中國專業IT外包服務

加入收藏??

公司微博

網站地圖??

IT外包價格計算器

您當前位置：主頁 > IT服務 > 網絡服務 >

網絡運維|防火墻安全策略

2020-05-25 20:44 作者：艾銻無限瀏覽量：

大家好，我是一枚從事IT外包的網絡安全運維工程師，今天和大家分享的是網絡安全設備維護相關的內容，想要學習防火墻必須要知道安全策略是什么。簡單網絡安全運維，從防火墻學起,一步一步學成網絡安全運維大神。

1 安全策略

安全策略主要控制域間或者域內報文轉發，在進行其他策略檢查之前都會先進行安全策略的檢查，所以策略功能是否配置正確，將影響設備大部分功能的使用。

1.1 安全策略簡介

安全策略包括對域間、域內流量的安全控制。

安全策略分為以下大類：

· 域間或域內安全策略：用于控制域間或域內的流量，此時的安全策略既有傳統包過濾功能，也有對流量進行IPS、AV、應用控制等進一步的應用層檢測的作用。域間或域內安全策略是包過濾、UTM應用層檢測等多種安全檢查同時實施的一體化策略。

· 應用在接口上的包過濾規則：用于控制接口的流量，就是傳統的包過濾功能，基于IP報文屬性直接允許或拒絕報文通過。

各種安全策略的適用對象和應用范圍不同，如表7-1所示。

表各種安全策略的適用場合

域間安全策略

域間安全策略控制域間數據流動，根據適用場景分為兩類：

· 轉發策略：控制設備轉發的流量，包括傳統的包過濾和UTM應用層檢測。

· 本地策略：控制訪問設備本身的流量，只根據五元組進行控制。

域間安全策略的基本處理過程如圖7-1所示。

圖7-1 域間安全策略示意圖

域間還提供缺省包過濾，指定報文沒有匹配到任何安全策略時的控制動作。設備將首先查找域間的Policy，如果沒有找到匹配項將匹配缺省包過濾進行處理。對報文的處理流程如表7-2所示。

表7-2 域間安全策略匹配過程

域內安全策略

缺省情況下域內允許任何流量通過，如果需要對域內流量進行控制可以通過域內安全策略實現。

域內安全策略與域間安全策略類似，區別就是域內安全策略沒有Inbound和Outbound方向的區分。

域內安全策略不支持對Local域內流量的控制。

端口策略

USG的端口策略用于對沒有加入安全區域的接口收發的IP報文進行控制。

在端口策略中，主要通過基本ACL或高級ACL來對流量進行選擇，然后在接口上應用ACL。之后該接口接收或發送的報文中，如果在ACL中對應動作為permit，將允許被轉發；如果對應動作為deny，將被丟棄。

以上文章由北京艾銻無限科技發展有限公司整理

分享到:

上一篇：網絡運維 | Linux常用網絡命令

下一篇：網絡運維|防火墻轉發策略