[Dr.WoW] [No.9] Historique de développement des politiques de sécurité

54 0 0 0

Le monde des réseaux est au cœur du changement et les menaces à la sécurité émergent les unes après les autres. Pour adapter ces 

changements, les pare-feu Huawei sont constamment mis à jour et les stratégies de sécurité sont développées et améliorées en conséquence.


Comme le montre la figure 1-1, le développement des stratégies de sécurité du pare-feu Huawei a connu trois phases: filtrage des paquets basé sur ACL, stratégie de sécurité intégrée à UTM et stratégie de sécurité unifiée.


Figure 1-1 Historique du développement des stratégies de sécurité du pare-feu Huawei


5541a5aa50bb4.png


L'historique de développement présente les caractéristiques suivantes:


- Les conditions d’appariement sont plus raffinées. Ils sont développés à partir de l'identification de paquets basée sur les adresses IP et les ports, 

par les pare-feux traditionnels, et l'identification des paquets sur les utilisateurs, les applications et les contenus, par les pare-feux de nouvelle 

génération (NGFW). La capacité d'identification des paquets est améliorée.


- Plus d'actions sont disponibles. Au début, les paquets étaient simplement autorisés ou refusés. Désormais, les pare-feu peuvent effectuer 

diverses vérifications de la sécurité du contenu sur les paquets.


- La configuration est plus pratique. Pour configurer les stratégies de sécurité sur les pare-feu traditionnels, vous devez maîtriser la configuration 

de la liste de contrôle d'accès. La configuration de la politique de sécurité unifiée sur les NGFW est plus simple, pratique et facile à comprendre.


Décrivons les trois phases de développement une par une.


Phase 1: Filtrage de paquets basé sur ACL


Le filtrage de paquets basé sur ACL est la mise en œuvre sur les pare-feu Huawei initiaux. Seules les premières versions (telles que V200R001 

pour la série Eudemon8000E-X) prennent en charge ce mode.


Dans cette phase, les ACL sont configurés pour contrôler les paquets. Chaque liste de contrôle d'accès contient plusieurs règles et chaque règle 

a la condition et l'action définies. Les listes de contrôle d'accès doivent être configurées à l'avance et référencées dans les interzones.


Lors du transfert d'un paquet entre des zones de sécurité, un pare-feu recherche les règles dans les ACL de haut en bas. Si le paquet correspond 

à une règle, le pare-feu effectue l'action définie dans la règle et arrête la recherche de la règle. Si le paquet ne correspond pas à la règle, le 

pare-feu continue de rechercher la règle suivante. Si le paquet ne correspond à aucune règle, le pare-feu effectue l'action définie dans le filtrage 

de paquets par défaut.


Comme le montre la figure 1-2, la relation interzone Trust-Untrust est utilisée à titre d'exemple pour expliquer la logique de configuration du filtrage de paquets basé sur la liste de contrôle d'accès.


Figure 1-2 Logique de configuration du filtrage de paquets basé sur ACL

5541a5c685361.png


Pour configurer le filtrage de paquets basé sur la liste de contrôle d'accès, vous devez d'abord configurer une liste de contrôle d'accès, puis référencer la liste de contrôle d'accès dans l'interzone. Par exemple, pour refuser les paquets de 192.168.0.100 dans la zone de confiance à la zone non approuvée et autoriser les paquets de 192.168.0.0/24 à 172.16.0.0/24, configurez la liste de contrôle d'accès suivante:


[FW] acl 3000

[FW-acl-adv-3000] rule deny ip source 192.168.0.100 0

[FW-acl-adv-3000] rule permit ip source 192.168.0.0 0.0.0.255 destination 172.16.0.0 0.0.0.255

[FW-acl-adv-3000] quit

[FW] firewall interzone trust untrust

[FW-interzone-trust-untrust] packet-filter 3000 outbound


Phase 2: Politique de sécurité intégrée à UTM


Avec la sortie des produits UTM, les stratégies de sécurité du pare-feu Huawei font un pas en avant et deviennent de véritables "stratégies". À 

la différence du filtrage de paquets basé sur ACL, les stratégies de sécurité intégrées à UTM ont des conditions et des actions définies sans l'aide 

des ACL. De plus, si l'action est autorisée, les stratégies UTM, telles que les stratégies antivirus et IPS, peuvent être référencées pour une 

inspection plus poussée des paquets.


La série V300R001 pour Eudemon1000E-X utilise des règles de sécurité intégrées à UTM. La série V300R001 pour Eudemon8000E-X prend 

également en charge ce type de stratégie de sécurité, mais seules les conditions et les actions peuvent être définies et les stratégies UTM ne 

peuvent pas être référencées.


Comme le montre la figure 1-3, une stratégie de sécurité intégrée à UTM se compose de la condition, de l'action et de la stratégie UTM. Notez que 

le concept "ensemble de services" apparaît dans les conditions de la politique de sécurité en tant que substitut du protocole et du port. Certains 

ensembles de services, notamment les protocoles communs, ont été prédéfinis dans les politiques de sécurité. Ces ensembles de services 

peuvent être directement définis en tant que conditions. Pour d'autres protocoles ou ports, nous pouvons définir de nouveaux ensembles de 

services et les référencer dans les politiques de sécurité.


Figure 1-3 Composition d'une stratégie de sécurité intégrée à UTM

5541a5e5c499b.png


Les stratégies de sécurité intégrées à l'UTM sont en séquence. Lorsqu'un pare-feu transfère des paquets entre des zones de sécurité, il recherche 

 les stratégies de sécurité interzone de haut en bas. Si un paquet correspond à une stratégie de sécurité spécifique, le pare-feu effectue l'action 

définie dans la stratégie et arrête la recherche des stratégies de sécurité suivantes. Si le paquet ne correspond pas à la stratégie, le pare-feu 

continue à rechercher les stratégies suivantes. Si le paquet ne correspond à aucune politique, le pare-feu effectue l'action définie dans le filtrage 

de paquets par défaut.


Comme le montre la figure 1-4, la relation interzone Trust-Untrust est utilisée à titre d'exemple pour expliquer la logique de configuration des 

stratégies de sécurité intégrées à UTM.


Figure 1-4 Logique de configuration des stratégies de sécurité intégrées à UTM


5541a5f69654c.png


Pour configurer une politique de sécurité intégrée à UTM, vous pouvez définir directement la condition et l'action. Si l'inspection UTM sur les paquets est requise, définissez une stratégie UTM et référencez la stratégie U****ans la stratégie de sécurité avec l'action autorisée. Par exemple, pour refuser les paquets de 192.168.0.100 dans la zone de confiance à la zone Untrust et autoriser les paquets de 192.168.0.0/24 à 172.16.0.0/24, configurez la stratégie de sécurité suivante:


[FW] policy interzone trust untrust outbound

[FW-policy-interzone-trust-untrust-outbound] policy 1

[FW-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.100 0

[FW-policy-interzone-trust-untrust-outbound-1] action deny

[FW-policy-interzone-trust-untrust-outbound-1] quit

[FW-policy-interzone-trust-untrust-outbound] policy 2

[FW-policy-interzone-trust-untrust-outbound-2] policy source 192.168.0.0 0.0.0.255

[FW-policy-interzone-trust-untrust-outbound-2] policy destination 172.16.0.0 0.0.0.255

[FW-policy-interzone-trust-untrust-outbound-2] action permit


Phase 3: Politique de sécurité unifiée


Alors que les réseaux se développent rapidement et que les applications s'épanouissent, l'utilisation des protocoles et les modes de transmission 

des données ont changé, et des vers, des réseaux de zombies et d'autres applications basées sur des applications de réseau émergent 

constamment. Les pare-feu traditionnels sont incapables d'empêcher les menaces provenant des vers de réseau et des réseaux de zombies, 

car ils identifient les applications basées sur les ports et les protocoles, et détectent les attaques basées sur les signatures de la couche de 

transport et se protègent contre elles. La nouvelle exigence de sécurité favorise l'émergence du pare-feu de nouvelle génération. Les pare-feu 

Huawei suivent le rythme des temps, et leurs politiques de sécurité sont développées dans la phase de politique de sécurité "unifiée". 

Actuellement, la série V100R001 pour la série Eudemon200E-N / 1000E-N prend en charge des stratégies de sécurité unifiées.


L'unification concerne principalement:


- Configuration unifiée: les stratégies de sécurité peuvent référencer les profils de sécurité pour implémenter des fonctions de sécurité, telles que l'antivirus, la prévention des intrusions, le filtrage des URL et le filtrage du courrier, réduisant ainsi la complexité de la configuration.


