规则--策略
条件---检查报文的依据,防火墙将报文中携带的信息与条件逐一进行对比,以此来判断报文是否是匹配的。不同的匹配条件之间属于“与”关系;相同的匹配条件中不同的参数信息之间的关系为“或”关系。
安全策略的匹配顺序
会按照从上到下的顺序逐条查找域间存在的安全策略 。如果存在某条匹配信息,则立即执行对应动
作,不再向下匹配。 --- 在配置安全策略时,需要遵循 “ 先精细,后粗狂 ” 的原则。
缺省包过滤规则 ---- 本质还是一种安全策略。没有具体的条件,对所有的报文均生效;动作是被分为允许和拒绝两种。--- 防火墙处理数据报文的最后的手段 。
默认情况下,缺省包过滤机制的动作是拒绝通过。
虽然缺省包过滤机制可以将动作设定为允许,但是尽量不要轻易的进行改变,而是选择通过配置条
件更加精准的安全策略来控制报文的转发逻辑。
安全策略的发展历程
第一阶段,基于ACL的包过滤
- 五元组信息过滤
第二阶段,融合UTM的安全策略
- 核心点:安全策略是由条件+动作+UTM策略组成
- UTM策略仅仅在报文匹配动作为允许的策略中才会执行。因为如果动作拒绝,流量将会被丢 弃,也就不需要进一步的检查了。
第三阶段,一体化安全策略
- 一体化体现在两个方面
- 配置
- 业务(串行检查--->并行)
规则:防火墙的安全策略,只针对单播数据流量进行检查,不对组播或广播流量进行检查 。
安全策略配置
命令行:
1 、地址[FW1]ip address-set BG --- 创建地址集,名称为 BG[FW1-object-address-set-BG]address 192.168.1.0 mask 25 --- 创建地址内容2 、时间段[FW1]time-range working-time --- 创建时间段名称[FW1-time-range-working-time]period-range 08:00:00 to 18:00:00 working-day3 、创建安全策略[FW1]security-policy --- 进入安全策略配置视图[FW1-policy-security]rule name policy_1[FW1-policy-security-rule-policy_1]description BG_to_OA -- 描述信息[FW1-policy-security-rule-policy_1]source-zone trust[FW1-policy-security-rule-policy_1]destination-zone dmz[FW1-policy-security-rule-policy_1]source-address address-set BG[FW1-policy-security-rule-policy_1]destination-address address-set "OA Server"[FW1-policy-security-rule-policy_1]time-range working-time[FW1-policy-security-rule-policy_1]action permit --- 动作[FW1-policy-security]rule move policy_2 before policy_1 --- 移动规则顺序[FW1-policy-security]default action deny --- 修改默认包过滤规则动作
web页面:
