1.安全策略原理
1)为了对数据流进行统一控制,方便用户配置和管理,FGT设备引入了安全策略的概念。通过配置安全策略,防火墙能够对经过设备的数据流进行有效的控制和管理。
2)当防火墙收到数据报文时,把该报文的方向、源地址、目的地址、协议、端口等信息和用户配置的策略匹配,决定是否建立这条数据流,并且把这条流和匹配的策略关联起来,从而确定如何处理该流的后续报文,
实现允许、丢弃、加密和解密、认证、排定优先次序、调度、过滤以及监控数据流,决定哪些用户和数据能进出,以及它们进出的时间和地点。
3)在安全策略中还可以根据匹配结果,对符合规则的报文实行过滤动作(允许通过或丢弃),简单地实现包过滤功能。
4)在没有配置任何安全策略的情况下,系统默认有一条全any禁止的策略, 对于经过设备的所有数据包,其缺省策略为禁止。
5)安全策略按从上到下顺序匹配的原则,只对通过设备的数据包进行处理, 对于到设备本身的数据包和设备本身发出的数据包不进行限制。
2.配置安全策略要点
安全策略的基本要素是匹配条件和动作。匹配条件包括数据流的方向、源地址、目的地址、服务和策略生效的时间范围。
其中,数据流的方向通过指定入接口/安全域和出接口/安全域来确定,源地址、目的地址、服务和时间范围都可以直接引用已定义的对象。
1)源接口/ 区:数据流的流入方向,可以指定某个接口,也可以是已定义的某个安全域,any表示所有口
2)源地址:数据流的源地址,可以引用已定义的某个地址对象或地址对象组,any表示源地址为任意。
3)目的接口/区:数据流的流出方向,可以指定某个接口,也可以是已定义的某个安全域,any表示所有接口。
4)目的地址:数据流的目的地址,可以引用已定义的地址对象或地址对象组,或者引用虚拟映射ip。
5)时间表:策略生效的时间,可以引用已配置的时间对象,always表示所有时间。
6)服务:数据流的服务属性,包括协议、源端口和目的端口,可以引用系统预定义服务、已定义的服务对象或服务对象组,any表示服务为任意。
7)动作:对符合匹配条件的数据流执行的动作,ACCEPT为允许,DENY为拒绝,IPSEC为ipsec加密,SSL-VPN为sslvpn加密。
8)记录允许流量:选中此复选框可以在防火墙策略中启用流量日志功能。
9)NAT:是否启用源NAT(SNAT)
10)启用基于用户的认证策略:是否开启用户上网认证策略
11)UTM:是否开启UTM相关应用防护功能
12)流量控制:选中此复选框可以在防火墙策略中启用流量控制功能,对策略中指定的流进行服务质量保证。详细配置参见"限速"章节。