防火墙安全策略配置

已于 2022-03-07 11:35:26 修改
阅读量1.3w 收藏 66
点赞数 6
分类专栏: Cyber Security
于 2022-02-28 21:36:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51776588/article/details/123156579
版权

安全策略原理

防火墙的基本作用是保护特定网络免受“不信任”网络的攻击,同时还必须允许两个网络之间可以进行合法的通信。
安全策略是控制设备对流量转发以及对流量进行内容安全一体化检测的策略。
安全策略的作用就是对通过防火墙的数据流进行检验,符合安全策略的合法数据流才能通过防火墙。

防火墙安全区域

安全区域(Security Zone),或者简称为区域(Zone)。
Zone是本地逻辑安全区域的概念。
Zone是一个或多个接口所连接的网络。

Zone的作用:

  • 安全策略都基于安全区域实施;
  • 在同一安全区域内部发生的数据流动是不存在安全风险的,不需要实施任何安全策略;
  • 只有当不同安全区域之间发生数据流动时,才会触发设备的安全检查,并实施相应的安全策略;
  • 在防火墙中,同一个接口所连网络的所有网络设备一定位于同一安全区域中,而一个安全区域可以包含多个接口所连的网络。

默认四种:

受信区域Trust——信任值85
非受信区域Untrust——5
非军事化区域Dmz——50
本地区域Local——100

防火墙安全策略工作流程

在这里插入图片描述流量通过NGFW时,安全策略的处理流程如下:
1.NGFW会对收到的流量进行检测,检测出流量的属性,包括:源安全区域、目的安全区域、源地址地区、目的地址地区、用户、服务(源端口、目的端口、协议类型)、应用和时间段。
2.NGFW将流量的属性与安全策略的条件进行匹配。如果所有条件都匹配,则此流量成功匹配安全策略。如果其中有一个条件不匹配,则继续匹配下一条安全策略。以此类推,如果所有安全策略都不匹配,则NGFW会执行缺省安全策略的动作(默认为“禁止”)。
3.如果流量成功匹配一条安全策略,NGFW将会执行此安全策略的动作。如果动作为“禁止”,则NGFW会阻断此流量。如果动作为“允许”,则NGFW会判断安全策略是否引用了安全配置文件。如果引用了安全配置文件,则继续进行下一步处理;如果没有引用安全配置文件,则允许此流量通过。
4.如果安全策略的动作为“允许”且引用了安全配置文件,则NGFW会对流量进行内容安全一体化检测。一体化检测是指根据安全配置文件的条件对流量的内容进行一次检测,根据检测的结果执行安全配置文件的动作。如果其中一个安全配置文件阻断此流量,则NGFW阻断此流量。如果所有的安全配置文件都允许此流量转发,则NGFW允许此流量转发。

防火墙安全策略配置

安全策略配置思路:
1.管理员首先应明确需要划分哪几个安全区域,接口如何连接,分别加入哪些安全区域。
2.管理员可选择根据“源地址”或“用户”来区分企业员工。
3.先确定每个用户组的权限,然后再确定特殊用户的权限。包括用户所处的源安全区域和地址,用户需要访问的目的安全区域和地址,用户能够使用哪些服务和应用,用户的网络访问权限在哪些时间段生效等。如果想允许某种网络访问,则配置安全策略的动作为“允许”;如果想禁止某种网络访问,则配置安全策略的动作为“禁止”。
4.确定对哪些通过防火墙的流量进行内容安全检测,进行哪些内容安全检测。
5.将以上步骤规划出的安全策略的参数一一列出,并将所有安全策略按照先精确(条件细化的、特殊的策略)再宽泛(条件为大范围的策略)的顺序排序。在配置安全策略时需要按照此顺序进行配置。

实验

命令行方式
在这里插入图片描述
1)各接口IP地址配置
各接口需开启网管功能,后续才能进行ping通测试!
在这里插入图片描述
2)安全区域划分
在这里插入图片描述
3)安全策略配置
在这里插入图片描述
4)按照实验要求进行ping测试即可。

