華為防火墻簡(jiǎn)介及其工作原理
防火墻作為一種安全設(shè)備被廣泛使用于各種網(wǎng)絡(luò)環(huán)境中�����,他在網(wǎng)絡(luò)間起到了間隔作用�����。華為作為著名的網(wǎng)絡(luò)設(shè)備廠商�����,2001年便發(fā)布了首款防火墻插卡�����,而后根據(jù)網(wǎng)絡(luò)發(fā)展及技術(shù)需求�����,推出了一代又一代防護(hù)墻及安全系列產(chǎn)品�����。這篇博文主要介紹華為防火墻產(chǎn)品及其工作原理。
博文大綱:
一�����、華為防火墻產(chǎn)品簡(jiǎn)介
1.USG2110
2.USG6600
3.USG9500
4.NGFW
二�����、防火墻的工作原理
1.防火墻的工作模式
(1)路由模式
(2)透明模式
(3)混合模式
2.華為防火墻的安全區(qū)域劃分
3.防火墻Inbound和Outbound
4.狀態(tài)化信息
5.安全策略
一�����、華為防火墻產(chǎn)品簡(jiǎn)介
USG2000�����、USG5000�����、USG6000和USG9500構(gòu)成了華為防火墻的四大部分�����,分別適用于不同的網(wǎng)絡(luò)需求�����。其中�����,USG2000和USG5000系列定位于UTM(統(tǒng)一威脅管理)產(chǎn)品�����,USG6000系列屬于下一代防火墻產(chǎn)品�����,USG9500系列屬于高端防火墻產(chǎn)品�����。接下來(lái)詳細(xì)介紹一下各個(gè)版本系列防火墻的區(qū)別�����!
1.USG2110
USG2110系列是華為針對(duì)中小型企業(yè)及連鎖機(jī)構(gòu)等發(fā)布的防火墻設(shè)備�����,其功能包含防火墻、UTM�����、虛擬專用網(wǎng)�����、路由�����、無(wú)線等�����。USG2110系列防火墻具有性能高�����、可靠性高�����、配置方便等特性�����,且價(jià)格相對(duì)較低�����,支持多種虛擬專用網(wǎng)組網(wǎng)方式�����,為用戶提供安全�����、靈活�����、便捷的一體化組網(wǎng)解決方案�����。如圖:
2.USG6600
USG6600系列是華為面向下一代網(wǎng)絡(luò)環(huán)境防火墻產(chǎn)品�����,適用于大中型企業(yè)及數(shù)據(jù)中心等網(wǎng)絡(luò)環(huán)境,具有訪問(wèn)控制精準(zhǔn)�����、防護(hù)范圍全面�����、安全管理簡(jiǎn)單�����、防護(hù)性能高等特點(diǎn)�����?����?蛇M(jìn)行企業(yè)內(nèi)網(wǎng)邊界防護(hù)�����、互聯(lián)網(wǎng)出口防護(hù)�����、云數(shù)據(jù)中心邊界防護(hù)�����、虛擬專用網(wǎng)遠(yuǎn)程互聯(lián)等組網(wǎng)應(yīng)用�����。如圖:
3.USG9500
USG9500系列包含USG9520�����、USG9560�����、USG9580三種系列�����,適用于云服務(wù)提供商�����、大型數(shù)據(jù)中心、大型企業(yè)園區(qū)網(wǎng)絡(luò)等�����。它擁有最精準(zhǔn)的訪問(wèn)控制�����、最實(shí)用的NGFW特性�����、最領(lǐng)先的“NP+多核+分布式”結(jié)構(gòu)即最豐富的虛擬化�����,被稱為最穩(wěn)定可靠的安全網(wǎng)關(guān)產(chǎn)品�����,可用于大型數(shù)據(jù)中心邊界防護(hù)�����、廣電和二級(jí)運(yùn)營(yíng)商網(wǎng)絡(luò)出口安全防護(hù)、教育網(wǎng)出口安全防護(hù)等網(wǎng)絡(luò)場(chǎng)景等�����。如圖:
4.NGFW
