[Dr.WoW] [No.8] Première expérience des politiques de sécurité

31 0 0 0


Comme je l'ai mentionné à plusieurs reprises dans le chapitre précédent, les "règles" sont en réalité des "inspecteurs de contrôle de sécurité" pour le contrôle de sécurité et jouent un rôle important lorsque les pare-feu transmettent des paquets. Les paquets peuvent voyager entre les zones de sécurité uniquement lorsque l'action dans les règles est "permit". Si l'action est "refuser", les paquets seront ignorés.

Sur les pare-feu, les règles sont exprimées sous la forme de "politiques de sécurité". Je vais expliquer les politiques de sécurité en détail dans ce chapitre.

1 Concepts de base
Commençons par un environnement réseau simple. Comme le montre la figure 1-1, un ordinateur et un serveur Web se trouvent sur des réseaux différents et les deux se connectent à un pare-feu. Le PC se trouve dans la zone de confiance, tandis que le serveur Web se trouve dans la zone d’approbation.

Figure 1-1 Mise en réseau d'un PC pour accéder à un serveur Web


553ef328119e7.png

 

Si nous voulons que le pare-feu permette au PC d’accéder au serveur Web, la condition requise peut être décrite comme suit: Autoriser les paquets à passer de l’adresse source 192.168.0.1 dans la zone de confiance à l’adresse de destination 172.16.0.1 et au port de destination 80 (port HTTP). ) dans la zone de confiance.

Si nous exprimons l'exigence dans une politique de sécurité et complétons les informations implicites sur le port source, le résultat est présenté à la figure 1-2.

Figure 1-2 Stratégie de sécurité pour un PC d'accéder à un serveur Web


553ef336d54e7.png

 

Nous pouvons voir que les politiques de sécurité sont basées sur les relations entre zones. Une politique de sécurité comprend les éléments suivants:

  • État
Indique la référence sur laquelle le pare-feu vérifie les paquets. Le pare-feu compare les informations contenues dans un paquet à la condition une par une pour vérifier si le paquet est apparié.

  • action
Indique l'action à prendre sur les paquets correspondants. Une stratégie ne comporte qu'une action, autoriser ou refuser.

Notez que la condition comporte plusieurs champs, tels que l'adresse source, l'adresse de destination, le port source et le port de destination. Ces champs sont dans la relation "ET". C'est-à-dire qu'un paquet ne correspond à une politique que lorsque les informations qu'il contient correspondent à tous les champs de la politique. Si un champ contient plusieurs éléments correspondants (tels que deux adresses source ou trois adresses de destination), les éléments correspondants se trouvent dans la relation "OU". C'est-à-dire qu'un paquet ne correspond à la condition que s'il correspond à un élément.

Une fois la stratégie de sécurité configurée sur le pare-feu, le PC peut accéder au serveur Web. Les paquets que le serveur Web répond aux sessions du PC correspondent aux sessions. Aucune stratégie de sécurité supplémentaire n'est donc requise. Ce mécanisme a été décrit à la section 1.5.

Dans les environnements de réseau réels, il est souvent nécessaire que deux segments de réseau (tels que 192.168.0.0/24 et 172.16.0.0/24) doivent communiquer, et pas seulement deux cibles spécifiques (PC et serveur Web). Dans ce cas, nous définissons la condition d'une stratégie de sécurité sur un segment de réseau. Par exemple, autorisez les paquets à passer du segment de réseau source 192.168.0.0/24 de la zone de confiance au segment de réseau de destination 172.16.0.0/24 de la zone non approuvée. S'il existe une nouvelle exigence selon laquelle les paquets de 192.168.0.100 du segment de réseau source ne sont pas autorisés à accéder au segment de réseau de destination, comment pouvons-nous remplir cette exigence?

Nous pouvons configurer une autre politique de sécurité pour rejeter les paquets de l'adresse source 192.168.0.100 dans la zone de confiance de la zone d'approbation. Ici, vous pouvez vous demander si les conditions des deux stratégies de sécurité contiennent l'adresse source 192.168.0.100. Pour être précis, les paquets de 192.168.0.100 correspondent aux deux politiques de sécurité, mais les actions définies dans les politiques sont en conflit. Quelle action le pare-feu prend-il?

Regardons la séquence correspondante des politiques de sécurité.

