防火墙策略

最新推荐文章于 2024-05-23 10:12:08 发布
最新推荐文章于 2024-05-23 10:12:08 发布
阅读量6k 收藏 30
点赞数 3
分类专栏: HCIE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_59280309/article/details/123960896
版权

定义与原理:

防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以 进行合法的通信。 安全策略是控制设备对流量转发以及对流量进行内容安全一体化检测的策略,作用就是对通过防火墙的 数据流进行检验,符合安全策略的合法数据流才能通过防火墙。

安全策略的内容

安全策略主要包含下列配置内容:

策略匹配条件:源安全域,目的安全域,源地址,目的地址,用户,服务,应 用,时间段。

策略动作:允许,禁止。

内容安全profile:(可选,策略动作为允许的时候执行)反病毒,入侵防御,URL过滤,文件过 滤,内容过滤,应用行为控制,邮件过滤。 

安全策略工作流程 :

 安全策略配置:


执行security-policy命令进入安全策略视图。
执行rule name rule-name命令创建一个安全策略并进入该策略视图。
action {permit | deny}配置安全策略执行动作。
source-zone {zone-name &<1-6> | any}指定源安全区域。
source-address {ipv4-address ipv4-mask-length}指定源地址。
destination-zone {zone-name &<1-6> | any}指定目的安全区域。
destination-address {ipv4-address ipv4-mask-length} 指定目的地址。
service {service-name &<1-6> | any} 指定服务类型。
application { any | app app-name &<1-6> | app-group app-group-name &<1-6> |
category category-name [ sub-category sub-category-name ] &<1-6 } 配置安全策略规则
的应用。
user {user-name &<1-6> | any} 配置用户信息。
profile { app-control | av | data-filter | file-block | ips | mail-filter | urlfilter } name 配置安全策略规则引用安全配置文件。

[sysname]security-policy
[sysname-policy-security]rule name policy_sec
[sysname-policy-security-rule-policy_sec]source-address 1.1.1.1 24
[sysname-policy-security-rule-policy_sec]source-zone untrust
[sysname-policy-security-rule-policy_sec]destination-address geo-location
BeiJing
[sysname-policy-security-rule-policy_sec]service h323
[sysname-policy-security-rule-policy_sec]action permit
[sysname-policy-security-rule-policy_sec]profile av profile_av

防火墙的会话表

域间转发

“状态检测”机制以流量为单位来对报文进行检测和转发,即对一条流量的第一个报文进行包过滤规则检 查,并将判断结果作为该条流量的“状态”记录下来。对于该流量的后续报文都直接根据这个“状态”来判断 是转发还是丢弃,而不会再次检查报文的数据内容。这个“状态”就是我们平常所述的会话表项。这种机 制迅速提升了防火墙产品的检测速率和转发效率,已经成为目前主流的包过滤机制。

其中TCP协议的数据报文,一般情况下在三次握手阶段除了基于五元组外,还会计算及检查其它字段。 三次握手建立成功后,就通过会话表中的五元组对设备收到后续报文进行匹配检测,以确定是否允许此 报文通过。

 

查询和创建会话

 状态检测机制

状态检测机制开启状态下,只有首包通过设备才能建立会话表项,后续包直接匹配会话表项进行转 发。

状态检测机制关闭状态下,即使首包没有经过防火墙,后续包只要通过防火墙也可以生成会话表 项。

 

对于TCP报文

        开启状态检测机制时,首包(SYN报文)建立会话表项。对除SYN报文外的其他报文,如果没有对应会话表项(设备没有收到SYN报文或者会话表项已老化),则予以丢弃,也不会建立会 话表项。