NGFW即下一代防火墻�����,更適用于新的網(wǎng)絡(luò)環(huán)境�����。NGFW在功能方面不僅要具備標(biāo)準(zhǔn)的防火墻功能�����,如網(wǎng)絡(luò)地址轉(zhuǎn)換�����、狀態(tài)檢測(cè)�����、虛擬專用網(wǎng)和大企業(yè)需要的功能�����,而且要實(shí)現(xiàn)IPS和防火墻真正的一體化�����,而不是簡(jiǎn)單地基于模塊�����。另外�����,NGFW還需要具備強(qiáng)大的應(yīng)用程序感知和應(yīng)用可視化能力�����,基于應(yīng)用策略�����、日志統(tǒng)計(jì)�����、安全能力與應(yīng)用識(shí)別深度融合,使用更多的外部信息協(xié)助改進(jìn)安全策略�����,如用戶身份識(shí)別等�����。
傳統(tǒng)的防火墻只能基于時(shí)間�����、IP和端口進(jìn)行感知�����,而NGFW防火墻基于六個(gè)維度進(jìn)行管理控制和防護(hù)�����,分別是應(yīng)用�����、用戶�����、內(nèi)容�����、時(shí)間�����、威脅�����、位置�����。
其中:
- 基于應(yīng)用:運(yùn)用多種手段準(zhǔn)確識(shí)別Web應(yīng)用內(nèi)超過(guò)6000以上的應(yīng)用協(xié)議及其附屬功能�����,從而進(jìn)行精確的訪問(wèn)控制和業(yè)務(wù)加速�����。其中也包含移動(dòng)應(yīng)用,如可以通過(guò)防火墻區(qū)分微信流量中的語(yǔ)音和文字�����,進(jìn)而實(shí)現(xiàn)不同的控制策略�����;
- 基于用戶:借助于AD活動(dòng)目錄�����、目錄服務(wù)或AAA服務(wù)器等�����,基于用戶進(jìn)行訪問(wèn)控制�����、QoS管理和深度防護(hù)�����;
- 基于位置:結(jié)合全球位置信息�����,智能識(shí)別流量的發(fā)起位置�����,從而獲取應(yīng)用和***的發(fā)起位置�����。其根據(jù)位置信息實(shí)現(xiàn)對(duì)不同區(qū)域訪問(wèn)流量的差異化控制�����,同時(shí)支持根據(jù)IP信息自定義位置�����;
在實(shí)際應(yīng)用中�����,應(yīng)用可能使用任意端口�����,而傳統(tǒng)FW無(wú)法根據(jù)端口識(shí)別和控制應(yīng)用。NGFW的進(jìn)步在于更精細(xì)的訪問(wèn)控制�����。其最佳使用原則為“基于應(yīng)用+白名單控制+最小授權(quán)”�����。
目前�����,華為的NGFW產(chǎn)品主要是USG6000系列�����,覆蓋從低端的固定化模塊產(chǎn)品到高端的可插拔模塊產(chǎn)品�����。華為下一代防火墻的應(yīng)用識(shí)別能力范圍領(lǐng)先同行業(yè)產(chǎn)品20%�����,超出國(guó)產(chǎn)品牌3~5倍�����。
二�����、防火墻的工作原理
1.防火墻的工作模式
華為防火墻具有三種工作模式:路由模式�����、透明模式�����、混合模式�����。
(1)路由模式
如果華為防火墻連接網(wǎng)絡(luò)的接口配置IP地址�����,則認(rèn)為防火墻工作在路由模式下�����。當(dāng)華為防火墻位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間,需要將防火墻與內(nèi)部網(wǎng)絡(luò)�����、外部網(wǎng)絡(luò)以及DMZ三個(gè)區(qū)域相連的接口分別布配置成不同網(wǎng)段的IP地址�����,所以需要重新規(guī)劃原有的網(wǎng)絡(luò)拓補(bǔ)�����,此時(shí)防火墻首先是一臺(tái)路由器�����,然后提供其他防火墻功能�����。路由模式需要對(duì)網(wǎng)絡(luò)拓補(bǔ)進(jìn)行修改�����,比較麻煩�����!
