1.安全策略原理

  1)为了对数据流进行统一控制,方便用户配置和管理,FGT设备引入了安全策略的概念。通过配置安全策略,防火墙能够对经过设备的数据流进行有效的控制和管理。

  2)当防火墙收到数据报文时,把该报文的方向、源地址、目的地址、协议、端口等信息和用户配置的策略匹配,决定是否建立这条数据流,并且把这条流和匹配的策略关联起来,从而确定如何处理该流的后续报文,

    实现允许、丢弃、加密和解密、认证、排定优先次序、调度、过滤以及监控数据流,决定哪些用户和数据能进出,以及它们进出的时间和地点。

  3)在安全策略中还可以根据匹配结果,对符合规则的报文实行过滤动作(允许通过或丢弃),简单地实现包过滤功能。

  4)在没有配置任何安全策略的情况下,系统默认有一条全any禁止的策略, 对于经过设备的所有数据包,其缺省策略为禁止。

  5)安全策略按从上到下顺序匹配的原则,只对通过设备的数据包进行处理, 对于到设备本身的数据包和设备本身发出的数据包不进行限制。

2.配置安全策略要点

  安全策略的基本要素是匹配条件和动作。匹配条件包括数据流的方向、源地址、目的地址、服务和策略生效的时间范围。

  其中,数据流的方向通过指定入接口/安全域和出接口/安全域来确定,源地址、目的地址、服务和时间范围都可以直接引用已定义的对象。

  1)源接口/ 区:数据流的流入方向,可以指定某个接口,也可以是已定义的某个安全域,any表示所有口

  2)源地址:数据流的源地址,可以引用已定义的某个地址对象或地址对象组,any表示源地址为任意。

  3)目的接口/区:数据流的流出方向,可以指定某个接口,也可以是已定义的某个安全域,any表示所有接口。

  4)目的地址:数据流的目的地址,可以引用已定义的地址对象或地址对象组,或者引用虚拟映射ip。

  5)时间表:策略生效的时间,可以引用已配置的时间对象,always表示所有时间。

  6)服务:数据流的服务属性,包括协议、源端口和目的端口,可以引用系统预定义服务、已定义的服务对象或服务对象组,any表示服务为任意。

  7)动作:对符合匹配条件的数据流执行的动作,ACCEPT为允许,DENY为拒绝,IPSEC为ipsec加密,SSL-VPN为sslvpn加密。

  8)记录允许流量:选中此复选框可以在防火墙策略中启用流量日志功能。

  9)NAT:是否启用源NAT(SNAT)

  10)启用基于用户的认证策略:是否开启用户上网认证策略

  11)UTM:是否开启UTM相关应用防护功能

  12)流量控制:选中此复选框可以在防火墙策略中启用流量控制功能,对策略中指定的流进行服务质量保证。详细配置参见"限速"章节。

  

  

  

  

  

  

  

  

  

  

  

  

  

  

  

  

  

posted on 2018-12-09 14:38  星痕1216  阅读(676)  评论(0编辑  收藏  举报