        关闭状态检测机制时,任何格式的报文在没有对应会话表项的情况下,只要通过各项安全机制的检查,都可以为其建立会话表项。

对于UDP报文

        UDP是基于无连接的通信,任何UDP格式的报文在没有对应会话表项的情况下,只要通过各 项安全机制的检查,都可以为其建立会话表项。

对于ICMP报文

        开启状态检测机制时,没有对应会话的ICMP应答报文将被丢弃。

        关闭状态检测机制时,没有对应会话的应答报文以首包形式处理。

会话表项

会话是状态检测防火墙的基础,每一个通过防火墙的数据流都会在防火墙上建立一个会话表项,以五元 组(源/目的IP地址、源/目的端口、协议号)为Key值,通过建立动态的会话表提供域间转发数据流更高 的安全性。 

<USG> display firewall session table verbose
Current total sessions: 1
icmp VPN: public --> public
Zone: trust --> untrust Slot: 8 CPU: 0 TTL: 00:00:20 Left: 00:00:19
Interface: GigabitEthernet6/0/0 Nexthop: 107.255.255.10
<--packets: 134 bytes: 8040 -->packets: 134 bytes: 8040 107.229.15.100:1280 -->
107.228.10.100:2048

会话表与状态检测

状态检测防火墙使用基于连接状态的检测机制,将通信双方之间交互的属于同一连接的所有报文都作为 整体的数据流来对待。当防火墙安全策略允许报文通过时,将会建立如下的会话表

[USG] display firewall session table verbose
Current total sessions: 1
http VPN:public --> public
Zone: local--> trust Remote TTL: 00:00:20 Left: 00:00:08
Output-interface: GigabitEthernet0/0/2 Nexthop: 10.1.1.1 MAC: 00-e0-4c-88-3a-32
<-- packets:0 bytes:0 --> packets:8 bytes:340
10.1.1.1:43981-->10.1.1.10:43981

传统包过滤防火墙中,为了使由内网PC主动访问外网资源的回应报文也顺利通过防火墙,还需要再 配置一条反向规则。当使用状态检测防火墙时,报文成功被防火墙转发后,设备会生成一个五元组的会话表。让我们来了解一下会话表中包含了哪些内容。

在一个完整的会话表中,如果使用了verbose参数,将会看到更完整的信息:

        Zone:表示报文在安全区域之间流动的方向,图中的信息表示报文是从Trust区域流向 Untrust区域。

        TTL:表示该条会话的老化时间,这个时间到期后,这条会话也将会被清除。Left:表示该条 会话剩余的生存时间。

        Output-interface:表示报文的出接口,报文从这个接口发出。

        Nexthop:表示报文去往的下一跳的IP地址,本网络拓扑中是Web服务器的IP地址。

        MAC:表示报文去往的下一跳的MAC地址,本网络拓扑中是Web服务器的MAC地址。

        <--packets:6 bytes:390:表示会话反方向上的报文统计信息,即Web服务器向PC发送报文的 个数和字节数。

         -->packets:8 bytes:340:表示会话正方向上的报文统计信息,即PC向Web服务器发送报文的 个数和字节数。

当遇到来回路径不一致的组网时,由于首包没有经过防火墙因而没有创建会话表,则回应的报文经过防 火墙时又找不到会话表,防火墙将丢弃后续报文导致通信中断。

[USG] display firewall session table verbose
Current total sessions: 1
http VPN:public --> public
Zone: local--> trust Remote TTL: 00:00:20 Left: 00:00:08
Output-interface: GigabitEthernet0/0/2 Nexthop: 10.1.1.1 MAC: 00-e0-4c-88-3a-32
<-- packets:0 bytes:0 --> packets:8 bytes:340
10.1.1.1:43981-->10.1.1.10:43981

        由于目前的TCP/IP网络主要进行的是逐包转发,事先并不协商实际的物理链路,所以有可能存在一 次通信过程中,部分报文由一个设备转发,另外一部分报文由另一设备转发的情况。例如上图所示 中由内网主动向外建立的连接不需要经过防火墙进行安全检测,但从外网流入内网的数据报文需要 防火墙进行安全检测,因此在同一数据通信中,出现了来回路径不一致的情况。在来回路径不一致 的组网中,设备可能不能接收到一条流量的来回所有报文。这种组网下,就必须关闭状态检测功 能,否则可能由于首包不通过设备,导致会话表不能正常建立。