(2)透明模式
如果華為防火墻通過(guò)第二層對(duì)外連接(接口無(wú)IP地址)�����,則防火墻工作在透明模式下�����。如果華為防火墻采用透明模式進(jìn)行工作�����,只需在網(wǎng)絡(luò)中像連接交換機(jī)一樣連接華為防火墻即可�����,其最大的優(yōu)點(diǎn)是武俠修改任何已有的IP配置�����;此時(shí)防火墻就像一個(gè)交換機(jī)一樣工作�����,內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)必須處于同一個(gè)子網(wǎng)。此模式下�����,報(bào)文在防火墻當(dāng)中不僅進(jìn)行二層的交換�����,還會(huì)對(duì)報(bào)文進(jìn)行高層分析處理�����。
(3)混合模式
如果華為防火墻既存在工作在路由模式的接口(接口具有IP地址)�����,又存在工作在透明模式的接口(接口無(wú)IP地址)�����,則防火墻工作在混合模式下�����。這種工作模式基本上是透明模式和路由模式的混合�����,目前只用于透明模式下提供雙機(jī)熱備的特殊應(yīng)用中�����,別的環(huán)境下不建議使用�����!
2.華為防火墻的安全區(qū)域劃分
安全區(qū)域�����,簡(jiǎn)稱區(qū)域�����。防火墻通過(guò)區(qū)域區(qū)分安全網(wǎng)絡(luò)和不安全網(wǎng)絡(luò)�����,在華為防火墻上安全區(qū)域是一個(gè)或多個(gè)接口的集合�����,是防火墻區(qū)分于路由器的主要特性。防火墻通過(guò)安全區(qū)域來(lái)劃分網(wǎng)絡(luò)�����,并基于這些區(qū)域控制區(qū)域間的報(bào)文傳遞�����。當(dāng)數(shù)據(jù)報(bào)文在不同的安全區(qū)域之間傳遞時(shí)�����,將會(huì)觸發(fā)安全策略進(jìn)行檢查�����。
當(dāng)給一個(gè)接口指定安全區(qū)域之后�����,該接口及身后的網(wǎng)絡(luò)就被當(dāng)做一個(gè)安全區(qū)域�����,一個(gè)安全區(qū)域可以包含一個(gè)或多個(gè)網(wǎng)段。安全區(qū)域是基于網(wǎng)絡(luò)的信任區(qū)域程度或保護(hù)程度來(lái)劃分的�����。將不同的接口劃分相應(yīng)的安全區(qū)域后�����,防火墻通過(guò)接口就可以把安全區(qū)域與網(wǎng)絡(luò)關(guān)聯(lián)到一起�����。當(dāng)我們提到某個(gè)安全區(qū)域中的流量時(shí)�����,就會(huì)聯(lián)想到這個(gè)安全區(qū)域下所管理的接口與網(wǎng)絡(luò)的對(duì)應(yīng)關(guān)系�����。
華為防火墻默認(rèn)有四個(gè)區(qū)域�����,分別是Trust�����、Untrust�����、DMZ和Local�����。不同的區(qū)域擁有不同的受信優(yōu)先級(jí)�����,防火墻則根據(jù)這些區(qū)域的受信優(yōu)先級(jí)來(lái)區(qū)分區(qū)域的保護(hù)級(jí)別�����。
在華為防火墻上�����,每個(gè)安全區(qū)域都有唯一的安全級(jí)別�����,用數(shù)字1~100來(lái)表示,數(shù)字越大�����,則代表該區(qū)域內(nèi)的網(wǎng)絡(luò)越可信�����。對(duì)于默認(rèn)的安全區(qū)域�����,他們的安全區(qū)域是固定的:Local區(qū)域的安全級(jí)別是100�����,Trust區(qū)域的安全級(jí)別是85�����,DMZ區(qū)域的安全級(jí)別是50�����,Untrust區(qū)域的安全級(jí)別是5�����。
用戶可以根據(jù)自己的實(shí)際情況�����,自行創(chuàng)建更多的安全區(qū)域�����,并為這些安全區(qū)域配置優(yōu)先級(jí)�����,在配置優(yōu)先級(jí)時(shí)需要注意安全級(jí)別之間的相互關(guān)系�����,如一個(gè)自定義網(wǎng)絡(luò)的安全性比目前已經(jīng)存在的DMZ區(qū)域要差�����,但是比互聯(lián)網(wǎng)安全�����,那么優(yōu)先級(jí)的取值應(yīng)該是5~50范圍內(nèi)。
