IT之道-艾锑知道

您当前位置: 主页 > IT服务 > 网络服务 >

网络运维|防火墙安全策略


2020-05-25 20:44 作者:艾锑无限 浏览量:

大家好,我是一枚从事IT外包网络安全运维工程师,今天和大家分享的是网络安全设备维护相关的内容,想要学习防火墙必须要知道安全策略是什么。简单网络安全运维,从防火墙学起,一步一步学成网络安全运维大神。

1  安全策略

安全策略主要控制域间或者域内报文转发,在进行其他策略检查之前都会先进行安全策略的检查,所以策略功能是否配置正确,将影响设备大部分功能的使用。

1.1  安全策略简介

安全策略包括对域间、域内流量的安全控制。

安全策略分为以下大类:

· 域间或域内安全策略:用于控制域间或域内的流量,此时的安全策略既有传统包过滤功能,也有对流量进行IPS、AV、应用控制等进一步的应用层检测的作用。域间或域内安全策略是包过滤、UTM应用层检测等多种安全检查同时实施的一体化策略。

· 应用在接口上的包过滤规则:用于控制接口的流量,就是传统的包过滤功能,基于IP报文属性直接允许或拒绝报文通过。

各种安全策略的适用对象和应用范围不同,如表7-1所示。

  各种安全策略的适用场合



 

 

域间安全策略

域间安全策略控制域间数据流动,根据适用场景分为两类:

· 转发策略:控制设备转发的流量,包括传统的包过滤和UTM应用层检测。

· 本地策略:控制访问设备本身的流量,只根据五元组进行控制。

域间安全策略的基本处理过程如图7-1所示。

图7-1  域间安全策略示意图 





 
域间还提供缺省包过滤,指定报文没有匹配到任何安全策略时的控制动作。设备将首先查找域间的Policy,如果没有找到匹配项将匹配缺省包过滤进行处理。对报文的处理流程如表7-2所示。

表7-2  域间安全策略匹配过程



 

 

域内安全策略

缺省情况下域内允许任何流量通过,如果需要对域内流量进行控制可以通过域内安全策略实现。

域内安全策略与域间安全策略类似,区别就是域内安全策略没有Inbound和Outbound方向的区分。

域内安全策略不支持对Local域内流量的控制。

端口策略

USG的端口策略用于对没有加入安全区域的接口收发的IP报文进行控制。

在端口策略中,主要通过基本ACL或高级ACL来对流量进行选择,然后在接口上应用ACL。之后该接口接收或发送的报文中,如果在ACL中对应动作为permit,将允许被转发;如果对应动作为deny,将被丢弃。
 
以上文章由北京艾锑无限科技发展有限公司整理

相关文章

IT外包服务
二维码 关闭