安全策略的作用就是对通过防火墙的数据进行检验,符合安全策略的合法数据流才能通过防火墙。
可以在不同的域间方向应用不同的安全策略进行不同的控制。
安全策略是由匹配条件和动作(允许/拒绝)组成的控制规则,可以基于IP、端口、协议等属性进行细化的控制。
缺省情况下,所有域间的所有方向都禁止报文通过,可以根据需求配置允许允许那些数据通过防火墙的安全策略。
注:对于路由、ARP等底层协议一般是不受安全策略控制的,直接允许通过。
当然这和具体产品实现有关,产品间可能有差异。
安全策略的应用方向在一个域间有Inbound方向和Outbound方向,但对于同一条数据流,在访问发起的方向上应用安全策略即可,反向报文 不需要额外的策略。
这是因为防火墙是状态检测设备,对于同一条数据流只有首包匹配安全策略并建立会话,后续包都匹配会话转发。
安全策略的匹配防火墙将流量的属性与安全策略的条件进行匹配。
如果所有条件都匹配,则此流量成功匹配安全策略。
如果其中有一个条件不匹配,则未匹配安全策略。
同一域间或域内应用多条安全策略,策略的优先级按照顺序进行排序,越先配置的策略优先级越高,越先匹配报文。
如果报文匹配到一条策略就不再继续匹配剩下的策略,如果没有匹配到任何策略就按缺省包过滤处理。
所以配置策略要先粗后细。
安全策略发展史1.传统防火墙基于ACL的包过滤。
通过在域间引用ACL实现包过滤匹配条件:报文头的五元组(源/目的地址、源/目的端口号、协议号)和时间段动作包括拒绝和允许报文通过2.UTM融合UTM的安全策略(包过滤+UTM)在包过滤基础上增加UTM处理,包括IPS/AV/URL过滤等动作为permit的报文继续进行UTM处理,通过UTM检测才真正允许通过功能叠加,应用未作为统一的匹配条件,而是存在独立的应用控制策略,对用户体验和处理性能都有一定影响3.NGFW一体化安全策略(五元组+应用+用户+内用安全)真正的一体化策略,可一次识别流量的应用类型、携带的内容等数据,供内容安全功能使用增加应用、用户两个匹配条件,解决了基于端口、IP识别流量不准确的问题应用、内容、威胁感知能力增强
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)