華為防火墻常見的幾種區(qū)域:
- Trust區(qū)域:主要用于連接公司內(nèi)部網(wǎng)絡(luò)�����,優(yōu)先級(jí)為85�����,安全等級(jí)較高�����;
- DMZ區(qū)域:非軍事化區(qū)域�����,是介于嚴(yán)格的軍事管制區(qū)和公共區(qū)域之間的一種區(qū)域�����,在防火墻中通常定義為需要對(duì)外提供服務(wù)的網(wǎng)絡(luò)�����,其安全性介于Trust區(qū)域和Untrust區(qū)域之間�����,優(yōu)先級(jí)為50�����,安全等級(jí)中等�����;
- Untrust區(qū)域:通常定義外部網(wǎng)絡(luò)�����,優(yōu)先級(jí)為5�����,安全級(jí)別很低�����。Untrust區(qū)域表示不受信任的區(qū)域�����,互聯(lián)網(wǎng)上威脅較多,所以一般把Internet等不安全網(wǎng)絡(luò)劃入U(xiǎn)ntrust區(qū)域�����;
- Local區(qū)域:通常定義防火墻本身�����,優(yōu)先級(jí)為100�����。防火墻除了轉(zhuǎn)發(fā)區(qū)域之間的報(bào)文之外�����,還需要自身接收和發(fā)送流量�����,如網(wǎng)絡(luò)管理�����、運(yùn)行動(dòng)態(tài)路由協(xié)議等�����。由防火墻主動(dòng)發(fā)起的報(bào)文被認(rèn)為是從Local區(qū)域傳出的�����,需要防火墻響應(yīng)并處理(不是穿越)的報(bào)文被認(rèn)為是由Local區(qū)域接收并進(jìn)行相應(yīng)處理的�����。Local區(qū)域并不需要添加接口�����,但所有接口隱含屬于Local區(qū)域�����,雖然我們一個(gè)接口劃分到某個(gè)區(qū)域中�����,但也只是表示由這個(gè)接口發(fā)送或接受的報(bào)文屬于該區(qū)域�����,并不代表接口本身;
- 其他區(qū)域:用戶自定義區(qū)域�����,默認(rèn)最多自定義16個(gè)區(qū)域�����,自定義區(qū)域沒有默認(rèn)優(yōu)先級(jí)�����,所以需要手工指定�����;
注意:
- 華為防火墻中�����,一個(gè)接口只能加入一個(gè)安全區(qū)域�����;
- 華為傳統(tǒng)防火墻默認(rèn)情況下�����,對(duì)從高優(yōu)先級(jí)區(qū)域到低優(yōu)先級(jí)區(qū)域方向的流量默認(rèn)放行�����,但是華為最新的NGFW防火墻默認(rèn)禁止一切流量�����。如需放行指定的流量�����,需要管理員設(shè)置策略�����;
3.防火墻Inbound和Outbound
防火墻基于區(qū)域之間處理流量�����,即使由防火墻自身發(fā)起的流量也屬于Local區(qū)域和其他區(qū)域之間的流量傳遞�����。當(dāng)數(shù)據(jù)流在安全區(qū)域之間流動(dòng)時(shí),才會(huì)激發(fā)華為防火墻進(jìn)行安全策略的檢查�����,即華為防火墻的安全策略通常都是基于域間的�����,不同的區(qū)域之間可以設(shè)置不同的安全策略�����。
域間的數(shù)據(jù)流分為兩個(gè)方向:
- 入方向(Inbound):數(shù)據(jù)由低級(jí)別的安全區(qū)域向高級(jí)別的安全區(qū)域傳輸?shù)姆较颍?/li>
- 出方向(Outbound):數(shù)據(jù)由高級(jí)別的安全區(qū)域向低級(jí)別的安全區(qū)域傳輸?shù)姆较颍?/li>
在防火墻技術(shù)中�����,通常把兩個(gè)方向的流量區(qū)別來(lái)看待�����。因?yàn)榉阑饓Φ臓顟B(tài)化檢測(cè)機(jī)制�����,所以針對(duì)數(shù)據(jù)流通常只重點(diǎn)處理首個(gè)報(bào)文�����。