_Persisting
关注
  • 6
    点赞
  • 66
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防火墙安全策略配置详解
悦分享
01-07 982
1. 华为USG防火墙功能简介华为USG系列防火墙优化了策略的管理,即使是一名新的管理人员也可以轻松对策略进行调整,快速完成部署。同时,策略管理可以自动找出重复以及无用的策略,管理人员可以对其进行删除或调整。下图为系统预置安全策略模板以及系统预置应用类别和风险组:华为USG系列防火墙能够提供全面的威胁防护,主要包括入侵检测、反病毒、识别伪装、文件过滤、URL过滤、内容过滤、Qos优化、SSL加密等。下图为华为USG系列防火墙集成了企业所需要的各种防护功能以及FORRESTER最新报告。
天融信防火墙策略配置方法
06-15
天融信防火墙策略配置方法 cisco设备: 1.创建ACL规则 ip access-list extended 445 deny tcp any any eq 445 deny tcp any any eq 135 deny tcp any any eq 137 deny tcp any any eq 138 deny tcp any any eq 139 deny udp any any eq 445 deny udp any any eq 135 deny udp any any eq 137 deny udp any any eq 138 deny udp any any eq 139 permit ip any any 2.在所有接口上应用此策略 inter fe 0/0 ip access-group 445 out 华为设备: 1.创建ACL规则 acl number 3000 rule 5 deny tcp destination-port range 135 139 rule 10 deny tcp destination-port eq 445 rule 15 deny udp destination-port range 135 netbios-ssn rule 20 deny udp destination-port eq 445 rule 25 permit ip 2.在所有接口上应用此策略 inter gi 0/0/0 traffic-filter inbound acl 3000 traffic-filter outbound acl 3000 H3C设备: 1.创建ACL规则 acl number 3000 rule 5 deny tcp destination-port range 135 139 rule 10 deny tcp destination-port eq 445 rule 15 deny udp destination-port range 135 netbios-ssn rule 20 deny udp destination-port eq 445 rule 25 permit ip 2.在所有接口上应用此策略 (接口根据实际情况更改) inter gi 0/0/0 packet-filter inbound link-group 3000 packet-filter outbound link-group 3000 永恒之蓝蠕虫可以通过互联网和局域网广泛传播,因此安全防护要在电脑和服务器端都进行加固 1.打补丁 2.关闭445端口(附脚本.bat文件) 3.防火墙和其他网络设备禁用445 135-139端口,防止网内病毒传播
H3C NGFW防火墙——从域间策略安全策略
01-08
H3C NGFW防火墙——从域间策略安全策略,非常好的华三防火墙安全配置视频,网上很少有
Linux安全防火墙(iptables)配置策略
qq_53058639的博客
06-01 1133
这条规则将禁止192.168.1.0/24网段的访问,丢弃源地址的流量。可以使用类似的命令来添加更多规则到自定义链中,根据需求进行配置。如果想要删除自定义链,确保满足以下条件:自定义链没有被任何默认链引用,即自定义链的引用计数为0。自定义链中没有任何规则,即自定义链为空。可以使用-x示例自定义链使用自定义链添加:iptables -N custom(链名) 创建链自定义链改名:iptables -E custom(原来名称) ky29(新名称) 自定义链改名。
如何配置防火墙?看这篇就够了
wuli1024的博客
11-27 1万+
例如,一个企业按图 1-3 划分防火墙的安全区域,内网接口加入 trust 安全区域,外网接口加入 untrust 安全区域,服务器区接口加入 dmz 安全区域,另外为访客区自定义名称为 guest 的安全区域。反之如果防火墙主动访问其他安全区域的对象,例如防火墙向日志服务器上报日志、防火墙连接安全中心升级特征库等,需要配置 local 到其他安全区域的安全策略。另外除了物理接口,防火墙还支持逻辑接口,如子接口、VLANIF、Tunnel 接口等,这些逻辑接口在使用时也需要加入安全区域。
