防护墙安全策略

最新推荐文章于 2024-11-10 15:23:27 发布
最新推荐文章于 2024-11-10 15:23:27 发布
阅读量142 收藏
点赞数
分类专栏: 华为数通 文章标签: 网络 华为
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq2353177176/article/details/134402863
版权
本文详细介绍了防火墙中的安全区域概念,包括Trust、DMZ、Untrust和Local区域的特性和优先级,以及如何配置安全策略,如精确优先匹配和状态检测机制。还提到了ASPF的应用层包过滤功能和server-map表的作用。
摘要由CSDN通过智能技术生成

基本概念

安全区域(security zone):它是一个或多个接口的集合,是防火墙区别于路由器的主要特性。防火墙通过安全区域来划分网络,表示报文流动的“路线”,当报文在不同的安全区域之间流动时,才会触发安全检查。

默认安全区域

Trust区域
网络的受信任程度高;
通常用来定义内部用户所在的网络

优先级默认为85
DMZ区域
网络的受信任程度中等
通常用来定义内部服务器所在的网络

优先级默认为50
Untrust区域
网络受信任程度低
通常用来定义Internet等不安全的网络

优先级默认为5
Local区域
防火墙上提供的local区域,代表防火墙本身
凡是由防火墙主动发出的报文均可认为是从local区域中发出,凡是需要防火墙响应并处理(而不是转发)的报文均可认为由local区接收。

local区域中不能添加任何端口,但防火墙上所有业务接口本身都属于local区域

由于local区域的特殊,在很多需要设备本身进行报文收发的应用中,需要开放对端所在安全区域与local区域之间的安全策略。例如telnet登陆,网页登陆,接入snmp网管等

优先级默认为100

每一个区域都有一个唯一的优先级,用1100的数字表示,数字越大,则代表该区域内的网络越可信

报文在不同区域中流动受到防火墙干涉

安全策略

安全策略是由匹配条件(五元组,用户,时间段等)和动作组成的控制规则,防火墙收到流量后,对流量的属性(五元组,用户,时间段等)进行识别,并将流量的属性与安全策略的匹配条件进行匹配  //五元组:源IP,目的IP,源端口,目的端口,协议  五元组一样的被称为一个数据流  加用户,时间段就是七元组
安全策略的组成

请添加图片描述

安全策略匹配规则

请添加图片描述

精确优先

每条安全策略中包含多个匹配条件,各个匹配条件之间是“与”的关系,报文的属性与各个条件必须全部匹配,才认为该报文匹配这条规则。
一个匹配条件中可以匹配多个值,多个值之间是“或“的关系,报文的属性只要匹配任意一个值,就认为报文的属性匹配了这个条件。

匹配上才会去看动作

实例

//接口加入区域
firewall zone trust
    add interface gigabitethernet 1/0/1   //加入trust区

firewall zone untrust
    add interface gigabitethernet 1/0/2   //加入untrust区

//创建拒绝特殊的3个IP地址访问internet的安全策略规则(先精确)
security-policy
    rule name policy1
    	source-zone trust
    	destination-zone untrust
    	source-address 172.16.1.1 32
    	source-address 172.16.1.2 32
    	source-address 172.16.1.3 32
    	action deny

//再创建允许172.16.1.0/24网段访问internet的安全策略规则(再宽泛)
security-policy
    rule name policy2
    	source-zone trust
    	destination-zone untrust
    	source-address 172.16.1.0 24
    	action permit

//移动安全策略顺序(先在前面的策略优先查询)
security-policy
    rule move policy2 before policy1    //把policy2移动到policy前面

状态检测

我们都知道icmp的ping 报文是有echo request(请求)	和 echo reply(回复)是有发送跟回复的
为什么上面只设置了出的安全策略,回来的安全策略没有设置也能互相访问呢
因为防火墙有状态检测功能

