【防火墙技术连载7】强叔侃墙 安全策略篇 安全策略发展历程详解

[复制链接]
发表于 : 2014-4-2 08:50:17 最新回复:2016-08-25 11:09:25
23456 20
强叔侃墙
强叔侃墙 官方号

经过上期对安全策略的介绍,我想大家已经了解到安全策略是防火墙中必不可少的基本功能,本期强叔带大家详细了解安全策略的发展历程。

 

基于ACL的包过滤

前期已经提到这种单纯的包过滤正在逐步退出历史舞台,这里只简单介绍一下。

包过滤的处理过程是先获取需要转发数据包的报文头信息,然后和设定的ACL规则进行比较,根据比较的结果对数据包进行转发或者丢弃。实现包过滤的核心技术是访问控制列表ACL。

因此包过滤只能基于IP地址、端口号等控制流量是否可以通过防火墙,无法准确识别应用。


基于ACL的包过滤的配置方式是先配置好包含多条数据流规则(rule)的ACL,其中每条rule包含数据流的匹配条件和permit/deny动作,然后ACL再被域间包过滤引用。一个域间只能引用一个ACL。

 

发展中期的UTM设备安全策略

随着USG2000/5000系列UTM产品的推出,“安全策略”这个概念被提出。之所以不叫包过滤了,是因为策略中集成了UTM检测功能,配置方式也由ACL方式变为Policy方式。

通过下边这个界面可以直观的看到安全策略的组成:包过滤+UTM。不启用UTM功能时就是原始的包过滤;动作为permit的安全策略可以引用IPS、AV等UTM策略,对流量进一步进行UTM检测,通过检测的流量才能真正通过防火墙。

注:华为UTM产品中已经增加“用户”这个匹配条件,后续在NGFW安全策略中再统一介绍。


另外配置方式上也变为Policy方式,即在配置安全策略时直接指定匹配数据流的多种条件以及动作,配置更简单。


此时的安全策略已经有一体化安全处理的雏形了,将防火墙包过滤功能和内容安全功能进行了融合,但是还有一定局限性。

了解UTM的同学们应该知道,UTM更多的是体现功能集成,将传统防火墙、入侵防御设备、反病毒设备等集成到一个硬件。UTM设备的多个安全功能之间的紧密度不高,报文匹配安全策略的匹配条件后需要逐一进入各个UTM模块进行检测和处理,如果同时开启多个安全功能,设备性能往往大幅下降。


另外基于应用的管控需要配置额外的应用控制策略,不能直接将应用类型作为策略的匹配条件。例如需要禁止员工使用IM应用,此时要额外配置禁止IM应用的“应用控制策略”然后再在安全策略引用生效。也就是应用识别与管控需要进入另外一个模块处理。

 

NGFW的一体化安全策略

到了NGFW阶段,对一体化、应用识别与管控、高性能等要求更高。安全策略充分体现了这些特质,通过应用、用户、内容、威胁等多个维度的识别将模糊的网络环境映射为实际的业务环境,从而实现精准的访问控制和安全检测。

 闲言少叙,说点干货吧,NGFW安全策略在配置和实现上到底有哪些不同呢?

1、 NGFW之前的安全策略都是应用在域间的(安全区域必配),NGFW的安全策略应用在全局,安全区域与IP地址等一样只是作为可选的匹配条件。而且安全区域支持多选。

这样配置更灵活,可以不关注安全区域、域间方向,只需关注访问的源/目的。另外还可以实现跨多域的访问的一次性配置。

 

2、缺省包过滤也是全局只有一条,不再区分域间。

3、增加应用作为匹配条件,对应用的阻断/允许直接在安全策略中配置。

4、增加用户作为匹配条件,实现基于用户的管控,即使IP发生变化用户的权限也是不变的。

    也就是应用和用户的识别都融入了防火墙安全策略的处理流程中,无论从配置还是设备 处理上都体现了“一体化”。

5、通过高性能的一体化检测引擎实现一次扫描、实时检测,即使开启所有内容安全功能,也不会造成设备性能的大幅下降。

强叔后续将开辟专门的帖子对NGFW进行具体介绍,详细的处理过程本帖不过多提及了。


展望未来

安全策略在一体化、智能化、多维度管控的道路上还在继续前行,基于地理位置的控制、根据实际网络流量类型自动调整策略配置的智能策略都将陆续推出。

各位网管和工程师们,期待着只需喝茶看报,防火墙自动进行安全防护的那一天吧~~


 强叔提问

您接触的防火墙的安全策略属于第几阶段?您最想了解什么?都可以留言哦,强叔将会一一解答。


 

 

上一篇 安全策略篇 安全策略初体验

下一篇 安全策略篇 ASPF:隐形通道

汇总贴

本帖被以下专题推荐:

  • x
  • 常规:

点评 回复

跳转到指定楼层
强叔侃墙
强叔侃墙 官方号 发表于 2014-4-3 08:51:44 已赞(0) 赞(0)

引用 3 楼

感觉安全策略不会有太大变化了,易用性方面已经没有太大的生长空间,是这样吗?

sec_fw 发表于 2014-04-02 09:12

现在策略智能化、自动化很火,后续应该会在这个上边发力。就是用户配置一个很宽松的策略,设备能感知实际业务环境去自动调整策略。
  • x
  • 常规:

点评 回复

fcm
fcm  精英 发表于 2014-4-3 09:08:46 已赞(0) 赞(0)

下一代墙和现在的防火墙配置的确是有些不一样,开刚的时候还没有习惯。不

不过USG6600的默认配置好像比较多

  • x
  • 常规:

点评 回复

water
water  精英 发表于 2014-4-4 15:49:01 已赞(0) 赞(0)

NGFW域间缺省包过滤只有一条,不能分别配置貌似不太易用啊

  • x
  • 常规:

点评 回复

她的猫
她的猫   发表于 2014-5-5 13:18:54 已赞(0) 赞(0)

模拟器里要是有USG6600就好了
  • x
  • 常规:

点评 回复

新知
新知  新锐 发表于 2014-5-12 12:24:36 已赞(0) 赞(0)

【防火墙技术连载7】强叔侃墙 安全策略篇 安全策略发展历程详解-1483443-1【防火墙技术连载7】强叔侃墙 安全策略篇 安全策略发展历程详解-1483443-2【防火墙技术连载7】强叔侃墙 安全策略篇 安全策略发展历程详解-1483443-3【防火墙技术连载7】强叔侃墙 安全策略篇 安全策略发展历程详解-1483443-4

三种命令视图\三个不同的阶段:①基于ACL的包过滤。 ②包过滤+UTM。NGFW的一体化安全策略

  • x
  • 常规:

点评 回复

l00274423
l00274423   发表于 2014-8-20 11:58:19 已赞(0) 赞(0)

问个外行话,防火墙最终的动作似乎就是yes/no,有没有一种可能,发现可以对象之后采取一些进一步措施?也就是放长线钓大鱼。
  • x
  • 常规:

点评 回复

周中斌
周中斌   发表于 2014-8-21 11:01:32 已赞(0) 赞(0)

原来我一直接触的是ACL包过滤的第一阶段啊!太土了

  • x
  • 常规:

点评 回复

HWsean
HWsean   发表于 2014-6-16 11:24:35 已赞(0) 赞(0)

我一般现在接触的是包过滤+UTM的防火墙比较多
  • x
  • 常规:

点评 回复

nav
nav   发表于 2014-4-2 09:08:21 已赞(0) 赞(0)

终于盼来了ACL,顶~

  • x
  • 常规:

点评 回复

123
返回列表
发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录