防火墙配置策略
m0_73792056的博客
11-09 199
对进出网络或者主机的数据包基于一定的规则的检查,而且在匹配到某规则时,又规则的定义做出相应的处理动作。row表:控制数据包的状态跟踪,可以决定是都跳过后续的处理(关闭还是启用数据包的跟踪机制,加快数据包穿越防火墙的速度)filter表:是iptables的默认表,用于过滤数据包,可以控制数据包的进出,已经时候接受或者拒绝数据包。-I(大写i):在指定链中插入一条新的规则,根据编号来进行插入,不指定序号,直接插入当前链中的第一条(不推荐)iptables的配置规则生效之后,立即生效,无需重启。
华三防火墙安全策略配置
weixin_46322576的博客
02-07 1万+
1.组网需求 ⑴ leadership和staff之间通过FW1实现互连,该公司的工作时间为每周工作日的8点到18点。 ⑵ 通过配置安全策略规则,允许leadership在任意时间、staff在工作时间访问外网。 2. 组网图 3. 配置步骤 (1) 配置接口IP地址、路由保证网络可达。 [FW1]int g1/0/2 [FW1-GigabitEthernet1/0/2]nat outbound [FW1-GigabitEthernet1/0/2]ip addre...
ensp——防火墙安全策略配置实验
ChenD的学习笔记
11-08 1万+
ensp——防火墙配置初体验
ensp练习:防火墙安全策略配置
热门推荐
zaqzaqzaqzzz的博客
09-26 4万+
一、实验目的: 1、 了解华为防火墙安全策略。 2、 掌握华为防火墙安全策略配置。 二、实验仪器: 计算机、华为ensp模拟器、华为防火墙 三、实验内容: 根据网络拓扑图如上(交换机不需要配置),在防火墙配置安全策略,要求: (1) 192.168.0.0/24网段可以访问server1。 (2) pc2不能访问server1。 (3) 192.168.1.0/24网段不可以ping通serv...
防火墙安全策略配置.doc
12-01
防火墙安全策略配置.doc
华为防火墙安全策略管理与配置的原则
09-16
安全策略管理与配置的原则
防火墙安全策略检查表.pdf
11-27
防火墙安全策略检查表.pdf
qt练习控件label控件-lineEdit控件样例代码
最新发布
07-30
qt练习控件label控件-lineEdit控件样例代码
【JCR一区级】麻雀搜索算法SSA-CNN-LSTM-Attention故障诊断分类预测【含源码 5689期】.zip
07-30
CSDN海神之光上传的全部代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:Main .m; 数据; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除Main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法-CNN-LSTM-Attention分类系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO-CNN-LSTM-Attention分类 4.4.2 粒子群算法PSO/蛙跳算法SFLA-CNN-LSTM-Attention分类 4.4.3 灰狼算法GWO/狼群算法WPA-CNN-LSTM-Attention分类 4.4.4 鲸鱼算法WOA/麻雀算法SSA-CNN-LSTM-Attention分类 4.4.5 萤火虫算法FA/差分算法DE-CNN-LSTM-Attention分类
详解MATLAB Simulink通信系统建模与仿真
07-30
第1 章 MATLAB 基础与通信系统仿真 1.1 MATLAB 简介 1.2 MATLAB 程序设计 1.3 通信系统仿真 第2 章 Simulink 仿真基础 2.1 Simulink 简介 2.2 Simulink 工作环境 2.3 Simulink 仿真的基本方法 2.4 创建自己的模块库 2.5 S-函数的编写 第3 章 通信信号与系统分析 3.1 离散信号和系统 3.2 Fourier 分析 3.3 带通信号的低通等效 3.4 随机信号分析 第4 章 信道 4.1 加性高斯白噪声信道 4.2 多径衰落信道 第5 章 模拟调制 5.1 幅度调制 5.2 角度调制 第6 章 数字基带传输 6.1 概述 6.2 二进制基带信号传输 6.3 基带PAM 信号传输 6.4 带限信道的信号传输 第7 章 数字信号载波传输 7.1 概述 7.2 载波幅度调制(PAM) 7.3 载波相位调制(PSK) 7.4 正交幅度调制(QAM) 7.5 载波频率调制(FSK) 第8 章 信道编码和交织 8.1 概述 8.2 线性分组码