状态检测防火墙使用基于连接状态的检测机制,将通信双方之间交互的属于同一连接的所有报文都作为整个数据流来对待。在状态检测防火墙看来,同一个数据流内的报文不再是孤立的个体,而是存在联系的

状态检测机制开启状态下,只有首包通过设备才能建立会话表项,后续包直接匹配会话表项进行转发

防火墙会将属于同一连接的所有报文作为一个整体的数据流(会话)来对待。会话表是用来记录TCP,UDP,ICMP等协议连接状态的表项,是防火墙转发报文的重要依据

华为防火墙的会话的老化时间为20s

ASPF

ASPF是针对应用层的包过滤

通过检测协商报文的应用层携带的地址和端口信息,自动生成相应的server-map表,当数据通道的首包经过防火墙时,防火墙根据server-map生成一条session,用于放行后续数据通道报文,相当于自动创建了一条精细的“安全策略”。对于特定应用协议的所有连接,每一个连接状态信息都将被ASPF维护并用于动态的决定数据包是否被允许通过防火墙丢弃

server-map表是通过ASPF功能自动生成的精细安全策略,是防火墙上的“隐形通道”
防火基础知识总结
qq_47175413的博客
07-23 1781
防火默认的设计原则一般是没有明确允许的流量默认都会被禁止,这样能够确保防火一旦接入网络就能保护网络的安全。安全策略是由匹配条件(五元组、用户、时间段等)和动作组成的控制规则,防火收到流量后,对流量的属性(五元组、用户、时间段等)进行识别,并将流量的属性与安全策略的匹配条件进行匹配。状态检测防火使用基于连接状态的检测机制,将通信双方之间交互的属于同一连接的所有报文都作为整个数据流来对待。在状态检测防火看来,同一个数据流内的报文不再是孤立的个体,而是存在联系的。,它们之间的通信不受防火的干涉。
华为防火安全区域介绍及配置
热门推荐
lzs
04-25 1万+
安全区域介绍 防火通俗讲是用于控网络之间的隔离,专业讲是用于保护一个安全区域免受另外 一个安全区域的网络***和入击行为。从防火的定义中可以看出防火是基于安 全区域的,其它厂商(Cisco,Juniper 等)都是有这个概念的。 什么是安全区域呢? 安全区域(Security Zone),也称为区域(Zone),是一个逻辑概念,用于管理 防火设备上安全需求相同的多个接口,也就是说它是一个或多个接口的集合。 管理员将安全需求相同的接口进行分类,并划分到不同的安全域,能够实现安全策 略的统一管理。 讲
防火安全策略
个人笔记
10-06 6512
安全区域、安全策略、状态检测、ASPF技术
防火——防火基础知识
m0_49864110的博客
06-01 6764
FW通过状态检测功能来对报文的链路状态进行合法性检查,丢弃链路状态不合法的报文。回来的报文不需要额外的策略(通过会话表控制)状态检测为通过的首包建立会话表,当收到回应的包时会先去匹配会话表,不会再去对后续包一一控制了(即只需要做单向控制)安全策略是FW的核心特性,通过对FW的数据流进行检验,只有符合安全策略的合法流量才可以通过FW进行转发。防火将不同信任度的网络通过安全区域来进行划分,并且大部分的安全策略都是通过安全区域进行实施的。当配置了多条安全策略时,按照排列的顺序进行匹配,顺序越高,优先级越高。
防火安全策略
w17791476027的博客
03-16 3651
防火的首包机制以及在ensp的图形化界面做防火安全策略
华为防火安全策略
weixin_49209272的博客
12-11 9187
1初识安全策略 小伙伴们,我们试想下如果防火把所有流量都拒绝了,内部用户将无法畅游网络,外部合法用户将无法访问内部资源。因此我们需要配置防火的一个特性,让它更好的实现防火的功能,这个特性就是安全策略。平时我们上班乘坐地铁,出差乘坐高铁或飞机,在这三个场所中都会有蓝色的标志“Security Check”,旁边站着一个工作人员“安检员”。他的作用就是检查乘客随身携带的物品是否安全,如安全放行通过,如不安全,拒绝通过。回顾下防火的作用是保护特定的网络免受“不信任”的网络的攻击和入侵,但还要允许网..
