安全策略
包過濾能夠通過報文的源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口號、目的端口號、上層協議等信息組合定義網絡中的數據流,其中源IP地址、目的IP地址、源端口號、目的端口號、上層協議就是在狀態檢測防火牆中經常所提到的五無組,統防火牆根據五元組的包過濾規則來控制流量在安全區域間的轉發
下一代防火牆的安全策略不僅可以完全替代包過濾的功能,還進一步實現了基於用戶和應用的流量轉發控制,而且還可以對流量的內容進行安全檢測和處理,在源/目的安全區域、時間段、用戶、應用等多個維度對流量進行了更細粒度的控制
安全策略與包過濾的區別
安全策略原理
防火牆的基本作用是保護特定網絡免受“不信任”的網絡的***,但是同時還必須允許兩個網絡之間可以進行合法的通信
安全策略的作用就是對通過防火牆的數據流進行檢驗,符合安全策略的合法數據流才能通過防火牆
安全策略是控制設備對流量轉發以及對流量進行內容安全一體化檢測的策略
控制各個區域之間流量通信,默認所有區域之間不能通信
默認的安全策略是deny
<FW1>display security-policy all
11:30:03 2019/06/16
Total:1
RULE ID RULE NAME STATE ACTION HITTED
-------------------------------------------------------------------------------
0 default enable deny 54
安全策略內容
策略匹配條件:
源安全域,目的安全域,源地址,目的地址,用戶,服務,應用,時間段
策略動作:
允許,禁止
內容安全profile:(可選,策略動作爲允許的時候執行)
反病毒,***防禦,URL過濾,文件過濾,內容過濾,應用行爲控制,郵件過濾
安全策略工作流程
1) NGFW會對收到的流量進行檢測,檢測出流量的屬性,包括:源安全區域、目的安全區域、源地址/地區、目的地址/地區、用戶、服務(源端口、目的端口、協議類型)、應用和時間段
2) 如果所有條件都匹配,則此流量成功匹配安全策略。如果其中有一個條件不匹配,則繼續匹配下一條安全策略。以此類推,如果所有安全策略都不匹配,則NGFW會執行缺省安全策略的動作(默認爲禁止)
3) 如果流量成功匹配一條安全策略,NGFW將會執行此安全策略的動作。如果動作爲禁止,則NGFW會阻斷此流量。如果動作爲允許,則NGFW會判斷安全策略是否引用了安全配置文件。如果引用了安全配置文件,則繼續進行步驟4的處理;如果沒有引用安全配置文件,則允許此流量通過
4) 如果安全策略的動作爲“允許”且引用了安全配置文件,則NGFW會對流量進行內容安全的一體化檢測
5) 一體化檢測是指根據安全配置文件的條件對流量的內容進行一次檢測,根據檢測的結果執行安全配置文件的動作。如果其中一個安全配置文件阻斷此流量,則NGFW阻斷此流量。如果所有的安全配置文件都允許此流量轉發,則NGFW允許此流量轉發
安全策略配置
執行security-policy命令進入安全策略視圖
執行rule name rule-name命令創建一個安全策略並進入該策略視圖
action { permit | deny } 配置安全策略執行動作 必須配置
source-zone { zone-name &<1-6> | any } 指定源安全區域
source-address {ipv4-address ipv4-mask-length} 指定源地址
destination-zone { zone-name &<1-6> | any } 指定目的安全區域
destination-address {ipv4-address ipv4-mask-length} 指定目的地址
service { service-name &<1-6> | any } 指定服務類似
application { any | app app-name &<1-6> | app-group app-group-name &<1-6> | category category-name [ sub-category sub-category-name ] &<1-6 } 配置安全策略規則的應用
user { user-name &<1-6> | any } 配置用戶信息
profile { app-control | av | data-filter | file-block | ips | mail-filter | url-filter } name 配置安全策略規則引用安全配置文件
在安全視圖下可對已配置的規則進行調整:建議在圖形化界面完成
rule copy rule-name new-rule-name 複製安全策略規則
rule move rule-name1 { after | before } rule-name2 移動安全策略規則,從而改變安全策略規則的優先級
rule rename old-name new-name 重新命名安全策略規則
安全策略配置舉例:
[sysname] security-policy
[sysname-policy-security] rule name policy_sec
[sysname-policy-security-rule-policy_sec] source-address 1.1.1.1 24
[sysname-policy-security-rule-policy_sec] source-zone untrust
[sysname-policy-security-rule-policy_sec] destination-address geo-location BeiJing
[sysname-policy-security-rule-policy_sec] service h323
[sysname-policy-security-rule-policy_sec] action permit
[sysname-policy-security-rule-policy_sec] profile av profile_av匹配條件(各種對象 )
源目區域
默認4個,可以自定義
firewall zone name XXX
set priority X(不能配置5 50 85 100)
源目地址/地區/地址組
ip address-set trust_network type object
address 0 10.1.1.0 mask 24
address 1 10.1.2.0 mask 24
