安全策略原理
- 防火墙的作用是为了保护网络不受攻击,同时还需要允许网络之间的合法通信。
- 安全策略是控制设备对流量转发以及对流量进行内容完全一体化检测的策略。
- 安全策略的作用是管理员定义一系列规则,当流量通过防火墙时对其进行检测,符合此安全策略的合法数据流才能通过防火墙。
防火墙的安全区域
zone是本地逻辑安全区域的概念。
zone是一个或多个接口所连接的网络。
安全区域的作用
- 防火墙可以指定从某一个接口来的流量所属的安全区域,同一个接口所连网络的所有设备都属于同一个区域,而一个安全区域可以包含多个接口所连的网络
- 安全策略基于安全区域实施
- 当不同安全区域之间转发流量时,出发设备的安全检查,并实施相应的安全策略
安全区域的分类
- trust区域 信任值85
- untrust区域 信任值5
- DMZ区域 信任值50
- Local区域 信任值100
信任值:可以看作是给这个区域的权限值,你有多少信任值那么就会给你对应的权限,比如:icmp、http等
local:设备所有接口都属于local区域,你不能配置其他接口到local区域,也就是说local区域实际上是设备本身的接口IP地址
DMZ:多用于服务器区域
安全策略的组成
- 策略匹配条件
- 源安全域,目的安全域,源地址,目的地址,用户,服务,应用,时间段。
- 策略动作:
- 允许,禁止。
- 内容安全profile:(可选,策略动作允许的时候执行)
- 反病毒、入侵防御,URL过滤,文件过滤,内容过滤,应用行为控制,邮件过滤。
- 反病毒、入侵防御,URL过滤,文件过滤,内容过滤,应用行为控制,邮件过滤。
安全策略的工作流程
当流量经过防火墙时,处理流程如下:
1.防火墙会对收到的流量进行分析,提取出对应的属性,包括:源安全区域、目的安全区域、源地址地区、目的地址地区、用户、服务(源端口、目的端口、协议类型)、应用和时间段
2.防火墙会把提出的属性与安全策略的条件进行匹配。安全策略中配置的条件是与的关系,所有条件都匹配的情况下才会执行对应的动作,如果有一条条件不匹配,则会继续匹配下一条安全策略。如果所有的安全策略都不匹配,防火墙会执行缺省的安全策略动作默认为deny
3.如果流量成功匹配到一条安全策略,防火墙将会执行安全策略匹配的动作。如果动作为禁止,那么防火墙会阻止流量的通过。如果动作为允许,防火墙会判断该安全策略是否引用了安全配置文件。如果引用了安全配置文件,则继续进行下一步处理;如果没有引用安全配置文件,则允许此流量通过。
4.如果安全策略引用了安全配置文件,防火墙则会对匹配的流量进行内容安全一体化检测。一体化检测是指根据安全配置文件的条件对流量的内容进行一次检测,根据检测的结果执行安全配置文件的动作。如果其中一个安全配置文件阻断此流量,那么防火墙会阻止此流量通过。如果所有的安全配置文件都允许此流量转发,则防火墙允许此流量通过。
安全策略配置思路
- 需要明确网络中有多少个区域,接口分别加入哪些安全区域
- 管理员可以根据源地址或用户来区分流量
- 先确定每个用户组的权限,然后再确定特殊用户的权限。包括用户所处的源安全区域和地址,用户需要访问的目的安全区域和地址,用户能够使用哪些服务和应用,用户的网络访问权限在哪些时间段生效等。如果想允许某种网络访问,则配置安全策略的动作为“允许”;如果想禁止某种网络访问,则配置安全策略的动作为“禁止”。
- 选择是否要进行内容安全检测,如果要检测需确定哪些内容需要检测,进行什么检测
- 需要对在防火墙上做的所有安全策略进行合理排序,按照先精确再宽泛的顺序排序。默认的安全策略是deny all,它会在所有的安全策略都未匹配到的情况下执行。