一. 域间策略概述
如图1-1所示,域间策略是一种基于安全域实现对报文流的检查,并根 据检查结果对报文实行相应动作的域间策略。一个安全域中,可以包 含多个成员。例如,可以将公司安全防护设备上连接到内网的接口作 为成员加入安全域 Trust,连接 Internet 的接口作为成员加入安全域 Untrust,这样管理员只需要部署这两个安全域之间的域间策略即可。 如果后续网络环境发生了变化,则只需要调整相关安全域内的接口, 而域间策略不需要修改。
二. 域间策略分类
域间策略包括:包过滤、ASPF、对象策略和安全策略。管理员可以根据不同的应用场景,选择不同的域间策略对报文进行转发控制。其中包过滤、ASPF 和对象策略是基于安全域间实例进行配置,安全策略是基于全局进行配置。
1. 包过滤
包过滤功能是根据报文的五元组(源IP地址、目的IP地址、源端口、目的端口、传输层协议)实现对报文在不同安全域之间的转发进行控制。举例如下:
如图1-2所示,若希望只允许市场部员工可以访问Internet网页,而财务部的员工不可以访问Internet网页,则需要在边界设备的 Trust 和 Untrust 安全域之间的两个方向上均应用包过滤策略。策略中需要配置两条规则 rule-1 和 rule-2,保证市场部的员工可以访问 Internet 网页。默认策略可以禁止财务部员工访问 Internet 网页。