如圖:內(nèi)網(wǎng)計(jì)算機(jī)屬于Trust區(qū)域�����,互聯(lián)網(wǎng)計(jì)算機(jī)屬于Untrust區(qū)域�����。當(dāng)內(nèi)網(wǎng)計(jì)算機(jī)訪問(wèn)互聯(lián)網(wǎng)計(jì)算機(jī)時(shí)�����,屬于正常的公司業(yè)務(wù)流量�����,請(qǐng)求包屬于Outbound流量�����,而且是第一個(gè)包�����,所以防火墻需要基于策略處理該Outbound流量,而返回響應(yīng)包時(shí)�����,流量屬于Inbound流量�����,直接查詢狀態(tài)化信息放行流量�����。而外部Untrust區(qū)域的互聯(lián)網(wǎng)計(jì)算機(jī)訪問(wèn)內(nèi)網(wǎng)計(jì)算機(jī)可能是來(lái)自于外部的非法行為�����,此時(shí)流量風(fēng)險(xiǎn)較大�����,請(qǐng)求包屬于Inbound流量�����,而且是第一個(gè)包,所以防火墻需要基于安全策略處理該Inbound流量�����。而返回響應(yīng)包時(shí)�����,流量屬于Outbound流量�����,直接查詢狀態(tài)化信息放行流量�����。所以首個(gè)包是Inbound的入站包的風(fēng)險(xiǎn)遠(yuǎn)遠(yuǎn)大于首個(gè)包的是Outbound的出站包�����。在指定防火墻策略時(shí)�����,也應(yīng)該重點(diǎn)指定嚴(yán)格的Inbound域間策略和相對(duì)寬松的OUtbound域間策略�����。
4.狀態(tài)化信息
狀態(tài)化檢測(cè)防火墻使用的狀態(tài)化檢測(cè)和會(huì)話機(jī)制�����,目前已經(jīng)成為防火墻產(chǎn)品的基本功能�����,也是防火墻實(shí)現(xiàn)安全防護(hù)的基礎(chǔ)技術(shù)�����。
防火墻對(duì)于數(shù)據(jù)流的處理�����,是針對(duì)首個(gè)報(bào)文在訪問(wèn)發(fā)起的方向檢查安全策略�����,如果允許轉(zhuǎn)發(fā)�����,同時(shí)將生成狀態(tài)化信息——會(huì)話表。而后續(xù)的報(bào)文及返回的報(bào)文如果匹配到會(huì)話表�����,將直接轉(zhuǎn)發(fā)而不經(jīng)過(guò)策略的檢查�����,進(jìn)而提高轉(zhuǎn)發(fā)效率�����,這也是狀態(tài)化防火墻的典型特性�����。
防火墻通過(guò)五元組來(lái)唯一地區(qū)分一個(gè)數(shù)據(jù)流�����,即源IP�����、目標(biāo)IP�����、協(xié)議�����、源端口和目標(biāo)端口�����。防火墻把具有相同五元組內(nèi)容的數(shù)據(jù)當(dāng)做一個(gè)數(shù)據(jù)流�����。防火墻對(duì)于同一個(gè)數(shù)據(jù)流只對(duì)首個(gè)報(bào)文檢查一次安全策略�����,同時(shí)創(chuàng)建會(huì)話表來(lái)匹配數(shù)據(jù)流中的后續(xù)報(bào)文及返回報(bào)文�����。該會(huì)話表無(wú)法匹配其他流量�����,所以防火墻的這種狀態(tài)化機(jī)制保證了同一會(huì)話的數(shù)據(jù)流高效轉(zhuǎn)發(fā)。但是對(duì)于其他流量�����,依然要經(jīng)過(guò)防火墻的安全策略檢查�����,防火墻的這種特性使每個(gè)數(shù)據(jù)流都至少一個(gè)包必須匹配安全策略�����,而非法的流量在執(zhí)行安全策略時(shí)將會(huì)被丟棄�����。
狀態(tài)檢測(cè)防火墻使用基于連接狀態(tài)的檢測(cè)機(jī)制�����,將通信雙方交互的屬于同一連接的所有報(bào)文都作為整體的數(shù)據(jù)流來(lái)對(duì)待�����。在狀態(tài)檢測(cè)防火墻看來(lái)�����,同一個(gè)數(shù)據(jù)流內(nèi)的報(bào)文不再是孤立的個(gè)體�����,而是存在聯(lián)系的�����,如果為數(shù)據(jù)流的第一個(gè)報(bào)文建立會(huì)話�����,數(shù)據(jù)流內(nèi)的后續(xù)報(bào)文將直接根據(jù)會(huì)話進(jìn)行轉(zhuǎn)發(fā)�����,從而提高了效率�����。
