2、安全策略

2、安全策略

一、安全策略初体验
1、基本概念
原则：先精细后粗犷
条件+动作
条件：检查报文的依据，防火墙会根据报文中鞋带的信息与条件逐一对比，以此来判断报文是否匹配
动作：对匹配了条件的报文执行的动作，包含允许（permit）和拒绝（deny）；一个策略中只能有一个动作
条件解释：
条件可分为多个字段，多个字段之间的关系是“与”；同一个字段中的多个匹配项的关系是“或”。
2、匹配顺序
从上到下的匹配顺序逐条查找域间存在的安全策略，如果报文命中了某一条安全策略，就会执行策略中的动作，不会再往下进行查找；如果报文没有命中这条规则，就会继续向下查找。
3、缺省包过滤
缺省包过滤：默认的安全策略，没有具体的规则，适用与所有报文；优先级排于所有安全策略之后，默认动作是拒绝（deny）。

二、安全策略发展历程
1、第一阶段：基于ACL的包过滤
配置：
acl 3000
rule deny ip source 192.168.1.1 0
rule permit ip source 192.168.1.0 0.0.0.255 destination 172.16.0.0 0.0.0.255
quit
firewall interzone trust untrust
packet-filter 3000 outbound
quti
2、第二阶段：融合UTM的安全策略
可以直接定义条件和动作（与基于ACL的包过滤不同），无需额外的ACL配置。
安全策略的动作为允许通过时，还可以引用AV、IPS等UTM策略对报文进一步的检测。
服务集（Service-set）：代替了协议和端口。
配置：
policy interzone trust untrust outbound
policy 1
policy source 192.168.1.1 0
action deny
quit
policu 2
policy source 192.168.1.0 0.0.0.255
policy destination 172.16.1.0 0.0.0.255
action permit
quit
quit
3、第三阶段：一体化安全策略
组成：条件+动作+配置文件
配置上的一体化：反病毒、入侵防御、URL过滤、邮件过滤等安全功能都可以在安全策略总引用安全配置文件来实现，降低了配置难度；
业务处理上的一体化：安全策略对报文进行一次检测，多业务并行处理，大幅度提升了系统性能。
一体化安全策略除了基于传统的五元组信息之外，还能够基于应用、内容、时间、用户、威胁、位置6个维度将模糊的网络环境识别为实际的业务环境，实现精准的访问控制和安全检测。
安全策略基于全局范围，不再基于安全域间，安全区域只作为可选的条件，可同时配置多个安全域。（USG6000报文域内流动时必须配置域内安全策略允许报文通过）
安全策略中的缺省动作代替了缺省包过滤，全局生效，不再区分域间。
security-policy
rule name policy1
source-zone trust
destination-zone untrust
source-address 192.168.1.100 0
action deny
quit
rule name policy2
source-zone trust
destination-zone untrust
source-address 192.168.1.0 0.0.0.255
destination-zone 172.16.1.0 0.0.0.255
action permit
quit

三、Local区域的安全策略
1、针对OSPF协议配置Local区域的安全策略
试验lab

2、哪些协议需要在防火墙上配置Local区域的安全策略
绘制在线表格

四、ASPF
1、帮助FTP数据报文穿越防火墙

2、帮助QQ/MSN报文穿越防火墙

3、帮助用户自定义协议报文穿越防火墙

五、配置注意事项和故障排除指导
1、安全策略

2、ASPF