国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

打開APP
userphoto
未登錄

開通VIP,暢享免費(fèi)電子書等14項(xiàng)超值服

開通VIP

首頁

好書

留言交流

下載APP

聯(lián)系客服
華為防火墻安全策略的詳細(xì)介紹

安全策略

? 包過濾能夠通過報(bào)文的源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào)、上層協(xié)議等信息組合定義網(wǎng)絡(luò)中的數(shù)據(jù)流,其中源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào)、上層協(xié)議就是在狀態(tài)檢測防火墻中經(jīng)常所提到的五無組,統(tǒng)防火墻根據(jù)五元組的包過濾規(guī)則來控制流量在安全區(qū)域間的轉(zhuǎn)發(fā)
? 下一代防火墻的安全策略不僅可以完全替代包過濾的功能,還進(jìn)一步實(shí)現(xiàn)了基于用戶和應(yīng)用的流量轉(zhuǎn)發(fā)控制,而且還可以對(duì)流量的內(nèi)容進(jìn)行安全檢測和處理,在源/目的安全區(qū)域、時(shí)間段、用戶、應(yīng)用等多個(gè)維度對(duì)流量進(jìn)行了更細(xì)粒度的控制

安全策略與包過濾的區(qū)別

安全策略原理

? 防火墻的基本作用是保護(hù)特定網(wǎng)絡(luò)免受“不信任”的網(wǎng)絡(luò)的攻擊,但是同時(shí)還必須允許兩個(gè)網(wǎng)絡(luò)之間可以進(jìn)行合法的通信
? 安全策略的作用就是對(duì)通過防火墻的數(shù)據(jù)流進(jìn)行檢驗(yàn),符合安全策略的合法數(shù)據(jù)流才能通過防火墻
? 安全策略是控制設(shè)備對(duì)流量轉(zhuǎn)發(fā)以及對(duì)流量進(jìn)行內(nèi)容安全一體化檢測的策略
? 控制各個(gè)區(qū)域之間流量通信,默認(rèn)所有區(qū)域之間不能通信

默認(rèn)的安全策略是deny 
<FW1>display security-policy all  
11:30:03  2019/06/16 
Total:1 
RULE ID RULE NAME                      STATE      ACTION             HITTED            
-------------------------------------------------------------------------------
  0       default                       enable     deny               54

安全策略內(nèi)容

? 策略匹配條件:
? 源安全域,目的安全域,源地址,目的地址,用戶,服務(wù),應(yīng)用,時(shí)間段
? 策略動(dòng)作:
? 允許,禁止
? 內(nèi)容安全profile:(可選,策略動(dòng)作為允許的時(shí)候執(zhí)行)
? 反病毒,入侵防御,URL過濾,文件過濾,內(nèi)容過濾,應(yīng)用行為控制,郵件過濾

安全策略工作流程

1) NGFW會(huì)對(duì)收到的流量進(jìn)行檢測,檢測出流量的屬性,包括:源安全區(qū)域、目的安全區(qū)域、源地址/地區(qū)、目的地址/地區(qū)、用戶、服務(wù)(源端口、目的端口、協(xié)議類型)、應(yīng)用和時(shí)間段
2) 如果所有條件都匹配,則此流量成功匹配安全策略。如果其中有一個(gè)條件不匹配,則繼續(xù)匹配下一條安全策略。以此類推,如果所有安全策略都不匹配,則NGFW會(huì)執(zhí)行缺省安全策略的動(dòng)作(默認(rèn)為禁止)
3) 如果流量成功匹配一條安全策略,NGFW將會(huì)執(zhí)行此安全策略的動(dòng)作。如果動(dòng)作為禁止,則NGFW會(huì)阻斷此流量。如果動(dòng)作為允許,則NGFW會(huì)判斷安全策略是否引用了安全配置文件。如果引用了安全配置文件,則繼續(xù)進(jìn)行步驟4的處理;如果沒有引用安全配置文件,則允許此流量通過
4) 如果安全策略的動(dòng)作為“允許”且引用了安全配置文件,則NGFW會(huì)對(duì)流量進(jìn)行內(nèi)容安全的一體化檢測
5) 一體化檢測是指根據(jù)安全配置文件的條件對(duì)流量的內(nèi)容進(jìn)行一次檢測,根據(jù)檢測的結(jié)果執(zhí)行安全配置文件的動(dòng)作。如果其中一個(gè)安全配置文件阻斷此流量,則NGFW阻斷此流量。如果所有的安全配置文件都允許此流量轉(zhuǎn)發(fā),則NGFW允許此流量轉(zhuǎn)發(fā)

