什么是安全策略
fw的基本作用就是对进出网络的访问行为进行控制,保护特定网络不受不信任网络的攻击,但同时还需要允许两个网络之间可以进行合法通信。
安全策略是fw的核心特性,作用是对通过fw的数据流进行检验,只有符合安全策略的合法流量才能通过fw进行转发。fw实现访问控制就是通过安全策略技术来实现的。
安全策略由匹配条件(五元组、用户、时间段等)和动作组成的控制规则,fw收到流量后,对流量的属性(五元组、用户、时间段等)进行识别,并将流量的属性与安全策略的匹配条件进行匹配,如果所有条件都匹配,则此流量成功匹配安全策略,流量匹配安全策略后,设备将会执行安全策略的动作。
- 如果动作为“允许”,则对流量进行如下处理:
- 如果没有配置内容安全检测,则允许流量通过。
- 如果配置内容安全检测,最终根据内容安全检测的结论来判断是否对流量进行放行。
-
如果动作为“禁止”,则禁止流量通过。
只有首包流程会做安全策略,后续包流程不做安全策略过滤。而是根据会话表进行状态检测。转发效率高。
缺省情况下,安全策略仅对单播报文进行控制,对广播和组播报文不做控制,直接转发。
安全策略匹配流程
流量通过防火墙时,安全策略处理流程如下:
对收到的流量进行检测,检测出流量的属性,包括:源目安全区域、源目IP地址/地区、用户、服务(源目端口、协议类型)、应用、时间段。
防护墙将流量的属性与安全策略的条件进行匹配,如果所有条件都匹配,则此流量成功匹配安全策略。如果其中一个条件不匹配,则该安全策略匹配失败,顺序匹配下一条安全策略。如果所有安全策略都不匹配,则匹配到底层缺省的安全策略,执行其动作deny。(也可以将其修改为perimit,此时防火墙安全策略形同虚设,该功能主要在调试阶段使用)匹配顺序是按照策略列表顺序匹配,而不是按照rule id。
如果流量成功匹配到一条安全策略,防火墙将会执行此安全策略的动作,不再执行下一个策略的匹配。
如果动作为禁止,则防火墙阻断该流量。反之执行下一步动作(