在万物互联的当今,勒索软件、僵尸网络、蠕虫病毒以及其它应用攻击不断产生。传统的防火墙主要基于端口和协议来识别应用,已无法满足当今互联网安全需求。华为下一代防火墙也与时俱进,安全策略也发展到“一体化”架构。
华为
防火墙所谓的一体化,主要包含两个方面的内容:一是配置上的一体化,内容安全(反病毒、邮件过滤、入侵检测、URL过滤等)特性通过配置文件调用到安全策略来实现,实现了配置的简易度;二是业务处理上的一体化,安全策略对报文进行一次检测,如果其中一个安全配置文件阻断此流量,则防火墙阻断此流量。如果所有的安全配置文件都允许此流量转发,则防火墙允许此流量转发,大幅度提升设备性能
如图一所示,一体化的安全策略除了可以基于五元组信息之外,还可以基于Time(时间)、Location(位置)、Content(内容)、Attack(威胁)、Application(应用)6个维度对网络环境进行识别,从而可以实现更精准的访问控制和安全检测。
一体化的安全策略由条件、动作和配置文件组成,如下图二所示,其中配置文件的作用就是对报文进行内容安全检测,只有允许的动作才能引用配置文件。
流量通过FW时,安全策略的处理流程如下:
1、会对收到的流量进行检测,检测出流量的属性,包括:源安全区域、目的安全区域、源地址/地区、目的地址/地区、用户、服务(源端口、目的端口、协议类型)、应用和时间段。
2、将流量的属性与安全策略的条件进行匹配。如果所有条件都匹配,则此流量成功匹配安全策略。如果其中有一个条件不匹配,则继续匹配下一条安全策略。以此类推,如果所有安全策略都不匹配,则FW会执行缺省安全策略的动作(默认为“禁止”)。
3、如果流量成功匹配一条安全策略,FW将会执行此安全策略的动作。如果动作为“禁止”,则FW会阻断此流量。如果动作为“允许”,则FW会判断安全策略是否引用了安全配置文件。如果引用了安全配置文件,则继续进行步骤4的处理;如果没有引用安全配置文件,则允许此流量通过。
4、如果安全策略的动作为“允许”且引用了安全配置文件,则FW会对流量进行内容安全的一体化检测。
华为下一代防火墙安全策略配置案例
实验拓扑
组网需求
企业根据员工级别和职能不同划分了三种用户:高层管理者、市场员工、研发员工,他们能够访问Internet的权限不同。具体组网需求如下:
a.高层管理者可以自由访问Internet。
b.市场员工能够访问Internet,但不能玩游戏,观看网络视频。
c.研发员工只能使用TortoiseSVN应用,不允许访问其他Internet应用。
实验配置
#配置高层管理者的安全策略
[FW]security-policy
[FW-policy-security]rule name policy_management
[FW-policy-security-rule-policy_sec_management]source-zone trust
[FW-policy-security-rule-policy_sec_management]destination-zone untrust
[FW-policy-security-rule-policy_sec_management]user user-group /default/management
[FW-policy-security-rule-policy_sec_management]action permit
[FW-policy-security-rule-policy_sec_management]quit
#配置市场员工的安全策略
[FW-policy-security]rule name policy_marketing1
[FW-policy-security-rule-policy_sec_marketing_1]source-zone trust
[FW-policy-security-rule-policy_sec_marketing_1]destination-zone untrust
[FW-policy-security-rule-policy_sec_marketing_1]application category Entertainment sub-category Media_Sharing
[FW-policy-security-rule-policy_sec_marketing_1]application category Entertainment sub-category Game
[FW-policy-security-rule-policy_sec_marketing_1]user user-group /default/marketing
[FW-policy-security-rule-policy_sec_marketing_1]action deny
[FW-policy-security-rule-policy_sec_marketing_1]quit
[FW-policy-security]rule name policy_marketing2
[FW-policy-security-rule-policy_sec_marketing_2]source-zone trust
[FW-policy-security-rule-policy_sec_marketing_2]destination-zone untrust
[FW-policy-security-rule-policy_sec_marketing_2]user user-group /default/marketing
[FW-policy-security-rule-policy_sec_marketing_2]action permit
[FW-policy-security-rule-policy_sec_marketing_2]quit
#配置研发员工的安全策略
[FW-policy-security]rule name policy_research1
[FW-policy-security-rule-policy_sec_research_1]source-zone trust
[FW-policy-security-rule-policy_sec_research_1]destination-zone untrust
[FW-policy-security-rule-policy_sec_research_1]user user-group /default/research
[FW-policy-security-rule-policy_sec_research_1]application app TortoiseSVN HTTP
[FW-policy-security-rule-policy_sec_research_1]action permit
[FW-policy-security-rule-policy_sec_research_1]quit
[FW-policy-security]rule name policy_sec_research2
[FW-policy-security-rule-policy_sec_research_2]source-zone trust
[FW-policy-security-rule-policy_sec_research_2]destination-zone untrust
[FW-policy-security-rule-policy_sec_research_2]user user-group /default/research
[FW-policy-security-rule-policy_sec_research_2]action deny
[FW-policy-security-rule-policy_sec_research_2]quit