安全策略配置

執(zhí)行security-policy命令進(jìn)入安全策略視圖
執(zhí)行rule name rule-name命令創(chuàng)建一個(gè)安全策略并進(jìn)入該策略視圖
action { permit | deny } 配置安全策略執(zhí)行動(dòng)作 必須配置
source-zone { zone-name &<1-6> | any } 指定源安全區(qū)域
source-address {ipv4-address ipv4-mask-length} 指定源地址
destination-zone { zone-name &<1-6> | any } 指定目的安全區(qū)域
destination-address {ipv4-address ipv4-mask-length} 指定目的地址
service { service-name &<1-6> | any } 指定服務(wù)類似
application { any | app app-name &<1-6> | app-group app-group-name &<1-6> | category category-name [ sub-category sub-category-name ] &<1-6 }  配置安全策略規(guī)則的應(yīng)用
user { user-name &<1-6> | any } 配置用戶信息
profile { app-control | av | data-filter | file-block | ips | mail-filter | url-filter } name 配置安全策略規(guī)則引用安全配置文件
在安全視圖下可對(duì)已配置的規(guī)則進(jìn)行調(diào)整:建議在圖形化界面完成
rule copy rule-name new-rule-name 復(fù)制安全策略規(guī)則
rule move rule-name1 { after | before } rule-name2 移動(dòng)安全策略規(guī)則,從而改變安全策略規(guī)則的優(yōu)先級(jí)
rule rename old-name new-name 重新命名安全策略規(guī)則



? 安全策略配置舉例:

[sysname] security-policy 
[sysname-policy-security] rule name policy_sec 
[sysname-policy-security-rule-policy_sec] source-address 1.1.1.1 24 
[sysname-policy-security-rule-policy_sec] source-zone untrust
[sysname-policy-security-rule-policy_sec] destination-address geo-location BeiJing
[sysname-policy-security-rule-policy_sec] service h323
[sysname-policy-security-rule-policy_sec] action permit
[sysname-policy-security-rule-policy_sec] profile av profile_av

匹配條件(各種對(duì)象 )

源目區(qū)域

默認(rèn)4個(gè),可以自定義

firewall zone name  XXX
 set priority  X(不能配置5 50 85 100)

源目地址/地區(qū)/地址組

ip address-set trust_network type object  
 address 0 10.1.1.0 mask 24
 address 1 10.1.2.0 mask 24
 address 2 10.1.3.0 mask 24
 address 3 10.1.4.0 mask 24
#
ip address-set dmz_network type object
 address 0 192.168.1.1 mask 32
 address 1 192.168.1.2 mask 32

ip address-set key type object
 address 0 range 192.168.1.3 192.168.1.13



ip address-set all_network type group
 address 0 address-set dmz_network
 address 1 address-set trust_network

用戶/用戶組

服務(wù)/服務(wù)組

? 預(yù)定義服務(wù)和自定義服務(wù)
1) 預(yù)定義服務(wù)直接被調(diào)用
2) 自定義服務(wù)需要先定義

ip service-set ospf type object ----服務(wù)
 service 0 protocol 89  

ip service-set all_service type group  ----服務(wù)組
 service 0 service-set ftp
 service 1 service-set http
 service 2 service-set https


應(yīng)用/應(yīng)用組

? 自定義應(yīng)用和預(yù)定義應(yīng)用 

application-group name test
  add application Thunder
  add application BT
  add application eDonkey_eMule
  add application KuGoo
  add application PPGou

時(shí)間段

 time-range  上班時(shí)間
  period-range 09:00:00 to 17:00:00 working-day

匹配動(dòng)作

  1. 允許

  2. 禁止

內(nèi)容安全(UTM )

