【防火墙技术连载6】强叔侃墙 安全策略篇 安全策略初体验

[复制链接]
发表于 : 2014-3-29 15:45:28 最新回复:2017-10-01 17:43:13
30375 25
强叔侃墙
强叔侃墙 官方号

 

大家好,强叔又和你们见面了。通过前几期的介绍,相信大家对防火墙的基础知识已经有了一定的了解。本期开始我们更进一步,迈入“安全策略”篇。

前几期的帖子中,强叔多次提到了“网络隔离”、“访问控制”、“安全检查”等字眼,“安全策略”就是实施这些安全控制的“安检员”哦,他的作用不容小觑!本期先带大家简单了解安全策略的基本概念及发展历程,后续将详细介绍安全策略的内容。

 

防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。安全策略的作用就是对通过防火墙的数据流进行检验,符合安全策略的合法数据流才能通过防火墙。

 

如上图所示,可以在不同的域间方向应用不同的安全策略进行不同的控制。

安全策略是由匹配条件和动作(允许/拒绝)组成的控制规则,可以基于IP、端口、协议等属性进行细化的控制。例如下边这条安全策略控制源IP1.1.1.1的流量可以访问目的地址为2.2.2.2Web服务器。

缺省情况下,所有域间的所有方向都禁止报文通过1,可以根据需求配置允许哪些数据流通过防火墙的安全策略。

1:对于路由、ARP等底层协议一般是不受安全策略控制的,直接允许通过。当然这和具体产品实现有关,产品间可能有差异。

 

另外再嗦一下,除了经过防火墙转发的数据流,设备本身与外界互访的数据流也同样受安全策略的控制哦!例如当登录设备、网管与设备对接时,需要配置登录PC/网管所在安全区域与Local域之间的安全策略。

同时为了灵活应对各种组网情况,华为防火墙还支持配置域内策略,也就对同一个安全区域内经过防火墙的流量进行安全检查。当然缺省情况下是允许所有域内报文通过防火墙的。

 

有人可能要问了,缺省域间不允许数据流通过,我要逐条为允许通过的数据流配置安全策略也太繁琐了?比如我只想控制少数IP发起的流量不能经过防火墙,其他IP的流量都可以经过防火墙,有什么好办法吗?

当然有,防火墙出于安全考虑缺省情况拒绝所有流量经过,但是这个缺省情况是可以修改的,这就是“缺省包过滤”。如果流量没有匹配到任何安全策略,将按缺省包过滤的动作进行处理。因此实现上述需求可只配置拒绝流量通过的安全策略,缺省包过滤改为permit

 

安全策略的应用方向

既然一个域间有InboundOutbound两个方向,那是否需要为访问的双向流量同时配置安全策略呢?No,对于同一条数据流,在访问发起的方向上应用安全策略即可,反向报文不需要额外的策略。这点和路由器、交换机包过滤不一样,主要原因就是防火墙是状态检测设备,对于同一条数据流只有首包匹配安全策略并建立会话,后续包都匹配会话转发。

如上图所示,Trust域的PC访问Untrust域的Server,只需要在TrustUntrustOutbound方向上应用安全策略允许PC访问Server即可,对于Server回应PC的应答报文会命中首包建立的会话而允许通过。

如果确实需要开放Server主动访问PC的权限,这时才需要在Inbound方向上也应用安全策略。

 

安全策略的匹配

防火墙将流量的属性与安全策略的条件进行匹配。如果所有条件都匹配,则此流量成功匹配安全策略。如果其中有一个条件不匹配,则未匹配安全策略。

同一域间或域内应用多条安全策略,策略的优先级按照配置顺序进行排列,越先配置的策略优先级越高,越先匹配报文。如果报文匹配到一条策略就不再继续匹配剩下的策略,如果没有匹配到任何策略就按缺省包过滤处理。所以配置策略还是有一定讲究的,要先细后粗。

举个具体的例子:企业FTP服务器地址为10.1.1.1,办公区IP段为10.2.1.0/24,要求禁止两台临时办公PC10.2.1.110.2.1.2)访问FTP服务器。如下这样配置有什么问题?

