交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
一、安全策略原理
1、为了对数据流进行统一控制,方便用户配置和管理,NGFW设备引入了安全策略的概念。通过配置安全策略,防火墙能够对经过设备的数据流进行有效的控制和管理。
2、当防火墙收到数据报文时,把该报文的方向、源地址、目的地址、协议、端口等信息和用户配置的策略匹配,决定是否建立这条数据流,并且把这条流和匹配的策略关联起来,从而确定如何处理该流的后续报文,实现允许、丢弃、加密和解密、认证、排定优先次序、调度、过滤以及监控数据流,决定哪些用户和数据能进出,以及它们进出的时间和地点。
3、在安全策略中还可以根据匹配结果,对符合规则的报文实行过滤动作(允许通过或丢弃),简单地实现包过滤功能。
4、在没有配置任何安全策略的情况下,对于经过设备的所有数据包,其缺省策略为禁止。
5、安全策略按从上到下顺序匹配的原则,只对通过设备的数据包进行处理,对于到设备本身的数据包和设备本身发出的数据包不进行限制。
二、配置安全策略要点
安全策略的基本要素是匹配条件和动作。匹配条件包括数据流的方向、源地址、目的地址、服务和策略生效的时间范围。
其中,数据流的方向通过指定入接口/安全域和出接口/安全域来确定,源地址、目的地址、服务和时间范围都可以直接引用已定义的对象。
1、源接口/安全域:数据流的流入方向,可以指定某个接口,也可以是已定义的某个安全域,any表示所有口
2、地址名:数据流的源地址,可以引用已定义的某个地址对象或地址对象组,any表示源地址为任意。
3、目的 接口/安全域:数据流的流出方向,可以指定某个接口,也可以是已定义的某个安全域,any表示所有接口。
4、服务:数据流的服务属性,包括协议、源端口和目的端口,可以引用系统预定义服务、已定义的服务对象或服务对象组,any表示服务为任意。
5、时间表:策略生效的时间,可以引用已配置的时间对象,always表示所有时间。
6、动作:对符合匹配条件的数据流执行的动作,PERMIT为允许,DENY为拒绝,IPSEC为ipsec加密,SSL-VPN为sslvpn加密。
7、安全防护:选中此复选框可以在防火墙策略中启用安全防护功能,在下拉框中选择一个已经定义好的安全防护表模板,匹配该策略的数据流都要经过相应的安全防护表的检查。
8、流量日志:选中此复选框可以在防火墙策略中启用流量日志功能。
9、syslog日志:选中此复选框启用syslog日志功能,匹配该策略的数据流被阻断的信息会被发往syslog服务器,信息的优先级为LOG_INFO。
10、Web接入认证:选中此复选框,并将相应的Web认证用户组加入允许组,匹配该策略的用户都要经过Web认证才能访问资源。
11、流量控制:选中此复选框可以在防火墙策略中启用流量控制功能,对策略中指定的流进行服务质量保证。详细配置参见”限速“章节。
12、NetFlow日志:选中此复选框可以在防火墙策略中启用NetFlow日志功能,统计匹配该策略的通过NGFW设备转发的所有数据包。