address 2 10.1.3.0 mask 24
address 3 10.1.4.0 mask 24
#
ip address-set dmz_network type object
address 0 192.168.1.1 mask 32
address 1 192.168.1.2 mask 32
ip address-set key type object
address 0 range 192.168.1.3 192.168.1.13 
ip address-set all_network type group
address 0 address-set dmz_network
address 1 address-set trust_network
用戶/用戶組
服務/服務組
預定義服務和自定義服務
1) 預定義服務直接被調用
2) 自定義服務需要先定義
ip service-set ospf type object ----服務
service 0 protocol 89
ip service-set all_service type group ----服務組
service 0 service-set ftp
service 1 service-set http
service 2 service-set https 
應用/應用組
自定義應用和預定義應用 
application-group name test
add application Thunder
add application BT
add application eDonkey_eMule
add application KuGoo
add application PPGou
時間段
time-range 上班時間
period-range 09:00:00 to 17:00:00 working-day 
匹配動作
- 允許
- 禁止
內容安全(UTM )
1) 可選:必須動作爲允許才能配置內容安全
2) 如果動作是允許,並且配置了內容安全的時候,就要執行內容安全
3) 如果內容安全禁止,那就禁止
4) 包含:反病毒 ***防禦 URL過濾 內容過濾 文件過濾 郵件過濾 應用行爲控制
安全策略配置
題目需求:
a) Trust區域在工作時間(週一到週五09:00-21:00)禁止訪問untrust區域的娛樂類應用
b) 允許trust區域訪問untrust區域的其餘流量
c) 允許任意區域訪問DMZ區域的http、https、ftp服務(使用服務組)
先定義對象,再調用
time-range 上班時間
period-range 09:00:00 to 17:00:00 daily
ip service-set all_service type group
service 0 service-set ftp
service 1 service-set http
service 2 service-set https
security-policy
rule name deny_trust_intrrust
source-zone trust
destination-zone untrust
source-address 10.1.1.0 mask 255.255.255.0
application category Entertainment
time-range 工作時間
action deny
rule name permit_trust_untrust
source-zone trust
destination-zone untrust
action permit
rule name permit_any_dmz
destination-zone dmz
service all_service
action permit查看所有的安全策略
[FW1]display security-policy all
17:17:54 2019/10/20
Total:4
RULE ID RULE NAME STATE ACTION HITTED
-------------------------------------------------------------------------------
0 default enable deny 762
1 deny_trust_intrrust enable deny 108
2 permit_trust_untrust enable permit 696
3 permit_any_dmz enable permit 4
------------------------------------------------------------------------------- 注意: 安全策略要有匹配,安全策略的執行順序是從上往下,不是按照rule id的從小往大執行 匹配條件越多,安全策略越精確
[FW1]display security-policy rule deny_trust_intrrust
17:18:29 2019/10/20
(108 times matched) ---------------一定要匹配項
rule name deny_trust_intrrust
source-zone trust
destination-zone untrust
source-address 10.1.1.0 mask 255.255.255.0
application category Entertainment
time-range 上班時間
action deny檢查:
[FW1]display security-policy all
20:06:37 2019/03/12
Total:4
RULE ID RULE NAME STATE ACTION HITTED
-------------------------------------------------------------------------------
0 default enable deny 4123
3 deny_trust_untrust enable deny 33 ----一定要有命中
4 permit_trust_any enable permit 1453
5 permit_untrust_dmz enable permit 2 注意:安全策略的執行是從上往下的(圖形化界面是從上往下 但是命令行這一塊的話 是從下往上進行匹配的),當匹配其中一個就會往下執行,如果都不匹配,就匹配默認的default(deny any)