        从上面的会话表来看,"<--"方向的统计信息为0,只有“<--”方向存在统计信息,这就说明只有外部网络到内部网络的报文经过了防火墙。由此我们得出结论,关闭状态检测功能后,防火墙收到独立 报文后也会建立会话,内外网之间的通信不会中断。在报文来回路径不一致的网络环境中,我们在 防火墙上关闭状态检测功能后,会话中的一个方向上的报文统计信息是0,此时双方的通信也是正 常的,这就是我们上面所说的特殊的网络环境。可见在实际的网络环境中,我们还是要具体情况具 体分析。

会话在转发流程中的位置 

 

 

 

 

戲子 鬧京城°ぃ
关注
  • 3
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
防火墙基础
qq_43710889的博客
03-14 2853
防火墙概述 防火墙特征 逻辑区域过滤器 隐藏内网网络结构 自身安全保障 主动防御攻击 现代的防火墙体系不应该只是-一个“入口的屏障”,防火墙应该是几个网络的接入控制点,所有进出被防火墙保护的网络的数据流都应该首先经过防火墙,形成一个信息进出的关口,因此防火墙不但可以保护内部网络在Internet中的安全,同时可以保护若干主机在一个内部网络中的安全。在每一个被防火墙分割的网络内部中,所有的计算机之间是被认为“可信任的”,它们之间的通信不受防火墙的干涉。而在各个被防火墙分割的网络之间,必须按照防火墙规定的“
mac 防火墙禁止程序联网_如何允许应用程序通过Mac的防火墙进行通信
cum43546的博客
09-24 5138
mac 防火墙禁止程序联网If you use a Mac, chances are you might not even realize that OS X comes with a firewall. This firewall helps ensure unauthorized app and services can’t contact your computer, and prevent...
天融信防火墙策略配置方法
06-15
天融信防火墙策略配置方法 cisco设备: 1.创建ACL规则 ip access-list extended 445 deny tcp any any eq 445 deny tcp any any eq 135 deny tcp any any eq 137 deny tcp any any eq 138 deny tcp any any eq 139 deny udp any any eq 445 deny udp any any eq 135 deny udp any any eq 137 deny udp any any eq 138 deny udp any any eq 139 permit ip any any 2.在所有接口上应用此策略 inter fe 0/0 ip access-group 445 out 华为设备: 1.创建ACL规则 acl number 3000 rule 5 deny tcp destination-port range 135 139 rule 10 deny tcp destination-port eq 445 rule 15 deny udp destination-port range 135 netbios-ssn rule 20 deny udp destination-port eq 445 rule 25 permit ip 2.在所有接口上应用此策略 inter gi 0/0/0 traffic-filter inbound acl 3000 traffic-filter outbound acl 3000 H3C设备: 1.创建ACL规则 acl number 3000 rule 5 deny tcp destination-port range 135 139 rule 10 deny tcp destination-port eq 445 rule 15 deny udp destination-port range 135 netbios-ssn rule 20 deny udp destination-port eq 445 rule 25 permit ip 2.在所有接口上应用此策略 (接口根据实际情况更改) inter gi 0/0/0 packet-filter inbound link-group 3000 packet-filter outbound link-group 3000 永恒之蓝蠕虫可以通过互联网和局域网广泛传播,因此安全防护要在电脑和服务器端都进行加固 1.打补丁 2.关闭445端口(附脚本.bat文件) 3.防火墙和其他网络设备禁用445 135-139端口,防止网内病毒传播