會(huì)話是通信雙方的連接在防火墻上的具體體現(xiàn)�����,代表兩者的連接狀態(tài),一條會(huì)話就表示通信雙方的一個(gè)連接�����。防火墻上多余會(huì)話的集合就稱為會(huì)話表�����。在華為防火墻上�����,執(zhí)行以下命令可以查看當(dāng)前的會(huì)話表:
重點(diǎn)介紹這個(gè)表中的關(guān)鍵字段:
- http代表協(xié)議�����;
- 1.1.1.1代表源地址�����;
- 2049代表源端口�����;
- 2.2.2.2代表目的地址�����;
- 80表示目標(biāo)端口�����;
- 通過(guò)“-->”號(hào)可以直觀的區(qū)分源和目標(biāo)�����,符號(hào)前是源�����,符號(hào)后是目標(biāo)�����。
注意:會(huì)話時(shí)動(dòng)態(tài)生成的�����,不可能會(huì)永久存在。如果長(zhǎng)時(shí)間沒有報(bào)文匹配�����,則說(shuō)明通信雙方已經(jīng)斷開了連接�����,不再需要該條會(huì)話�����。此時(shí)�����,為了節(jié)約資源�����,防火墻會(huì)在一段時(shí)間后刪除會(huì)話�����,該時(shí)間成為會(huì)話老化時(shí)間�����。
5.安全策略
防火墻的基本作用是保護(hù)特定網(wǎng)絡(luò)免受“不信任”網(wǎng)站的非法操作�����,但是同時(shí)還必須允許兩個(gè)網(wǎng)絡(luò)之間可以進(jìn)行合法的通信�����。安全策略的作用就是對(duì)通過(guò)防火墻的數(shù)據(jù)流進(jìn)行檢驗(yàn)�����,符合安全策略的合法數(shù)據(jù)流才能通過(guò)防火墻�����?����?梢栽诓煌挠蜷g方向應(yīng)用不同的安全策略進(jìn)行不同的控制�����。
隨著網(wǎng)絡(luò)的高速發(fā)展,應(yīng)用的不斷增加�����,大量基于Web的應(yīng)用和基于移動(dòng)的應(yīng)用越來(lái)越多�����,網(wǎng)絡(luò)安全對(duì)防火墻提出了新的挑戰(zhàn)�����。傳統(tǒng)的基于IP�����、端口及協(xié)議的訪問(wèn)控制已經(jīng)不能滿足當(dāng)前的網(wǎng)絡(luò)需求�����。華為針對(duì)當(dāng)前的網(wǎng)絡(luò)需求�����。提出了一體化的安全策略�����。目前USG6000系列防火墻的V100R001版本采用的是一體化安全策略。
所謂一體化�����,可以體現(xiàn)在兩個(gè)方面:
- 其一是配置上的一體化�����,如郵件過(guò)濾�����、內(nèi)容過(guò)濾�����、應(yīng)用行為過(guò)濾等安全監(jiān)測(cè)通過(guò)策略中引用配置文件就可實(shí)現(xiàn)�����,降低了網(wǎng)絡(luò)管理員的配置難度�����;
- 其二是業(yè)務(wù)上的一體化�����,一體化的策略只對(duì)報(bào)文進(jìn)行一次檢測(cè)�����,多業(yè)務(wù)功能可以并行處理�����,從而大大提高了處理效率�����;而傳統(tǒng)的防火墻是采用串行方式�����,流量每經(jīng)過(guò)一個(gè)模塊便進(jìn)行一次檢測(cè)�����;
華為新一代防火墻對(duì)報(bào)文的檢測(cè)除了基于傳統(tǒng)的五元組(源IP�����、目標(biāo)IP、協(xié)議�����、源端口�����、目標(biāo)端口)之外�����,還可以基于應(yīng)用�����、內(nèi)容�����、時(shí)間�����、用戶�����、威脅及位置對(duì)流量進(jìn)行深層檢測(cè)�����,真正實(shí)現(xiàn)全方位立體化的檢測(cè)能力及精準(zhǔn)的訪問(wèn)控制和安全策略�����。如圖:
一體化的安全策略由若干規(guī)則組成�����,而規(guī)則由條件�����、動(dòng)作�����、配置文件和選項(xiàng)構(gòu)成�����。如圖:
其中配置文件的作用是對(duì)報(bào)文進(jìn)行內(nèi)容安全檢測(cè),其中包括反病毒�����、非法進(jìn)入防御�����、URL過(guò)濾�����、文件過(guò)濾�����、內(nèi)容過(guò)濾�����、應(yīng)用行為及郵件過(guò)濾�����。一條規(guī)則可以引用一個(gè)或多個(gè)配置文件�����。不同類型的規(guī)則包含對(duì)應(yīng)對(duì)應(yīng)的默認(rèn)配置文件�����,管理員也可以手動(dòng)引用一個(gè)或多個(gè)配置文件�����。配置文件只有在動(dòng)作允許時(shí)�����,才能被引用�����。
條件是匹配某條規(guī)則的依據(jù)�����,如報(bào)文的源區(qū)域、目標(biāo)地址�����、時(shí)間等�����。滿足規(guī)則的所有條件才算匹配該條規(guī)則�����,如報(bào)文匹配規(guī)則1的源區(qū)域�����、源地址�����、用戶�����、應(yīng)用�����、服務(wù)�����。但是就是沒有匹配時(shí)間�����,那么該報(bào)文也不能匹配第一條規(guī)則�����,而是應(yīng)該繼續(xù)往下繼續(xù)匹配�����。一條規(guī)則中�����,不需要配置所有的條件�����,可以指定一個(gè)或多個(gè)條件。
- 條件中的各個(gè)元素如果在多條規(guī)則中重復(fù)使用�����,或者該元素本身包含多個(gè)相關(guān)內(nèi)容�����,可以考慮配置為對(duì)象�����,對(duì)象可被多條規(guī)則調(diào)用�����。如果定義一個(gè)地址類型的對(duì)象�����,包含公司中多個(gè)網(wǎng)段�����,那么該對(duì)象就可以在規(guī)則條件中被源地址或目標(biāo)地址引用�����;
- 動(dòng)作是防火墻對(duì)于匹配的流量采用的處理方式�����,包含允許�����、拒絕等�����。不同的策略可以選擇不同的處理方式�����。如果處理方式時(shí)運(yùn)管系�����,那么還可以繼續(xù)基于配置文件對(duì)報(bào)文做后續(xù)處理�����;
- 選項(xiàng)時(shí)規(guī)則中的附加功能,如是否針對(duì)該條規(guī)則記錄日志�����,本條規(guī)則是否生效等�����;
注意:條件中的各個(gè)元素之間是“并且”的關(guān)系�����,報(bào)文的屬性與各個(gè)元素必須全部匹配�����,才認(rèn)為該報(bào)文匹配這條規(guī)則�����;而條件中的同一元素的多個(gè)對(duì)象之間是“或者”的關(guān)系�����,報(bào)文的屬性只要匹配其中的一個(gè)對(duì)象�����,就認(rèn)為報(bào)文的屬性匹配這個(gè)元素�����。
區(qū)別于傳統(tǒng)的安全策略�����,一體化的安全策略具有如下特點(diǎn):
- 策略配置基于全局�����,不再基于區(qū)域間配置�����,安全區(qū)域只是條件的可選配置項(xiàng)�����,也可以在一條規(guī)則中配置多個(gè)源區(qū)域或目標(biāo)區(qū)域�����;
- 默認(rèn)情況下,所有的區(qū)域間通信都被拒絕�����,包括Outbound流量�����。必須通過(guò)策略配置放行所需流量�����;
- 安全策略中的默認(rèn)動(dòng)作代替了默認(rèn)包過(guò)濾�����。傳統(tǒng)防火墻的包過(guò)濾是基于區(qū)間的�����,只針對(duì)指定的區(qū)域間生效�����,而新一代防火墻的默認(rèn)動(dòng)作全局生效,且默認(rèn)動(dòng)作為拒絕�����,且拒絕一切流量�����,除非允許�����;
防火墻對(duì)規(guī)則的處理順序和ACL非常類似�����。從上往下依次匹配�����,找到即停�����,默認(rèn)拒絕�����!
默認(rèn)情況下�����,華為防火墻的策略有如下特點(diǎn):
- 任何兩個(gè)安全區(qū)域的優(yōu)先級(jí)不能相同�����;
- 本域內(nèi)不同接口間的報(bào)文不過(guò)濾直接轉(zhuǎn)發(fā)�����;
- 接口沒有加入域之前不能轉(zhuǎn)發(fā)報(bào)文�����;
- 在USG6000系列的防火墻上是沒有安全策略的�����,也就是說(shuō)�����,不管是什么區(qū)域之間互相訪問(wèn),都必須配置安全策略�����,除非是同一區(qū)域報(bào)文傳遞�����;
———————— 本文至此結(jié)束�����,感謝閱讀 ————————
