【WALL1600下一代防火墙】下一代防火墙安全策略说明

发布时间: 2013-09-15 点击量:1022 打印 字体:

一、安全策略原理

        1、为了对数据流进行统一控制,方便用户配置和管理,NGFW设备引入了安全策略的概念。通过配置安全策略,防火墙能够对经过设备的数据流进行有效的控制和管理。       

        2、当防火墙收到数据报文时,把该报文的方向、源地址、目的地址、协议、端口等信息和用户配置的策略匹配,决定是否建立这条数据流,并且把这条流和匹配的策略关联起来,从而确定如何处理该流的后续报文,实现允许、丢弃、加密和解密、认证、排定优先次序、调度、过滤以及监控数据流,决定哪些用户和数据能进出,以及它们进出的时间和地点。 

        3、在安全策略中还可以根据匹配结果,对符合规则的报文实行过滤动作(允许通过或丢弃),简单地实现包过滤功能。

        4、在没有配置任何安全策略的情况下,对于经过设备的所有数据包,其缺省策略为禁止。 

        5、安全策略按从上到下顺序匹配的原则,只对通过设备的数据包进行处理,对于到设备本身的数据包和设备本身发出的数据包不进行限制。 

 

二、配置安全策略要点

       安全策略的基本要素是匹配条件和动作。匹配条件包括数据流的方向、源地址、目的地址、服务和策略生效的时间范围。

       其中,数据流的方向通过指定入接口/安全域和出接口/安全域来确定,源地址、目的地址、服务和时间范围都可以直接引用已定义的对象。 

       

       1、源接口/安全域:数据流的流入方向,可以指定某个接口,也可以是已定义的某个安全域,any表示所有口

        2、地址名:数据流的源地址,可以引用已定义的某个地址对象或地址对象组,any表示源地址为任意。 

        3、目的 接口/安全域:数据流的流出方向,可以指定某个接口,也可以是已定义的某个安全域,any表示所有接口。 

          4、服务:数据流的服务属性,包括协议、源端口和目的端口,可以引用系统预定义服务、已定义的服务对象或服务对象组,any表示服务为任意。

          5、时间表:策略生效的时间,可以引用已配置的时间对象,always表示所有时间。 

          6、动作:对符合匹配条件的数据流执行的动作,PERMIT为允许,DENY为拒绝,IPSEC为ipsec加密,SSL-VPN为sslvpn加密。 

          7、安全防护:选中此复选框可以在防火墙策略中启用安全防护功能,在下拉框中选择一个已经定义好的安全防护表模板,匹配该策略的数据流都要经过相应的安全防护表的检查。 

          8、流量日志:选中此复选框可以在防火墙策略中启用流量日志功能。 

          9、syslog日志:选中此复选框启用syslog日志功能,匹配该策略的数据流被阻断的信息会被发往syslog服务器,信息的优先级为LOG_INFO。 

     10、Web接入认证:选中此复选框,并将相应的Web认证用户组加入允许组,匹配该策略的用户都要经过Web认证才能访问资源。 

     11、流量控制:选中此复选框可以在防火墙策略中启用流量控制功能,对策略中指定的流进行服务质量保证。详细配置参见”限速“章节。

           12、NetFlow日志:选中此复选框可以在防火墙策略中启用NetFlow日志功能,统计匹配该策略的通过NGFW设备转发的所有数据包。

 

00 分享 纠错
相关条目