPF a été activé pour QQ dans la zone de confiance.Si ASPF pour un protocole défini par l'utilisateur ne prend pas effet, exécutez la commande display firewall server-map pour vérifier si l'entrée correspondante de la carte du serveur a été générée. Par exemple:
[FW] display firewall server-map
server-map item(s)
------------------------------------------------------------------------------
Type: STUN, ANY -> 192.168.0.1:55199, Zone:---
Protocol: udp(Appro: stun-derived), Left-Time:00:04:52, Pool: ---,
Vpn: public -> public
Le résultat de la commande indique que l’entrée mappe-serveur a été générée. Si l'entrée de mappe de serveur n'existe pas, vérifiez si les règles ACL sont correctement configurées et si les paquets peuvent correspondre aux règles ACL. Si la liste de contrôle d'accès est incorrecte, reconfigurez-la.
Questions du Dr. WoW:
1. Un administrateur configure les stratégies de sécurité suivantes en séquence dans l'interzone Trust-Untrust. Quel est le problème dans la configuration?
l Stratégie 1: refuser les paquets destinés au 172.16.0.0/24.
l Politique 2: Tous les paquets destinés à 172.16.0.100.
2. Quelles dimensions des conditions de correspondance sont disponibles pour les stratégies de sécurité unifiées sur les serveurs NGFW?
3. Dans le réseau où un client FTP accède à un serveur FTP, ASPF doit-il être activé si le client FTP fonctionne en mode passif (PASV)?
4. Dans l’hypothèse où OSPF s’exécute sur un pare-feu et que le type de réseau OSPF est Diffusé, renseignez le script de configuration ci-dessous afin de configurer des stratégies de sécurité précises dans l’interzone Untrust-Local (l’interface OSPF du pare-feu est activée). la zone non confiance).
#
policy interzone local untrust _____________
policy 1
action permit
policy service service-set _____________
#
policy interzone local untrust _____________
policy 1
action permit
policy service service-set _____________
#
Pour afficher la liste de tous les postes techniques de Dr. WoW, cliquez ici.
