Le monde des réseaux est au cœur du changement et les menaces à la sécurité émergent les unes après les autres. Pour adapter ces
changements, les pare-feu Huawei sont constamment mis à jour et les stratégies de sécurité sont développées et améliorées en conséquence.
Comme le montre la figure 1-1, le développement des stratégies de sécurité du pare-feu Huawei a connu trois phases: filtrage des paquets basé sur ACL, stratégie de sécurité intégrée à UTM et stratégie de sécurité unifiée.
Figure 1-1 Historique du développement des stratégies de sécurité du pare-feu Huawei
L'historique de développement présente les caractéristiques suivantes:
- Les conditions d’appariement sont plus raffinées. Ils sont développés à partir de l'identification de paquets basée sur les adresses IP et les ports,
par les pare-feux traditionnels, et l'identification des paquets sur les utilisateurs, les applications et les contenus, par les pare-feux de nouvelle
génération (NGFW). La capacité d'identification des paquets est améliorée.
- Plus d'actions sont disponibles. Au début, les paquets étaient simplement autorisés ou refusés. Désormais, les pare-feu peuvent effectuer
diverses vérifications de la sécurité du contenu sur les paquets.
- La configuration est plus pratique. Pour configurer les stratégies de sécurité sur les pare-feu traditionnels, vous devez maîtriser la configuration
de la liste de contrôle d'accès. La configuration de la politique de sécurité unifiée sur les NGFW est plus simple, pratique et facile à comprendre.
Décrivons les trois phases de développement une par une.
Phase 1: Filtrage de paquets basé sur ACL
Le filtrage de paquets basé sur ACL est la mise en œuvre sur les pare-feu Huawei initiaux. Seules les premières versions (telles que V200R001
pour la série Eudemon8000E-X) prennent en charge ce mode.
Dans cette phase, les ACL sont configurés pour contrôler les paquets. Chaque liste de contrôle d'accès contient plusieurs règles et chaque règle
a la condition et l'action définies. Les listes de contrôle d'accès doivent être configurées à l'avance et référencées dans les interzones.
Lors du transfert d'un paquet entre des zones de sécurité, un pare-feu recherche les règles dans les ACL de haut en bas. Si le paquet correspond
à une règle, le pare-feu effectue l'action définie dans la règle et arrête la recherche de la règle. Si le paquet ne correspond pas à la règle, le
pare-feu continue de rechercher la règle suivante. Si le paquet ne correspond à aucune règle, le pare-feu effectue l'action définie dans le filtrage
de paquets par défaut.
Comme le montre la figure 1-2, la relation interzone Trust-Untrust est utilisée à titre d'exemple pour expliquer la logique de configuration du filtrage de paquets basé sur la liste de contrôle d'accès.
Figure 1-2 Logique de configuration du filtrage de paquets basé sur ACL
Pour configurer le filtrage de paquets basé sur la liste de contrôle d'accès, vous devez d'abord configurer une liste de contrôle d'accès, puis référencer la liste de contrôle d'accès dans l'interzone. Par exemple, pour refuser les paquets de 192.168.0.100 dans la zone de confiance à la zone non approuvée et autoriser les paquets de 192.168.0.0/24 à 172.16.0.0/24, configurez la liste de contrôle d'accès suivante:
[FW] acl 3000
[FW-acl-adv-3000] rule deny ip source 192.168.0.100 0
[FW-acl-adv-3000] rule permit ip source 192.168.0.0 0.0.0.255 destination 172.16.0.0 0.0.0.255
[FW-acl-adv-3000] quit
[FW] firewall interzone trust untrust
[FW-interzone-trust-untrust] packet-filter 3000 outbound
Phase 2: Politique de sécurité intégrée à UTM
Avec la sortie des produits UTM, les stratégies de sécurité du pare-feu Huawei font un pas en avant et deviennent de véritables "stratégies". À
la différence du filtrage de paquets basé sur ACL, les stratégies de sécurité intégrées à UTM ont des conditions et des actions définies sans l'aide
des ACL. De plus, si l'action est autorisée, les stratégies UTM, telles que les stratégies antivirus et IPS, peuvent être référencées pour une
inspection plus poussée des paquets.
