網絡運維|防火墻安全策略
2020-05-25 20:44 作者:艾銻無限 瀏覽量:
大家好,我是一枚從事IT外包的網絡安全運維工程師,今天和大家分享的是網絡安全設備維護相關的內容,想要學習防火墻必須要知道安全策略是什么。簡單網絡安全運維,從防火墻學起,一步一步學成網絡安全運維大神。
1 安全策略
安全策略主要控制域間或者域內報文轉發,在進行其他策略檢查之前都會先進行安全策略的檢查,所以策略功能是否配置正確,將影響設備大部分功能的使用。1.1 安全策略簡介
安全策略包括對域間、域內流量的安全控制。安全策略分為以下大類:
· 域間或域內安全策略:用于控制域間或域內的流量,此時的安全策略既有傳統包過濾功能,也有對流量進行IPS、AV、應用控制等進一步的應用層檢測的作用。域間或域內安全策略是包過濾、UTM應用層檢測等多種安全檢查同時實施的一體化策略。
· 應用在接口上的包過濾規則:用于控制接口的流量,就是傳統的包過濾功能,基于IP報文屬性直接允許或拒絕報文通過。
各種安全策略的適用對象和應用范圍不同,如表7-1所示。
表 各種安全策略的適用場合
域間安全策略
域間安全策略控制域間數據流動,根據適用場景分為兩類:· 轉發策略:控制設備轉發的流量,包括傳統的包過濾和UTM應用層檢測。
· 本地策略:控制訪問設備本身的流量,只根據五元組進行控制。
域間安全策略的基本處理過程如圖7-1所示。
圖7-1 域間安全策略示意圖
表7-2 域間安全策略匹配過程
域內安全策略
缺省情況下域內允許任何流量通過,如果需要對域內流量進行控制可以通過域內安全策略實現。域內安全策略與域間安全策略類似,區別就是域內安全策略沒有Inbound和Outbound方向的區分。
域內安全策略不支持對Local域內流量的控制。
端口策略
USG的端口策略用于對沒有加入安全區域的接口收發的IP報文進行控制。在端口策略中,主要通過基本ACL或高級ACL來對流量進行選擇,然后在接口上應用ACL。之后該接口接收或發送的報文中,如果在ACL中對應動作為permit,將允許被轉發;如果對應動作為deny,將被丟棄。
以上文章由北京艾銻無限科技發展有限公司整理
相關文章
IT電腦維護外包
關閉