Traitement de service unifié: plusieurs services sont effectués sur des paquets lorsque des stratégies de sécurité sont utilisées pour vérifier les 

paquets, ce qui améliore considérablement les performances du système.


Comme le montre la figure 1-5, les stratégies de sécurité unifiée sont configurées pour identifier les environnements de service réels en fonction 

des applications, du contenu, de l'heure, des utilisateurs, des attaques et des emplacements, en plus des informations quintuple traditionnelles, 

mettant en œuvre un contrôle d'accès et une inspection de sécurité précis.


Figure 1-5 Dimensions d'identification pour les stratégies de sécurité unifiées


5541a60e6eb2e.png


Une stratégie de sécurité unifiée comprend la condition, l'action et le profil, comme illustré à la figure 1-6. Le profil est utilisé pour l'inspection de la 

sécurité du contenu sur les paquets et ne peut être référencé que lorsque l'action dans la stratégie est autorisée (permit).


Figure 1-6 Composition d'une stratégie de sécurité unifiée


5541a61a56d59.png


Par rapport aux stratégies de sécurité des deux premières phases, les stratégies de sécurité unifiée présentent les caractéristiques suivantes:


- Les stratégies de sécurité unifiées sont basées sur la portée globale et non plus sur l'interzone. Les zones de sécurité sont facultatives et 

plusieurs zones de sécurité peuvent être définies simultanément. Une implémentation spéciale sur la série Huawei Eudemon200E-N / 1000E-N 

est que les paquets ne sont pas autorisés à se déplacer entre les zones de sécurité par défaut. Pour autoriser le voyage, vous devez configurer 

une stratégie de sécurité intrazone.


- L'action par défaut des stratégies de sécurité remplace le filtrage de paquets par défaut et prend effet de manière globale.


Si plusieurs stratégies de sécurité unifiées sont configurées sur un pare-feu, ce dernier recherche les stratégies de haut en bas lors du transfert 

des paquets. Comme le montre la figure 1-7, si un paquet correspond à une stratégie de sécurité spécifique, le pare-feu exécute l'action définie 

dans la stratégie et arrête la recherche des stratégies de sécurité suivantes. Si le paquet ne correspond pas à la stratégie, le pare-feu continue à 

rechercher les stratégies suivantes. Si le paquet ne correspond à aucune stratégie, le pare-feu effectue l'action par défaut pour les stratégies de 

sécurité. La fonction de l'action par défaut est identique à celle du filtrage de paquets par défaut. La différence est que l'action par défaut est 

définie dans une stratégie de sécurité.


Figure 1-7 Logique de configuration des stratégies de sécurité unifiées

5541a6286c43a.png


Par exemple, pour refuser les paquets de 192.168.0.100 dans la zone de confiance à la zone Untrust et autoriser (permit) les paquets de 192.168.0.0/24 à 

172.16.0.0/24, configurez les stratégies de sécurité unifiées suivantes:


FW] security-policy

[FW-policy-security] rule name policy1

[FW-policy-security-rule-policy1] source-zone trust

[FW-policy-security-rule-policy1] destination-zone untrust

[FW-policy-security-rule-policy1] source-address 192.168.0.100 32

[FW-policy-security-rule-policy1] action deny

[FW-policy-security-rule-policy1] quit

[FW-policy-security] rule name policy2

[FW-policy-security-rule-policy2] source-zone trust

[FW-policy-security-rule-policy2] destination-zone untrust

[FW-policy-security-rule-policy2] source-address 192.168.0.0 24

[FW-policy-security-rule-policy2] destination-address 172.16.0.0 24

[FW-policy-security-rule-policy2] action permit


Après l'introduction précédente, je pense que vous avez compris l'historique des stratégies de sécurité du pare-feu Huawei. Les stratégies de 

sécurité mentionnées dans les parties suivantes sont configurées en tant que stratégies de sécurité intégrées UTM, qui sont populaires aujourd'hui,

mais nous ne fournissons que des conditions et des actions et n'impliquons pas de stratégies UTM.


  • x
  • Standard:

Responder

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

Connectez-vous pour participer à la communication et au partage

S'identifier
Réponse rapide Accéder au haut de page