La série V300R001 pour Eudemon1000E-X utilise des règles de sécurité intégrées à UTM. La série V300R001 pour Eudemon8000E-X prend
également en charge ce type de stratégie de sécurité, mais seules les conditions et les actions peuvent être définies et les stratégies UTM ne
peuvent pas être référencées.
Comme le montre la figure 1-3, une stratégie de sécurité intégrée à UTM se compose de la condition, de l'action et de la stratégie UTM. Notez que
le concept "ensemble de services" apparaît dans les conditions de la politique de sécurité en tant que substitut du protocole et du port. Certains
ensembles de services, notamment les protocoles communs, ont été prédéfinis dans les politiques de sécurité. Ces ensembles de services
peuvent être directement définis en tant que conditions. Pour d'autres protocoles ou ports, nous pouvons définir de nouveaux ensembles de
services et les référencer dans les politiques de sécurité.
Figure 1-3 Composition d'une stratégie de sécurité intégrée à UTM
Les stratégies de sécurité intégrées à l'UTM sont en séquence. Lorsqu'un pare-feu transfère des paquets entre des zones de sécurité, il recherche
les stratégies de sécurité interzone de haut en bas. Si un paquet correspond à une stratégie de sécurité spécifique, le pare-feu effectue l'action
définie dans la stratégie et arrête la recherche des stratégies de sécurité suivantes. Si le paquet ne correspond pas à la stratégie, le pare-feu
continue à rechercher les stratégies suivantes. Si le paquet ne correspond à aucune politique, le pare-feu effectue l'action définie dans le filtrage
de paquets par défaut.
Comme le montre la figure 1-4, la relation interzone Trust-Untrust est utilisée à titre d'exemple pour expliquer la logique de configuration des
stratégies de sécurité intégrées à UTM.
Figure 1-4 Logique de configuration des stratégies de sécurité intégrées à UTM
Pour configurer une politique de sécurité intégrée à UTM, vous pouvez définir directement la condition et l'action. Si l'inspection UTM sur les paquets est requise, définissez une stratégie UTM et référencez la stratégie U****ans la stratégie de sécurité avec l'action autorisée. Par exemple, pour refuser les paquets de 192.168.0.100 dans la zone de confiance à la zone Untrust et autoriser les paquets de 192.168.0.0/24 à 172.16.0.0/24, configurez la stratégie de sécurité suivante:
[FW] policy interzone trust untrust outbound
[FW-policy-interzone-trust-untrust-outbound] policy 1
[FW-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.100 0
[FW-policy-interzone-trust-untrust-outbound-1] action deny
[FW-policy-interzone-trust-untrust-outbound-1] quit
[FW-policy-interzone-trust-untrust-outbound] policy 2
[FW-policy-interzone-trust-untrust-outbound-2] policy source 192.168.0.0 0.0.0.255
[FW-policy-interzone-trust-untrust-outbound-2] policy destination 172.16.0.0 0.0.0.255
[FW-policy-interzone-trust-untrust-outbound-2] action permit
Phase 3: Politique de sécurité unifiée
Alors que les réseaux se développent rapidement et que les applications s'épanouissent, l'utilisation des protocoles et les modes de transmission
des données ont changé, et des vers, des réseaux de zombies et d'autres applications basées sur des applications de réseau émergent
constamment. Les pare-feu traditionnels sont incapables d'empêcher les menaces provenant des vers de réseau et des réseaux de zombies,
car ils identifient les applications basées sur les ports et les protocoles, et détectent les attaques basées sur les signatures de la couche de
transport et se protègent contre elles. La nouvelle exigence de sécurité favorise l'émergence du pare-feu de nouvelle génération. Les pare-feu
Huawei suivent le rythme des temps, et leurs politiques de sécurité sont développées dans la phase de politique de sécurité "unifiée".
Actuellement, la série V100R001 pour la série Eudemon200E-N / 1000E-N prend en charge des stratégies de sécurité unifiées.