防火墙技术基础篇:配置基本转发策略(安全策略
最新发布
qq_39241682的博客
05-23 819
安全策略指的是用于保护网络的规则。它是由管理员在系统中配置,决定了哪些流量可以通过,哪些流量应该被阻断。安全策略防火墙产品的一个基本概念和核心功能。防火墙通过安全策略来提供业务管控能力,以保证网络的安全。为了避免歧义,通常把针对一个组织的安全策略称为信息安全策略(Information Security Policy),而把后者称为防火墙安全策略(Firewall Security Policy,有时也简称为防火墙策略Firewall Policy)、防火墙规则(Firewall Rule)。
防火墙安全策略
qq_44850340的博客
02-04 5139
包过滤技术基础 包过滤技术简介: 对需要转发的数据包,先获取报头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或丢弃。 实现包过滤的核心技术是访问控制列表。 包过滤作为一种网络安全保护机制,主要用于对网络中各种不同的流量是否转发做一个最基本的控制。传统的包过滤...
防火墙策略
qq_59980732的博客
10-10 211
添加自定义链给自定义链改名删除自定义规则和链 先删系统规则 然后删自定义规则 再删自定义链。
【实战教程】防火墙安全区域与策略实战指南:让你的网络安全防护如虎添翼!
didiplus
01-17 814
防火墙是一种网络安全设备,它的主要作用是保护内部网络不受外部网络的侵犯。为了实现这一目标,防火墙将内部网络划分为不同的安全区域,并根据不同区域的安全需求制定相应的安全策略。这些安全区域和策略对于确保内部网络的安全性至关重要,因为它们可以有效地防止未经授权的访问、数据泄露和其他安全威胁。
windows 查看防火墙设置命令使用方法
zengliguang的专栏
11-21 954
点击键盘上windows键,输入cmd,选择以管理员身份运行。会在d盘根目录下生成1.log这个文件。可以输入下面命令,生成文件,方便查看。输入下面命令查看使用说明。发现显示不全,不方便看。不会再终端窗体上显示了。发现显示全了,内容如下。
AIX中配置防火墙策略.doc
09-07
为了保护 AIX 服务器,避免不必要的访问,最好的办法就是在 AIX 中实施 IP 过滤规则。在 AIX 中我们通过设置 IP 过滤规则 (IP Security Filter),只接受预先定义好的访问请求而拒绝其他的访问的请求。
飞塔防火墙策略.pdf
09-29
飞塔防火墙策略.pdf
论文研究-构建Linux环境下Iptables防火墙策略 .pdf
08-16
构建Linux环境下Iptables防火墙策略,赵富,,Linux操作系统的Iptables管理工具是一种基于包过滤型防火墙工具,利用Iptables工具,通过设置规则,可以实现Linux环境下防火墙的功能。本�
华为防火墙内功心法修炼 强叔侃墙 内功心法篇
11-30
华为防火墙内功心法修炼 强叔侃墙 内功心法篇
飞塔防火墙策略.pptx
11-13
飞塔防火墙策略 防火墙策略是按照进出流量的接口部署的,流量如果没有匹配的防火墙策略的话,是不能穿过设备的。正确理解状态监测,防火墙策略应以数据流的发起方来判断建立的方向。也就是说,当需要内部网访问...
华为防火墙安全策略
GUOJUNWEI11的博客
11-14 667
介绍安全策略的定义和特点。设备能够识别出流量的属性,并将流量的属性与安全策略的条件进行匹配。如果所有条件都匹配,则此流量成功匹配安全策略。流量匹配安全策略后,设备将会执行安全策略的动作。如果动作为“允许”,则对流量进行内容安全检测。最终根据内容安全检测的结论来判断是否对流量进行放行。如果动作为“禁止”,则禁止流量通过。
两种防火墙策略
overman1的博客
02-28 3285
防火墙策略_firewalld## #1.firewalld的网络区域 trusted ##信任 home ##家庭 internal ##内部 work ##工作 public ##公共 external ##外部 dmz ##非军事区 block ##限制 drop ##丢弃 #2.使用命令行接口配置防火墙 firewall-cmd --state ...