这样配置将无法实现“禁止两台临时办公PC10.2.1.110.2.1.2)访问FTP服务器”的需求,因为这两个IP已经命中了第一条宽泛的策略,无法再命中第二条策略。所以两条策略需要调换顺序。

 

安全策略发展史

有同学可能要问了,啥安全策略,不就是包过滤吗?那你可out了,随着防火墙产品的推陈出新,包过滤也逐渐进化,已经发展成为可以做深度内容检查的“安全策略”。策略匹配条件也已经在“五元组”的基础上增加了用户、应用等匹配条件,还增加了内容安全检测处理。

下图展现了安全策略的发展历程,大家可以看到NGFW中已经实现了基于“七元组”的安全策略。细粒度的安全管控使藏匿于流量中的危险分子无所遁形。

注:“华为防火墙产品一览”那期帖子中已经提到了USG2000/5000UTM产品,USG6000是下一代防火墙NGFW产品。USG9500高端墙也在逐步切换到安全策略,单纯基于ACL的包过滤正在逐步退出历史舞台。

 

好了,本期先开个头,下期强叔将详细介绍每个阶段的安全策略,敬请期待~

顺祝论坛的小伙伴们周末愉快哈~~

 

强叔提问

Trust区域的10.1.1.0/24这个网段中,除了10.1.1.2这个IP地址不能访问Untrust区域的Internet外,其他的IP地址都可以访问Internet

实现如上需求需要在哪个域间、哪个方向、配置几条安全策略呢?

 

 

上一篇 基础知识篇 状态检测和会话机制

下一篇 安全策略篇 安全策略发展历程详解

汇总贴

本帖被以下专题推荐:

  • x
  • 常规:

点评 回复

跳转到指定楼层
她的猫
她的猫   发表于 2014-5-5 13:07:43 已赞(0) 赞(0)

我就是那种提问 安全策略不就是包过滤的同学
  • x
  • 常规:

点评 回复

周中斌
周中斌   发表于 2014-8-20 16:50:18 已赞(0) 赞(0)

acl number 3000
 description trust_to_untrust
 rule 5 deny ip source 10.1.1.2 0.0.0.0
 rule 10 permit ip source 10.1.1.0 0.0.0.255
 
 firewall interzone trust untrust
 packet-filter 3000 outbound
  • x
  • 常规:

点评 回复

l00184221
l00184221   发表于 2014-5-16 20:57:29 已赞(0) 赞(0)

“配置策略还是有一定讲究的,要先细后粗”,这个是有条件的吧,应该是前后两条策略有明显的互斥关系,才需要先细后粗;

如果同时配置了很多ACL,那么就需要把命中概率较大的放在前面,这样可以提高防火墙的转发效率,如果按照粗细来说的话,就是先粗后细了,确切地说是命中概率越大,就需要越往前放。

  • x
  • 常规:

点评 回复

luwj
luwj  导师VIP 发表于 2014-4-23 09:25:12 已赞(0) 赞(0)

policy interzone trust untrust outbound
 policy 1
  action deny
  policy source 10.1.1.2 0
 policy 2
  action permit
  policy source 10.1.1.0 0.0.0.255
  • x
  • 常规:

点评 回复

HWsean
HWsean   发表于 2014-6-16 09:48:07 已赞(0) 赞(0)

只需要在Trust到Untrust的Outbound方向上应用两条安全策略即可:
 1. 拒绝10.1.1.2 访问Internet
 2.允许10.1.1.0/24网段访问Internet
  • x
  • 常规:

点评 回复

HWsean
HWsean   发表于 2014-6-16 09:49:03 已赞(0) 赞(0)

回复 8 楼

兄弟写得很详细呀
  • x
  • 常规:

点评 回复

kmyd
kmyd  大师 发表于 2014-3-29 16:13:09 已赞(0) 赞(0)

好资料,感谢楼主!!
  • x
  • 常规:

点评 回复

fcm
fcm  精英 发表于 2014-3-29 19:57:09 已赞(0) 赞(0)

感谢分享,看哪位同学可以回答全!
  • x
  • 常规:

点评 回复

安宁庄前街东口
安宁庄前街东口   发表于 2014-3-30 17:30:20 已赞(0) 赞(0)

顶~ 支持这一系列帖子,让更多的人了解防火墙。

强叔的问题,首先配置一条trust--->untrust区域的outbound方向的策略,deny掉10.1.1.2这个地址,然后配置一条允许10.1.1.0/24网段的策略,允许所有地址通过。也可以打开这个方向上的缺省包过滤,但是缺省包过滤的精细程度差一点,有安全风险,如果trust区域里面还有其他网段,就都能通过了。

  • x
  • 常规:

点评 回复

123
返回列表
发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录