L'unification concerne principalement:
- Configuration unifiée: les stratégies de sécurité peuvent référencer les profils de sécurité pour implémenter des fonctions de sécurité, telles que l'antivirus, la prévention des intrusions, le filtrage des URL et le filtrage du courrier, réduisant ainsi la complexité de la configuration.
- Traitement de service unifié: plusieurs services sont effectués sur des paquets lorsque des stratégies de sécurité sont utilisées pour vérifier les
paquets, ce qui améliore considérablement les performances du système.
Comme le montre la figure 1-5, les stratégies de sécurité unifiée sont configurées pour identifier les environnements de service réels en fonction
des applications, du contenu, de l'heure, des utilisateurs, des attaques et des emplacements, en plus des informations quintuple traditionnelles,
mettant en œuvre un contrôle d'accès et une inspection de sécurité précis.
Figure 1-5 Dimensions d'identification pour les stratégies de sécurité unifiées
Une stratégie de sécurité unifiée comprend la condition, l'action et le profil, comme illustré à la figure 1-6. Le profil est utilisé pour l'inspection de la
sécurité du contenu sur les paquets et ne peut être référencé que lorsque l'action dans la stratégie est autorisée (permit).
Figure 1-6 Composition d'une stratégie de sécurité unifiée
Par rapport aux stratégies de sécurité des deux premières phases, les stratégies de sécurité unifiée présentent les caractéristiques suivantes:
- Les stratégies de sécurité unifiées sont basées sur la portée globale et non plus sur l'interzone. Les zones de sécurité sont facultatives et
plusieurs zones de sécurité peuvent être définies simultanément. Une implémentation spéciale sur la série Huawei Eudemon200E-N / 1000E-N
est que les paquets ne sont pas autorisés à se déplacer entre les zones de sécurité par défaut. Pour autoriser le voyage, vous devez configurer
une stratégie de sécurité intrazone.
- L'action par défaut des stratégies de sécurité remplace le filtrage de paquets par défaut et prend effet de manière globale.
Si plusieurs stratégies de sécurité unifiées sont configurées sur un pare-feu, ce dernier recherche les stratégies de haut en bas lors du transfert
des paquets. Comme le montre la figure 1-7, si un paquet correspond à une stratégie de sécurité spécifique, le pare-feu exécute l'action définie
dans la stratégie et arrête la recherche des stratégies de sécurité suivantes. Si le paquet ne correspond pas à la stratégie, le pare-feu continue à
rechercher les stratégies suivantes. Si le paquet ne correspond à aucune stratégie, le pare-feu effectue l'action par défaut pour les stratégies de
sécurité. La fonction de l'action par défaut est identique à celle du filtrage de paquets par défaut. La différence est que l'action par défaut est
définie dans une stratégie de sécurité.
Figure 1-7 Logique de configuration des stratégies de sécurité unifiées
Par exemple, pour refuser les paquets de 192.168.0.100 dans la zone de confiance à la zone Untrust et autoriser (permit) les paquets de 192.168.0.0/24 à
172.16.0.0/24, configurez les stratégies de sécurité unifiées suivantes:
FW] security-policy
[FW-policy-security] rule name policy1
[FW-policy-security-rule-policy1] source-zone trust
[FW-policy-security-rule-policy1] destination-zone untrust
[FW-policy-security-rule-policy1] source-address 192.168.0.100 32
[FW-policy-security-rule-policy1] action deny
[FW-policy-security-rule-policy1] quit
[FW-policy-security] rule name policy2
[FW-policy-security-rule-policy2] source-zone trust
[FW-policy-security-rule-policy2] destination-zone untrust
[FW-policy-security-rule-policy2] source-address 192.168.0.0 24
[FW-policy-security-rule-policy2] destination-address 172.16.0.0 24
[FW-policy-security-rule-policy2] action permit
Après l'introduction précédente, je pense que vous avez compris l'historique des stratégies de sécurité du pare-feu Huawei. Les stratégies de
sécurité mentionnées dans les parties suivantes sont configurées en tant que stratégies de sécurité intégrées UTM, qui sont populaires aujourd'hui,
mais nous ne fournissons que des conditions et des actions et n'impliquons pas de stratégies UTM.