防火安全策略
AXDRXS的博客
07-10 1203
我们本次做的实验用到的防火华为的USG6000V1,所有的安全策略,用户认证都在该设备的可视化界面中进行操作,并搭配老伙伴ENSP模拟器,接下来让我们进入实验。
防火安全策略检查表.pdf
11-27
防火安全策略检查表.pdf
等级保护测评-出口防火安全策略检查及加固建议.pdf
06-20
等级保护测评-出口防火安全策略检查及加固建议.pdf等级保护测评-出口防火安全策略检查及加固建议.pdf等级保护测评-出口防火安全策略检查及加固建议.pdf等级保护测评-出口防火安全策略检查及加固建议.pdf等级...
防火安全策略巡检报告.pdf
11-27
防火安全策略巡检报告 防火安全策略巡检报告是信息安全中的重要组成部分,该报告旨在对防火安全策略进行评估和分析,以确保防火安全策略符合信息安全的要求。下面是该报告的详细知识点: 第一章 概述 ...
华为防火安全策略基础
09-16
安全策略基础
等级保护测评-出口防火安全策略检查及加固建议.docx
06-20
等级保护测评-出口防火安全策略检查及加固建议.docx等级保护测评-出口防火安全策略检查及加固建议.docx等级保护测评-出口防火安全策略检查及加固建议.docx等级保护测评-出口防火安全策略检查及加固建议.docx...
华为防火简单介绍
weixin_53049621的博客
04-08 6971
防火防火分类第一代防火:包过滤防火包过滤防火的缺点第二代防火:代理防火第三代防火:状态防火第四代防火:UTM防火第五代防火:下一代防火华为防火介绍安全策略防火的会话表 防火分类 第一代防火:包过滤防火 属于第一代防火技术,在没有专用防火设备时,一般由路由器实现该功能。将网络上传送数据包的IP首部以及 TCP/UDP首部,获取发送源的 IP地址和端口号,以及目的地的IP地址和端口号,并将这些信息作为过滤条件,决定是否将该分组转发至目的地网络分组过滤的执行需要设置访问控制
tcp三次握手和四次挥手
qq_25096749的博客
11-06 645
三次握手与四次挥手
嵌入式学习-网络高级-Day01
Xiaomo1536的博客
11-06 1071
对于读数据以及写单个来说,在主机询问报文里面报文头中字节长度固定,都是0x0006,(1个字节的单元标识符,1个字节功能码,2个字节的地址,2个字节的数据)输入寄存器,这个和保持寄存器类似,但是也是只支持读而不能写。报文头------功能码-------起始地址-------数量--------字节计数--------数据。报文头(字节长度可能发生变化)------功能码------字节计数-------数据。报文头------功能码-------地址-------数据/断通标志(2个字节)
Tcp/Ip协议,tcp相关文章,网络编程,通信协议文章汇总
最新发布
求是
11-10 112
学习时候,有些书籍读了就忘记了。常读常新,特此留下地址。1. tcp/ip 协议卷。2.不为人知的网络编程。
day07|计算机网络重难点之 TCP连接三次握手、四次挥手的过程及原因、TCP 的 Keepalive 和 HTTP 的 Keep-Alive的区别
2402_84438596的博客
11-07 971
day07|计算机网络重难点之 TCP连接三次握手、四次挥手的过程及原因、TCP 的 Keepalive 和 HTTP 的 Keep-Alive的区别
ensp配置防火安全策略
03-26
在ensp中配置防火安全策略可以帮助保护网络的安全,防止未经授权的访问和攻击。 在ensp中配置防火安全策略的步骤如下: 1. 登录ensp,并选择需要配置防火的设备。 2. 进入设备的配置界面,找到防火相关的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

datacom_chen

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值