防火墙的安全策略
规则--策略
条件
---
检查报文的依据,防火墙将报文中携带的信息与条件逐一进行对比,
以此来判断报文是否是
匹配的
。不同的匹配条件之间属于
“
与
”
关系;相同的匹配条件中不同的参数信息之间的关系为
“
或
”
关系。
安全策略的匹配顺序
会按照从上到下的顺序逐条查找域间存在的安全策略
。如果存在某条匹配信息,则立即执行对应动
作,不再向下匹配。
---
在配置安全策略时,需要遵循
“
先精细,后粗狂
”
的原则。
缺省包过滤规则
----
本质还是一种安全策略。没有具体的条件,对所有的报文均生效;动作是被分为允许和拒绝两种。---
防火墙处理数据报文的最后的手段
。
默认情况下,缺省包过滤机制的动作是拒绝通过
。
虽然缺省包过滤机制可以将动作设定为允许,但是尽量不要轻易的进行改变,而是选择通过配置条
件更加精准的安全策略来控制报文的转发逻辑。
安全策略的发展历程
第一阶段,基于
ACL
的包过滤
五元组信息过滤
第二阶段,融合
UTM
的安全策略
核心点:安全策略是由
条件
+
动作
+UTM
策略组成
UTM
策略仅仅在报文匹配动作为允许的策略中才会执行。因为如果动作拒绝,流量将会被丢
弃,也就不需要进一步的检查了
。
第三阶段,一体化安全策略
一体化体现在两个方面
配置
业务
规则:防火墙的安全策略,只针对单播数据流量进行检查,不对组播或广播流量进行检查。
安全策略配置
1、地址
[FW1]ip address-set BG ---创建地址集,名称为BG
[FW1-object-address-set-BG]address 192.168.1.0 mask 25 ---创建地址内容
2、时间段
[FW1]time-range working-time ---创建时间段名称
[FW1-time-range-working-time]period-range 08:00:00 to 18:00:00 working-day
3、创建安全策略
[FW1]security-policy ---进入安全策略配置视图
[FW1-policy-security]rule name policy_1
[FW1-policy-security-rule-policy_1]description BG_to_OA --描述信息
[FW1-policy-security-rule-policy_1]source-zone trust
[FW1-policy-security-rule-policy_1]destination-zone dmz
[FW1-policy-security-rule-policy_1]source-address address-set BG
[FW1-policy-security-rule-policy_1]destination-address address-set "OA Server"
[FW1-policy-security-rule-policy_1]time-range working-time
[FW1-policy-security-rule-policy_1]action permit ---动作
[FW1-policy-security]rule move policy_2 before policy_1 ---移动规则顺序
[FW1-policy-security]default action deny ---修改默认包过滤规则动作
![98,【6】 buuctf web [ISITDTU 2019]EasyPHP](https://i-blog.csdnimg.cn/direct/bf12ee475bb04b128de04bbdce64139b.png)
