防火墙安全策略技术
今天继续给大家介绍华为USG6000系列防火墙。本文从安全策略的内容和配置入手,向大家说明华为系列下一代防火墙的安全策略技术。
一、安全策略概述
防火墙的基本作用时保护特定网络免受“不信任”网络的攻击,同时还必须允许两个网络之间进行合法的通信。而安全策略是控制设备对流量转发以及对流量进行内容安全一体化检测的策略。安全策略是防火墙实现流量管理和过滤的基本功能。
最初始的防火墙采用了包过滤技术,包过滤技术是指对需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或丢弃。随着网络业务的逐步扩大,包过滤技术已经无法满足防火墙的安全配置需求。目前广泛使用的下一代防火墙,配置的是安全策略技术。安全策略技术和包过滤技术的区别如下表所示:
| 比较内容 | 安全策略 | 包过滤 |
|---|---|---|
| 匹配条件 | 五元组、用户组、时间段、UTM策略等 | 五元组(源目IP、源目Port、协议) |
| 应用场景 | 域内、域间、外部与设备本身 | 外部与设备本身 |
| 公共对象 | 可引用 | 不可引用 |
注:在上表中,公共对象指的是地址池、地址组等。
二、安全策略的内容
安全策略的作用就是对通过防火墙的数据流进行检验,符合安全策略的合法数据流才能通过防火墙。
安全策略的内容有以下三点:
1、策略匹配条件 策略匹配条件包括源目安全区域、源目IP地址、用户、服务、应用、时间段等。
2、策略动作 策略动作要么是允许,要么是禁止。
3、内容安全内容安全包括反病毒、入侵防御、URL过滤、文件过滤、内容过滤、应用行为控制、邮件过滤等。
三、安全策略配置
在华为系列防火墙中,安全侧路的配置流程如下所示:
在华为系列防火墙中,所有的接口和策略都是基于区域(zone)的。在华为系列USG6000防火墙设备中,区域可以分为系统默认分类和自定义分类两种。
系统默认分类又可以分为Local(本地)、Trust(信任)、**Untrust(外网)和DMZ(非军事化区)**四种。
自定义分类就可以自定以区域的名称,但是必须给区域配置安全级别,安全级别范围是1-100,且不能和已有的区域的安全级别重复。
在华为防火墙中,必须将接口划分为一个区域之后,该接口才可以使用。
原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200/article/details/119117156