中國專業(yè)IT外包服務(wù)

加入收藏??

公司微博

網(wǎng)站地圖??

IT外包價格計算器

您當(dāng)前位置：主頁 > IT服務(wù) > 網(wǎng)絡(luò)服務(wù) >

網(wǎng)絡(luò)運維|防火墻安全策略

2020-05-25 20:44 作者：艾銻無限瀏覽量：

大家好，我是一枚從事IT外包的網(wǎng)絡(luò)安全運維工程師，今天和大家分享的是網(wǎng)絡(luò)安全設(shè)備維護(hù)相關(guān)的內(nèi)容，想要學(xué)習(xí)防火墻必須要知道安全策略是什么。簡單網(wǎng)絡(luò)安全運維，從防火墻學(xué)起,一步一步學(xué)成網(wǎng)絡(luò)安全運維大神。

1 安全策略

安全策略主要控制域間或者域內(nèi)報文轉(zhuǎn)發(fā)，在進(jìn)行其他策略檢查之前都會先進(jìn)行安全策略的檢查，所以策略功能是否配置正確，將影響設(shè)備大部分功能的使用。

1.1 安全策略簡介

安全策略包括對域間、域內(nèi)流量的安全控制。

安全策略分為以下大類：

· 域間或域內(nèi)安全策略：用于控制域間或域內(nèi)的流量，此時的安全策略既有傳統(tǒng)包過濾功能，也有對流量進(jìn)行IPS、AV、應(yīng)用控制等進(jìn)一步的應(yīng)用層檢測的作用。域間或域內(nèi)安全策略是包過濾、UTM應(yīng)用層檢測等多種安全檢查同時實施的一體化策略。

· 應(yīng)用在接口上的包過濾規(guī)則：用于控制接口的流量，就是傳統(tǒng)的包過濾功能，基于IP報文屬性直接允許或拒絕報文通過。

各種安全策略的適用對象和應(yīng)用范圍不同，如表7-1所示。

表各種安全策略的適用場合

域間安全策略

域間安全策略控制域間數(shù)據(jù)流動，根據(jù)適用場景分為兩類：

· 轉(zhuǎn)發(fā)策略：控制設(shè)備轉(zhuǎn)發(fā)的流量，包括傳統(tǒng)的包過濾和UTM應(yīng)用層檢測。

· 本地策略：控制訪問設(shè)備本身的流量，只根據(jù)五元組進(jìn)行控制。

域間安全策略的基本處理過程如圖7-1所示。

圖7-1 域間安全策略示意圖

域間還提供缺省包過濾，指定報文沒有匹配到任何安全策略時的控制動作。設(shè)備將首先查找域間的Policy，如果沒有找到匹配項將匹配缺省包過濾進(jìn)行處理。對報文的處理流程如表7-2所示。

表7-2 域間安全策略匹配過程

域內(nèi)安全策略

缺省情況下域內(nèi)允許任何流量通過，如果需要對域內(nèi)流量進(jìn)行控制可以通過域內(nèi)安全策略實現(xiàn)。

域內(nèi)安全策略與域間安全策略類似，區(qū)別就是域內(nèi)安全策略沒有Inbound和Outbound方向的區(qū)分。

域內(nèi)安全策略不支持對Local域內(nèi)流量的控制。

端口策略

USG的端口策略用于對沒有加入安全區(qū)域的接口收發(fā)的IP報文進(jìn)行控制。

在端口策略中，主要通過基本ACL或高級ACL來對流量進(jìn)行選擇，然后在接口上應(yīng)用ACL。之后該接口接收或發(fā)送的報文中，如果在ACL中對應(yīng)動作為permit，將允許被轉(zhuǎn)發(fā)；如果對應(yīng)動作為deny，將被丟棄。

以上文章由北京艾銻無限科技發(fā)展有限公司整理

分享到:

上一篇：網(wǎng)絡(luò)運維 | Linux常用網(wǎng)絡(luò)命令

下一篇：網(wǎng)絡(luò)運維|防火墻轉(zhuǎn)發(fā)策略

相關(guān)文章