如何精确匹配条件是配置安全策略的难点,匹配条件设置的过于宽泛,会带来安全风险;匹配条件设置的过于严格,可能会导致报文无法命中策略,影响业务正常运行。强叔在这里为大家介绍一种通用的配置思路:首先配置缺省包过滤的动作为允许通过,对业务进行调测,保证业务正常运行;然后查看会话表,以会话表中记录的信息为匹配条件配置安全策略;最后恢复缺省包过滤的配置,再次对业务进行调测,验证安全策略是否正确。
实例:
PC和Web服务器与防火墙直接相连,PC属于
Trust安全区域,Web服务器属于Untrus区域,要求PC能够正常访问Web服务器。
先配置Trust安全区域到Untrust区域的缺省包过滤,将动作设置为允许。
firewall packet-filter default
permit interzone trust untrust direction outbound
PC可以正常访问Web 服务器
查看会话表
display firewall session table
verbose
13:33:26
2017/06/30
Current Total
Sessions : 1
http
VPN:public --> public
Zone:
trust--> untrust TTL: 00:00:10
Left: 00:00:10
Interface:
GigabitEthernet0/0/0 NextHop: 172.16.1.2
MAC: 54-89-98-50-3b-d4
<--packets:4 bytes:465 -->packets:6
bytes:411
192.168.1.2:2053-->172.16.1.2:80
由此配置如下安全策略
policy interzone trust untrust
outbound
policy
1
action
permit
policy
service service-set http
policy
source 192.168.1.2 0
policy
destination 172.16.1.2 0
将缺省包过滤恢复为拒绝通过
firewall packet-filter default
deny interzone trust untrust direction outbound
PC还可以正常访问Web服务器。
____________________________________________________________________________________________
firewall packet-filter default permit interzone trust local
direction inbound
[FW]display firewall session table
verbose
21:44:09 2017/06/30
Current Total Sessions : 1
telnet VPN:public
--> public
Zone: trust--> local
TTL: 00:10:00 Left:
00:09:54
Interface: InLoopBack0
NextHop: 127.0.0.1 MAC:
00-00-00-00-00-00
<--packets:46 bytes:2885
-->packets:47 bytes:1973
192.168.56.1:50689-->192.168.56.200:23
由此我们可以配置如下安全策略
policy interzone local trust
inbound
policy
1
action
permit
policy
service service-set telnet
policy
source 192.168.56.1 0
policy
destination 192.168.56.200 0
firewall packet-filter default
deny interzone trust local direction inbound
telnet 192.168.56.200 成功
设置super密码
super
password cipher
123456