浅谈防火墙五个域,三种模式
热门推荐
洞若观火
10-11 4万+
五个域: untrust(不信任域) dmz(隔离区) trust(信任域) local(本地)| management(管理) 报文从低级别的安全区域向高级别的安全区域流动时为入方向(Inbound),报文从由高级别的安全区域向低级别的安全区域流动时为出方向(Outbound)。untrust(不信任域): 低级安全区域,安全优先级为5 通常用来定义Internet等不安全的网络,用于...
防火墙策略_iptables
M________123的博客
08-18 751
1.防火墙的基础知识        首先需要认识到什么是防火墙防火墙是通过一些有顺序的规则。给从网络中进入到主机应用层之间的通道上设置很多道拦截的口,每个口会有一堆规则去匹配。匹配上,如果是匹配结果是通过就放行,如果是匹配结果是拒绝,就不允许数据包通过。     防火墙的最大功能就是帮助你限制某些服务的访问来源。 所以防火墙的功能就是 1.切割被信任的与不信任的域或者网段。 2.划分出
windows server2008服务器防火墙配置策略
frgzs的博客
10-10 1万+
windows server2008服务器防火墙配置策略 进入服务器打开控制面板搜索防火墙 选择windows防火墙——打开或关闭windows防火墙 启用防火墙,(注意不要勾选第一个复选框,勾选之后自己也将无法连接服务器),确认 选择windows防火墙——高级设置 选择入站规则——新建规则 选择端口——下一步 选择入站规则——MyRuleallow——属性——作用域——添加需要添加的ip
防火墙详细介绍
fendou300的博客
09-29 3678
防火墙     定义         详细解释             所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障. 是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway), 从而保护内部网免受非法用户的侵入,防火墙主要由服务访问...
锐捷防火墙策略路由案例
05-26
假设您的网络拓扑如下: ![锐捷防火墙网络拓扑](https://img-blog.csdnimg.cn/20210610151333228.png) 现在需要实现以下功能: 1. 内网(192.168.1.0/24)可以访问外网,但外网不能访问内网。 2. DMZ(172.16.1.0/24)可以访问内网和外网,但内网和外网不能访问DMZ。 3. 内网和DMZ之间允许互相访问。 根据上述需求,我们可以设计如下的防火墙策略和路由: 1. 防火墙策略: ![防火墙策略](https://img-blog.csdnimg.cn/20210610151428217.png) 上述防火墙策略的表述方式为: - 策略1:内网到外网,源地址为192.168.1.0/24,目的地址为0.0.0.0/0,服务为全部,动作为允许。 - 策略2:外网到内网,源地址为0.0.0.0/0,目的地址为192.168.1.0/24,服务为全部,动作为禁止。 - 策略3:DMZ到内网,源地址为172.16.1.0/24,目的地址为192.168.1.0/24,服务为全部,动作为允许。 - 策略4:内网到DMZ,源地址为192.168.1.0/24,目的地址为172.16.1.0/24,服务为全部,动作为允许。 - 策略5:DMZ到外网,源地址为172.16.1.0/24,目的地址为0.0.0.0/0,服务为全部,动作为允许。 - 策略6:外网到DMZ,源地址为0.0.0.0/0,目的地址为172.16.1.0/24,服务为全部,动作为禁止。 2. 路由: ![路由](https://img-blog.csdnimg.cn/20210610151503928.png) 上述路由表的表述方式为: - 目的网络为0.0.0.0/0,下一跳为公网出口。 - 目的网络为192.168.1.0/24,下一跳为内网网关。 - 目的网络为172.16.1.0/24,下一跳为DMZ网关。 通过上述防火墙策略和路由表的配置,可以实现上述需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

戲子 鬧京城°ぃ

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值