1) 可選:必須動(dòng)作為允許才能配置內(nèi)容安全
2) 如果動(dòng)作是允許,并且配置了內(nèi)容安全的時(shí)候,就要執(zhí)行內(nèi)容安全
3) 如果內(nèi)容安全禁止,那就禁止
4) 包含:反病毒 入侵防御 URL過濾 內(nèi)容過濾 文件過濾 郵件過濾 應(yīng)用行為控制

安全策略配置

? 題目需求:
a) Trust區(qū)域在工作時(shí)間(周一到周五09:00-21:00)禁止訪問untrust區(qū)域的娛樂類應(yīng)用
b) 允許trust區(qū)域訪問untrust區(qū)域的其余流量
c) 允許任意區(qū)域訪問DMZ區(qū)域的http、https、ftp服務(wù)(使用服務(wù)組)


先定義對(duì)象,再調(diào)用

 time-range 上班時(shí)間
  period-range 09:00:00 to 17:00:00 daily

ip service-set all_service type group     
 service 0 service-set ftp
 service 1 service-set http
 service 2 service-set https 

security-policy
 rule name deny_trust_intrrust
  source-zone trust
  destination-zone untrust
  source-address 10.1.1.0 mask 255.255.255.0
  application category Entertainment
  time-range  工作時(shí)間
  action deny

 rule name permit_trust_untrust
  source-zone trust
  destination-zone untrust
  action permit

 rule name permit_any_dmz
  destination-zone dmz
  service all_service
  action permit

查看所有的安全策略

[FW1]display security-policy all 
17:17:54  2019/10/20 
Total:4 
RULE ID RULE NAME                      STATE      ACTION             HITTED            
-------------------------------------------------------------------------------
0       default                        enable     deny              762                
1       deny_trust_intrrust            enable     deny               108                
2       permit_trust_untrust           enable     permit            696                
3       permit_any_dmz                 enable     permit                4                 
-------------------------------------------------------------------------------

注意: 安全策略要有匹配,安全策略的執(zhí)行順序是從上往下,不是按照rule id的從小往大執(zhí)行 匹配條件越多,安全策略越精確

[FW1]display security-policy rule  deny_trust_intrrust   
17:18:29  2019/10/20
  (108 times matched) ---------------一定要匹配項(xiàng)
 rule name deny_trust_intrrust
  source-zone trust
  destination-zone untrust
  source-address 10.1.1.0 mask 255.255.255.0
  application category Entertainment
  time-range 上班時(shí)間
  action deny

檢查:

[FW1]display security-policy all 
20:06:37  2019/03/12 
Total:4 
RULE ID RULE NAME                      STATE      ACTION             HITTED            
-------------------------------------------------------------------------------
0       default                         enable     deny               4123               
3       deny_trust_untrust              enable     deny               33   ----一定要有命中                 
4       permit_trust_any                enable     permit             1453               
5       permit_untrust_dmz              enable     permit             2

注意:安全策略的執(zhí)行是從上往下的(圖形化界面是從上往下 但是命令行這一塊的話 是從下往上進(jìn)行匹配的),當(dāng)匹配其中一個(gè)就會(huì)往下執(zhí)行,如果都不匹配,就匹配默認(rèn)的default(deny any)

本站僅提供存儲(chǔ)服務(wù),所有內(nèi)容均由用戶發(fā)布,如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容,請(qǐng)點(diǎn)擊舉報(bào)。
打開APP,閱讀全文并永久保存 查看更多類似文章
猜你喜歡
類似文章
華為防火墻和飛塔防火墻建立IPSec隧道,使兩地局域網(wǎng)互通
華為下一代USG防火墻 安全策略深入擴(kuò)展(防火墻狠起來自己都限制)
2021下半年網(wǎng)絡(luò)工程師11月下午真題+答案解析
華為防火墻配置命令大全,帶案例,相當(dāng)詳細(xì)的!
Add security group rules--(添加安全組規(guī)則)
安裝openi
更多類似文章 >>
生活服務(wù)
分享 收藏 導(dǎo)長圖 關(guān)注 下載文章
綁定賬號(hào)成功
后續(xù)可登錄賬號(hào)暢享VIP特權(quán)!
如果VIP功能使用有故障,
可點(diǎn)擊這里聯(lián)系客服!

聯(lián)系客服