SCI一区】淘金算法GRO-CNN-BiLSTM-Mutilhead-Attention多变量时序预测含源码 5642.zip
07-30
CSDN海神之光上传的全部代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:Main .m; 数据; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除Main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法-CNN-BiLSTM-Mutilhead-Attention回归预测系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO-CNN-BiLSTM-Mutilhead-Attention回归预测 4.4.2 粒子群算法PSO/蛙跳算法SFLA-CNN-BiLSTM-Mutilhead-Attention回归预测 4.4.3 灰狼算法GWO/狼群算法WPA-CNN-BiLSTM-Mutilhead-Attention回归预测 4.4.4 鲸鱼算法WOA/麻雀算法SSA-CNN-BiLSTM-Mutilhead-Attention回归预测 4.4.5 萤火虫算法FA/差分算法DE-CNN-BiLSTM-Mutilhead-Attention回归预测
2020年首届“洪泽湖杯”中国人工智能掼蛋算法大赛第8名我就是掼蛋.zip
07-30
毕业设计是高等教育阶段学生完成学业的一个重要环节,通常在学士或硕士学业即将结束时进行。这是学生将在整个学业中所学知识和技能应用到实际问题上的机会,旨在检验学生是否能够独立思考、解决问题,并展示其专业能力的一项综合性任务。 毕业设计的主要特点包括: 独立性: 毕业设计要求学生具备独立思考和解决问题的能力。学生需要选择一个合适的课题,研究相关文献,进行实地调查或实验,并提出独立见解。 实践性: 毕业设计是将理论知识应用到实际问题中的一次实践。通过完成毕业设计,学生能够将所学的专业知识转化为实际的解决方案,加深对专业领域的理解。 综合性: 毕业设计往往要求学生运用多个学科的知识,综合各种技能。这有助于培养学生的综合素养,提高他们的综合能力。 导师指导: 学生在毕业设计过程中通常由一名指导老师或导师团队提供指导和支持。导师负责引导学生确定研究方向、制定计划、提供建议,并在整个过程中监督进展。 学术规范: 毕业设计要求学生按照学术规范完成研究,包括文献综述、研究设计、数据采集与分析、结论和讨论等环节。学生需要撰写一篇完整的毕业论文,并进行答辩。
ensp防火墙配置安全策略
11-02
ensp防火墙可以通过配置安全策略来控制网络流量,保障网络安全。下面是ensp防火墙配置安全策略的步骤: 1. 配置接口IP地址:在ensp中,首先需要为各个接口配置IP地址,以便后续配置安全策略。可以通过以下命令为接口配置IP地址: ``` interface GigabitEthernet 0/0/1 ip address 192.168.1.1 24 ``` 2. 配置安全区域:ensp防火墙将网络划分为不同的安全区域,以便对不同的网络流量进行控制。可以通过以下命令配置安全区域: ``` security-zone trust security-zone untrust ``` 3. 配置安全策略:ensp防火墙可以通过配置安全策略来控制网络流量。可以通过以下命令配置安全策略: ``` security-policy from trust to untrust policy1 policy1 permit security-policy from trust to untrust policy2 policy2 deny source 192.168.1.2 destination 192.168.2.2 security-policy from untrust to trust policy3 policy3 permit source 192.168.1.2 destination 192.168.2.2 ``` 上述命令中,policy1允许从trust区域到untrust区域的所有流量,policy2禁止源IP地址为192.168.1.2的主机访问目的IP地址为192.168.2.2的主机,policy3允许源IP地址为192.168.1.2的主机访问目的IP地址为192.168.2.2的主机。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值