HCNA Security认证（社会培训）冗余资源 HCNA Security认证（社会培训）冗余资源 防火墙安全策略配置.docx

防火墙安全策略配置 防火墙安全策略原则： 首包流程会做安全策略过滤，后续包流程不做安全策略过滤。 安全策略业务流程： 流量通过NGFW时，安全策略的处理流程如下： 1. NGFW会对收到的流量进行检测，检测出流量的属性，包括：源安全区域、目的 安全区域、源地址/地区、目的地址/地区、用户、服务（源端口、目的端口、协 议类型）、应用和时间段。 2. NGFW将流量的属性与安全策略的条件进行匹配。如果所有条件都匹配，则此流 量成功匹配安全策略。如果其中有一个条件不匹配，则继续匹配下一条安全策略 。以此类推，如果所有安全策略都不匹配，则NGFW会执行缺省安全策略的动作 （默认为“禁止”）。 3. 如果流量成功匹配一条安全策略，NGFW将会执行此安全策略的动作。如果动作 为“禁止”，则NGFW会阻断此流量。如果动作为“允许”，则NGFW会判断安 全策略是否引用了安全配置文件。如果引用了安全配置文件，则继续进行步骤4 的处理；如果没有引用安全配置文件，则允许此流量通过。 4. 如果安全策略的动作为“允许”且引用了安全配置文件，则NGFW会对流量进行 内容安全的一体化检测。 ? 一体化检测是指根据安全配置文件的条件对流量的内容进行一次检测，根据检测的结果 执行安全配置文件的动作。如果其中一个安全配置文件阻断此流量，则NGFW 阻断此 流量。如果所有的安全配置文件都允许此流量转发，则NGFW允许此流量转发。 与传统防火墙安全策略相比，下一代防火墙的安全策略体现了以下优势： 能够通过“用户”来区分不同部门的员工，使网络的管理更加灵活和可视 能够有效区分协议（例如HTTP）承载的不同应用（例如网页IM、网页游戏等），使网络的管理更加精细 能够通过安全策略实现内容安全检测，阻断病毒、黑客等的入侵，更好的保护内部网络 安全策略配置思路： 1. 管理员应首先明确需要划分哪几个安全区域，接口如何连接，分别加入哪些安全区域。 2. 管理员选择根据“源地址”或“用户”来区分企业员工。 3. 先确定每个用户组的权限，然后再确定特殊用户的权限。包括用户所处的源安全 区域和地址，用户需要访问的目的安全区域和地址，用户能够使用哪些服务和应 用，用户的网络访问权限在哪些时间段生效等。如果想允许某种网络访问，则配 置安全策略的动作为“允许”；如果想禁止某种网络访问，则配置安全策略的动 作为“禁止”。 4. 确定对哪些通过防火墙的流量进行内容安全检测，进行哪些内容安全检测。 5. 将以上步骤规划出的安全策略的参数一一列出，并将所有安全策略按照先精确（条件细化的、特殊的策略）再宽泛（条件为大范围的策略）的顺序排序。在配置安全策略时需要按照此顺序进行配置。 在一个安全策略视图下可以为不同的流量创建不同的规则。缺省情况下，越先配置的策略，优先级越高，越先匹配报文。一旦匹配到一条规则，就直接按照该规则的定义 处理报文，不再继续往下匹配。各个规则之间的优先级关系可以通过命令rule move rule-name1 { after | before } rule-name2 进行调整。 配置安全策略规则的源和目的安全区域必须为系统已经存在的安全区域名称。安全策略规则一次最多添加或删除6个安全区域。 配置安全策略规则源地址和目的地址命令的参数说明 address-set: 地址或地址组的名称，一次最多添加或删除6个地址（组） ipv4-address: IPv4地址，点分十进制格式 ipv4-mask-length: IPv4地址的掩码，整数形式，取值范围是1～32 mask: IPv4地址的掩码，点分十进制格式，形如mask 表示掩码长度为24 wildcard: IPv4地址的反掩码 range: 表示地址范围 geo-location: 预定义地区名称或已经创建的自定义地区名称，一次最多添加或删 除6个地区 mac-address: MAC地址，格式为H-H-H，其中H为4位的十六进制数，一次最多添加或删除6个MAC地址 any:表示任意地址 配置安全策略规则源地址和目的地址命令举例 [sysname-policy-security-rule-policy_sec] source-address 24 [sysname-policy-security-rule-policy_sec] source-address 55 [sysname-policy-security-rule-policy_sec] source-address geo-location BeiJing [sysname-policy-security-rule-policy_sec] source-address address-set ip_deny [sysname-