華為防火墻安全策略的詳細介紹

牛人的尾巴 2022-08-06 發(fā)布于安徽

展開全文

安全策略

? 包過濾能夠通過報文的源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口號、目的端口號、上層協(xié)議等信息組合定義網(wǎng)絡(luò)中的數(shù)據(jù)流，其中源IP地址、目的IP地址、源端口號、目的端口號、上層協(xié)議就是在狀態(tài)檢測防火墻中經(jīng)常所提到的五無組，統(tǒng)防火墻根據(jù)五元組的包過濾規(guī)則來控制流量在安全區(qū)域間的轉(zhuǎn)發(fā)
? 下一代防火墻的安全策略不僅可以完全替代包過濾的功能，還進一步實現(xiàn)了基于用戶和應(yīng)用的流量轉(zhuǎn)發(fā)控制，而且還可以對流量的內(nèi)容進行安全檢測和處理，在源/目的安全區(qū)域、時間段、用戶、應(yīng)用等多個維度對流量進行了更細粒度的控制
華為防火墻安全策略的詳細介紹

安全策略與包過濾的區(qū)別

華為防火墻安全策略的詳細介紹

安全策略原理

? 防火墻的基本作用是保護特定網(wǎng)絡(luò)免受“不信任”的網(wǎng)絡(luò)的攻擊，但是同時還必須允許兩個網(wǎng)絡(luò)之間可以進行合法的通信
? 安全策略的作用就是對通過防火墻的數(shù)據(jù)流進行檢驗，符合安全策略的合法數(shù)據(jù)流才能通過防火墻
? 安全策略是控制設(shè)備對流量轉(zhuǎn)發(fā)以及對流量進行內(nèi)容安全一體化檢測的策略
? 控制各個區(qū)域之間流量通信，默認所有區(qū)域之間不能通信
華為防火墻安全策略的詳細介紹

默認的安全策略是deny 
<FW1>display security-policy all  
11:30:03  2019/06/16 
Total:1 
RULE ID RULE NAME                      STATE      ACTION             HITTED            
-------------------------------------------------------------------------------
  0       default                       enable     deny               54

安全策略內(nèi)容

? 策略匹配條件：
? 源安全域，目的安全域，源地址，目的地址，用戶，服務(wù)，應(yīng)用，時間段
? 策略動作：
? 允許，禁止
? 內(nèi)容安全profile：（可選，策略動作為允許的時候執(zhí)行）
? 反病毒，入侵防御，URL過濾，文件過濾，內(nèi)容過濾，應(yīng)用行為控制，郵件過濾
華為防火墻安全策略的詳細介紹

安全策略工作流程

1) NGFW會對收到的流量進行檢測，檢測出流量的屬性，包括：源安全區(qū)域、目的安全區(qū)域、源地址/地區(qū)、目的地址/地區(qū)、用戶、服務(wù)（源端口、目的端口、協(xié)議類型）、應(yīng)用和時間段
2) 如果所有條件都匹配，則此流量成功匹配安全策略。如果其中有一個條件不匹配，則繼續(xù)匹配下一條安全策略。以此類推，如果所有安全策略都不匹配，則NGFW會執(zhí)行缺省安全策略的動作（默認為禁止）
3) 如果流量成功匹配一條安全策略，NGFW將會執(zhí)行此安全策略的動作。如果動作為禁止，則NGFW會阻斷此流量。如果動作為允許，則NGFW會判斷安全策略是否引用了安全配置文件。如果引用了安全配置文件，則繼續(xù)進行步驟4的處理；如果沒有引用安全配置文件，則允許此流量通過
4) 如果安全策略的動作為“允許”且引用了安全配置文件，則NGFW會對流量進行內(nèi)容安全的一體化檢測
5) 一體化檢測是指根據(jù)安全配置文件的條件對流量的內(nèi)容進行一次檢測，根據(jù)檢測的結(jié)果執(zhí)行安全配置文件的動作。如果其中一個安全配置文件阻斷此流量，則NGFW阻斷此流量。如果所有的安全配置文件都允許此流量轉(zhuǎn)發(fā)，則NGFW允許此流量轉(zhuǎn)發(fā)
華為防火墻安全策略的詳細介紹

安全策略配置

執(zhí)行security-policy命令進入安全策略視圖
執(zhí)行rule name rule-name命令創(chuàng)建一個安全策略并進入該策略視圖
action { permit | deny } 配置安全策略執(zhí)行動作 必須配置
source-zone { zone-name &<1-6> | any } 指定源安全區(qū)域
source-address {ipv4-address ipv4-mask-length} 指定源地址
destination-zone { zone-name &<1-6> | any } 指定目的安全區(qū)域
destination-address {ipv4-address ipv4-mask-length} 指定目的地址
service { service-name &<1-6> | any } 指定服務(wù)類似
application { any | app app-name &<1-6> | app-group app-group-name &<1-6> | category category-name [ sub-category sub-category-name ] &<1-6 }  配置安全策略規(guī)則的應(yīng)用
user { user-name &<1-6> | any } 配置用戶信息
profile { app-control | av | data-filter | file-block | ips | mail-filter | url-filter } name 配置安全策略規(guī)則引用安全配置文件
在安全視圖下可對已配置的規(guī)則進行調(diào)整：建議在圖形化界面完成
rule copy rule-name new-rule-name 復(fù)制安全策略規(guī)則
rule move rule-name1 { after | before } rule-name2 移動安全策略規(guī)則，從而改變安全策略規(guī)則的優(yōu)先級
rule rename old-name new-name 重新命名安全策略規(guī)則

華為防火墻安全策略的詳細介紹

? 安全策略配置舉例：

[sysname] security-policy 
[sysname-policy-security] rule name policy_sec 
[sysname-policy-security-rule-policy_sec] source-address 1.1.1.1 24 
[sysname-policy-security-rule-policy_sec] source-zone untrust
[sysname-policy-security-rule-policy_sec] destination-address geo-location BeiJing
[sysname-policy-security-rule-policy_sec] service h323
[sysname-policy-security-rule-policy_sec] action permit
[sysname-policy-security-rule-policy_sec] profile av profile_av

匹配條件（各種對象）

源目區(qū)域

默認4個，可以自定義

firewall zone name  XXX
 set priority  X（不能配置5 50 85 100）

華為防火墻安全策略的詳細介紹

源目地址/地區(qū)/地址組

ip address-set trust_network type object  
 address 0 10.1.1.0 mask 24
 address 1 10.1.2.0 mask 24
 address 2 10.1.3.0 mask 24
 address 3 10.1.4.0 mask 24
#
ip address-set dmz_network type object
 address 0 192.168.1.1 mask 32
 address 1 192.168.1.2 mask 32

ip address-set key type object
 address 0 range 192.168.1.3 192.168.1.13

華為防火墻安全策略的詳細介紹

ip address-set all_network type group
 address 0 address-set dmz_network
 address 1 address-set trust_network

華為防火墻安全策略的詳細介紹

用戶/用戶組

華為防火墻安全策略的詳細介紹

服務(wù)/服務(wù)組

? 預(yù)定義服務(wù)和自定義服務(wù)
1) 預(yù)定義服務(wù)直接被調(diào)用
2) 自定義服務(wù)需要先定義

ip service-set ospf type object ----服務(wù)
 service 0 protocol 89  

ip service-set all_service type group  ----服務(wù)組
 service 0 service-set ftp
 service 1 service-set http
 service 2 service-set https

華為防火墻安全策略的詳細介紹

應(yīng)用/應(yīng)用組

? 自定義應(yīng)用和預(yù)定義應(yīng)用
華為防火墻安全策略的詳細介紹

application-group name test
  add application Thunder
  add application BT
  add application eDonkey_eMule
  add application KuGoo
  add application PPGou

華為防火墻安全策略的詳細介紹

時間段

 time-range  上班時間
  period-range 09:00:00 to 17:00:00 working-day

華為防火墻安全策略的詳細介紹

匹配動作

允許
禁止

內(nèi)容安全（UTM ）

1) 可選：必須動作為允許才能配置內(nèi)容安全
2) 如果動作是允許，并且配置了內(nèi)容安全的時候，就要執(zhí)行內(nèi)容安全
3) 如果內(nèi)容安全禁止，那就禁止
4) 包含：反病毒入侵防御 URL過濾內(nèi)容過濾文件過濾郵件過濾應(yīng)用行為控制

安全策略配置

? 題目需求：
a) Trust區(qū)域在工作時間（周一到周五09:00-21:00）禁止訪問untrust區(qū)域的娛樂類應(yīng)用
b) 允許trust區(qū)域訪問untrust區(qū)域的其余流量
c) 允許任意區(qū)域訪問DMZ區(qū)域的http、https、ftp服務(wù)（使用服務(wù)組）
華為防火墻安全策略的詳細介紹
先定義對象，再調(diào)用

 time-range 上班時間
  period-range 09:00:00 to 17:00:00 daily

ip service-set all_service type group     
 service 0 service-set ftp
 service 1 service-set http
 service 2 service-set https 

security-policy
 rule name deny_trust_intrrust
  source-zone trust
  destination-zone untrust
  source-address 10.1.1.0 mask 255.255.255.0
  application category Entertainment
  time-range  工作時間
  action deny

 rule name permit_trust_untrust
  source-zone trust
  destination-zone untrust
  action permit

 rule name permit_any_dmz
  destination-zone dmz
  service all_service
  action permit

查看所有的安全策略

[FW1]display security-policy all 
17:17:54  2019/10/20 
Total:4 
RULE ID RULE NAME                      STATE      ACTION             HITTED            
-------------------------------------------------------------------------------
0       default                        enable     deny              762                
1       deny_trust_intrrust            enable     deny               108                
2       permit_trust_untrust           enable     permit            696                
3       permit_any_dmz                 enable     permit                4                 
-------------------------------------------------------------------------------

注意：安全策略要有匹配，安全策略的執(zhí)行順序是從上往下，不是按照rule id的從小往大執(zhí)行匹配條件越多，安全策略越精確

[FW1]display security-policy rule  deny_trust_intrrust   
17:18:29  2019/10/20
  (108 times matched) ---------------一定要匹配項
 rule name deny_trust_intrrust
  source-zone trust
  destination-zone untrust
  source-address 10.1.1.0 mask 255.255.255.0
  application category Entertainment
  time-range 上班時間
  action deny

檢查：

[FW1]display security-policy all 
20:06:37  2019/03/12 
Total:4 
RULE ID RULE NAME                      STATE      ACTION             HITTED            
-------------------------------------------------------------------------------
0       default                         enable     deny               4123               
3       deny_trust_untrust              enable     deny               33   ----一定要有命中                 
4       permit_trust_any                enable     permit             1453               
5       permit_untrust_dmz              enable     permit             2

注意：安全策略的執(zhí)行是從上往下的（圖形化界面是從上往下但是命令行這一塊的話是從下往上進行匹配的），當(dāng)匹配其中一個就會往下執(zhí)行，如果都不匹配，就匹配默認的default(deny any)