2 Séquence correspondante
Les stratégies de sécurité sont en séquence. Lorsqu'un pare-feu transfère les paquets entre les zones de sécurité, il recherche les stratégies de sécurité interzone de haut en bas. Si un paquet correspond à une stratégie de sécurité spécifique, le pare-feu effectue l'action définie dans la stratégie et arrête la recherche des stratégies de sécurité suivantes. Si le paquet ne correspond pas à la stratégie, le pare-feu continue à rechercher les stratégies suivantes.
En raison de la séquence de mise en correspondance, nous devons respecter le principe "raffiné en premier, approximatif en second lieu" lors de la configuration des stratégies de sécurité. Pour être spécifique, nous devons d’abord configurer les stratégies de sécurité avec des étendues de correspondance étroites et des conditions précises, puis des stratégies avec des étendues de correspondance étendues et des conditions étendues. La configuration des stratégies de sécurité est similaire à celle des règles ACL.
La situation précédente est utilisée à titre d'exemple. Comme illustré à la figure 1-3, nous configurons la première stratégie de sécurité pour refuser les paquets de 192.168.0.100 de la zone de confiance à la zone de confiance et la seconde stratégie de sécurité pour permettre aux paquets de passer du segment de réseau 192.168.0.0/24 dans la zone de confiance. Zone de confiance au segment de réseau 172.16.0.0/24 dans la zone non approuvée.

Figure 1-3 Séquence de correspondance des stratégies de sécurité

553ef343ad81c.png

Lorsque le pare-feu recherche les stratégies de sécurité, les paquets de 192.168.0.100 correspondent initialement à la première stratégie et sont donc refusés. Les autres paquets du segment de réseau 192.168.0.0/24 correspondent à la deuxième stratégie et sont transférés. Si nous ajustons la séquence des deux politiques de sécurité, les paquets de 192.168.0.100 ne correspondront jamais à la politique avec l’action en cours de refus.

Vous avez peut-être une autre question: comment le pare-feu traite-t-il les paquets si aucune stratégie de sécurité ne correspond? Dans une telle situation, les pare-feu fournissent la fonction "filtrage de paquets par défaut".

3 Filtrage de paquets par défaut
Le filtrage de paquets par défaut est essentiellement un type de politique de sécurité, également appelé politique de sécurité par défaut. Le filtrage de paquets par défaut ne comporte pas de conditions spécifiques et son action peut être autorisée ou refusée. Il prend effet sur tous les paquets. Notez que le filtrage de paquets par défaut n'a rien à voir avec les pare-feu de filtrage de paquets de première génération.

Le filtrage de paquets par défaut a la condition la plus large afin que tous les paquets puissent y correspondre. Par conséquent, le filtrage de paquets par défaut sert de moyen de traitement de paquets final. Comme le montre la figure 1-4, si un paquet ne correspond à aucune politique de sécurité, il fait enfin correspondre le filtrage de paquets par défaut et le pare-feu effectue l'action définie dans le filtrage de paquets par défaut.

Figure 1-4 Stratégies de sécurité et filtrage de paquets par défaut


553ef34e747d6.png


L'action par défaut dans le filtrage de paquets par défaut est deny. En d'autres termes, le pare-feu n'autorise pas les paquets ne correspondant à aucune stratégie de sécurité à se déplacer entre les zones de sécurité. Pour simplifier la configuration, nous pouvons définir l'action de manière à permettre le filtrage de paquets par défaut entre les zones de sécurité. Cependant, cette opération comporte d’énormes risques pour la sécurité. Le fait de permettre à tous les paquets de passer à travers le pare-feu ne permet pas d’isoler le réseau ni de contrôler l’accès, ce qui rend le pare-feu sans signification. Par conséquent, il est préférable de ne pas autoriser l'action dans le filtrage de paquets par défaut. Au lieu de cela, définissez les stratégies de sécurité avec des conditions précises pour contrôler le transfert de paquets.

Les politiques de sécurité précédentes sont soumises aux paquets voyageant entre les zones de sécurité. Est-ce que les pare-feu Huawei peuvent contrôler les paquets dans une zone de sécurité? Bien sûr que oui. Par défaut, les paquets situés dans une zone de sécurité ne sont pas contrôlés par des stratégies de sécurité et sont librement transférés. Les pare-feu Huawei prennent en charge les stratégies de sécurité intrazone. Nous pouvons configurer des politiques de sécurité pour limiter le passage de paquets spécifiques afin de répondre aux exigences de scénarios spéciaux.

Faites attention à ce point: lorsque les interfaces d'un pare-feu fonctionnent en mode couche 2 (transparent), les paquets qui traversent le pare-feu sont contrôlés par des règles de sécurité. Dans ce cas, les stratégies de sécurité doivent être configurées pour contrôler les paquets.

Outre les paquets transmis par un pare-feu, les paquets échangés par le pare-feu avec d'autres périphériques sont contrôlés par des règles de sécurité, telles que les paquets générés lorsqu'un administrateur se connecte au pare-feu ou que le pare-feu établit un VPN avec un autre périphérique. Les conditions dans ces politiques de sécurité diffèrent beaucou******ous les présenterons dans la section "ASPF".

Dans la précédente introduction, je pense que vous avez eu une compréhension préliminaire des politiques de sécurité. Comme tout n’est pas immuable, les politiques de sécurité définies sur les pare-feu de Huawei suivent le rythme du temps et sont constamment développées. Dans la section suivante, nous vous expliquerons l'historique de développement des stratégies de sécurité du pare-feu Huawei.

 

 

Pour afficher la liste de tous les postes techniques de Dr. WoW, cliquez ici.


  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier