返回首页

网站导航
资讯首页> 网站公告 >产品资讯 > 详解华为下一代防火墙的安全策略

    详解华为下一代防火墙的安全策略

    产品资讯2019年12月24日
    分享
      在万物互联的当今,勒索软件、僵尸网络、蠕虫病毒以及其它应用攻击不断产生。传统的防火墙主要基于端口和协议来识别应用,已无法满足当今互联网安全需求。华为下一代防火墙也与时俱进,安全策略也发展到“一体化”架构。
      
      华为防火墙所谓的一体化,主要包含两个方面的内容:一是配置上的一体化,内容安全(反病毒、邮件过滤、入侵检测、URL过滤等)特性通过配置文件调用到安全策略来实现,实现了配置的简易度;二是业务处理上的一体化,安全策略对报文进行一次检测,如果其中一个安全配置文件阻断此流量,则防火墙阻断此流量。如果所有的安全配置文件都允许此流量转发,则防火墙允许此流量转发,大幅度提升设备性能
      
      如图一所示,一体化的安全策略除了可以基于五元组信息之外,还可以基于Time(时间)、Location(位置)、Content(内容)、Attack(威胁)、Application(应用)6个维度对网络环境进行识别,从而可以实现更精准的访问控制和安全检测。
      华为防火墙安全策略
      一体化的安全策略由条件、动作和配置文件组成,如下图二所示,其中配置文件的作用就是对报文进行内容安全检测,只有允许的动作才能引用配置文件。
      华为下一代防火墙策略
      流量通过FW时,安全策略的处理流程如下:
      
      1、会对收到的流量进行检测,检测出流量的属性,包括:源安全区域、目的安全区域、源地址/地区、目的地址/地区、用户、服务(源端口、目的端口、协议类型)、应用和时间段。
      
      2、将流量的属性与安全策略的条件进行匹配。如果所有条件都匹配,则此流量成功匹配安全策略。如果其中有一个条件不匹配,则继续匹配下一条安全策略。以此类推,如果所有安全策略都不匹配,则FW会执行缺省安全策略的动作(默认为“禁止”)。
      
      3、如果流量成功匹配一条安全策略,FW将会执行此安全策略的动作。如果动作为“禁止”,则FW会阻断此流量。如果动作为“允许”,则FW会判断安全策略是否引用了安全配置文件。如果引用了安全配置文件,则继续进行步骤4的处理;如果没有引用安全配置文件,则允许此流量通过。
      
      4、如果安全策略的动作为“允许”且引用了安全配置文件,则FW会对流量进行内容安全的一体化检测。
      
      华为下一代防火墙安全策略配置案例
      
      实验拓扑
      华为下一代防火墙拓扑图
      组网需求    
      
      企业根据员工级别和职能不同划分了三种用户:高层管理者、市场员工、研发员工,他们能够访问Internet的权限不同。具体组网需求如下:
      
      a.高层管理者可以自由访问Internet。
      
      b.市场员工能够访问Internet,但不能玩游戏,观看网络视频。
      
      c.研发员工只能使用TortoiseSVN应用,不允许访问其他Internet应用。
      
      实验配置
      
      #配置高层管理者的安全策略
      
      [FW]security-policy
      
      [FW-policy-security]rule name policy_management
      
      [FW-policy-security-rule-policy_sec_management]source-zone trust
      
      [FW-policy-security-rule-policy_sec_management]destination-zone untrust
      
      [FW-policy-security-rule-policy_sec_management]user user-group /default/management
      
      [FW-policy-security-rule-policy_sec_management]action permit
      
      [FW-policy-security-rule-policy_sec_management]quit
      
      #配置市场员工的安全策略
      
      [FW-policy-security]rule name policy_marketing1
      
      [FW-policy-security-rule-policy_sec_marketing_1]source-zone trust
      
      [FW-policy-security-rule-policy_sec_marketing_1]destination-zone untrust
      
      [FW-policy-security-rule-policy_sec_marketing_1]application category Entertainment sub-category Media_Sharing
      
      [FW-policy-security-rule-policy_sec_marketing_1]application category Entertainment sub-category Game
      
      [FW-policy-security-rule-policy_sec_marketing_1]user user-group /default/marketing
      
      [FW-policy-security-rule-policy_sec_marketing_1]action deny
      
      [FW-policy-security-rule-policy_sec_marketing_1]quit
      
      [FW-policy-security]rule name policy_marketing2
      
      [FW-policy-security-rule-policy_sec_marketing_2]source-zone trust
      
      [FW-policy-security-rule-policy_sec_marketing_2]destination-zone untrust
      
      [FW-policy-security-rule-policy_sec_marketing_2]user user-group /default/marketing
      
      [FW-policy-security-rule-policy_sec_marketing_2]action permit
      
      [FW-policy-security-rule-policy_sec_marketing_2]quit
      
      #配置研发员工的安全策略
      
      [FW-policy-security]rule name policy_research1
      
      [FW-policy-security-rule-policy_sec_research_1]source-zone trust
      
      [FW-policy-security-rule-policy_sec_research_1]destination-zone untrust
      
      [FW-policy-security-rule-policy_sec_research_1]user user-group /default/research
      
      [FW-policy-security-rule-policy_sec_research_1]application app TortoiseSVN HTTP
      
      [FW-policy-security-rule-policy_sec_research_1]action permit
      
      [FW-policy-security-rule-policy_sec_research_1]quit
      
      [FW-policy-security]rule name policy_sec_research2
      
      [FW-policy-security-rule-policy_sec_research_2]source-zone trust
      
      [FW-policy-security-rule-policy_sec_research_2]destination-zone untrust
      
      [FW-policy-security-rule-policy_sec_research_2]user user-group /default/research
      
      [FW-policy-security-rule-policy_sec_research_2]action deny
      
      [FW-policy-security-rule-policy_sec_research_2]quit

    相关阅读