网络运维|防火墙安全策略
2020-05-25 20:44 作者:艾锑无限 浏览量:
大家好,我是一枚从事IT外包的网络安全运维工程师,今天和大家分享的是网络安全设备维护相关的内容,想要学习防火墙必须要知道安全策略是什么。简单网络安全运维,从防火墙学起,一步一步学成网络安全运维大神。
1 安全策略
安全策略主要控制域间或者域内报文转发,在进行其他策略检查之前都会先进行安全策略的检查,所以策略功能是否配置正确,将影响设备大部分功能的使用。1.1 安全策略简介
安全策略包括对域间、域内流量的安全控制。安全策略分为以下大类:
· 域间或域内安全策略:用于控制域间或域内的流量,此时的安全策略既有传统包过滤功能,也有对流量进行IPS、AV、应用控制等进一步的应用层检测的作用。域间或域内安全策略是包过滤、UTM应用层检测等多种安全检查同时实施的一体化策略。
· 应用在接口上的包过滤规则:用于控制接口的流量,就是传统的包过滤功能,基于IP报文属性直接允许或拒绝报文通过。
各种安全策略的适用对象和应用范围不同,如表7-1所示。
表 各种安全策略的适用场合
域间安全策略
域间安全策略控制域间数据流动,根据适用场景分为两类:· 转发策略:控制设备转发的流量,包括传统的包过滤和UTM应用层检测。
· 本地策略:控制访问设备本身的流量,只根据五元组进行控制。
域间安全策略的基本处理过程如图7-1所示。
图7-1 域间安全策略示意图
表7-2 域间安全策略匹配过程
域内安全策略
缺省情况下域内允许任何流量通过,如果需要对域内流量进行控制可以通过域内安全策略实现。域内安全策略与域间安全策略类似,区别就是域内安全策略没有Inbound和Outbound方向的区分。
域内安全策略不支持对Local域内流量的控制。
端口策略
USG的端口策略用于对没有加入安全区域的接口收发的IP报文进行控制。在端口策略中,主要通过基本ACL或高级ACL来对流量进行选择,然后在接口上应用ACL。之后该接口接收或发送的报文中,如果在ACL中对应动作为permit,将允许被转发;如果对应动作为deny,将被丢弃。
以上文章由北京艾锑无限科技发展有限公司整理
相关文章
IT电脑维护外包
关闭