大家好,强叔又和你们见面了。通过前几期的介绍,相信大家对防火墙的基础知识已经有了一定的了解。本期开始我们更进一步,迈入“安全策略”篇。
前几期的帖子中,强叔多次提到了“网络隔离”、“访问控制”、“安全检查”等字眼,“安全策略”就是实施这些安全控制的“安检员”哦,他的作用不容小觑!本期先带大家简单了解安全策略的基本概念及发展历程,后续将详细介绍安全策略的内容。
防火墙的基本作用是保护特定网络免受“不信任”的网络的***,但是同时还必须允许两个网络之间可以进行合法的通信。安全策略的作用就是对通过防火墙的数据流进行检验,符合安全策略的合法数据流才能通过防火墙。
如上图所示,可以在不同的域间方向应用不同的安全策略进行不同的控制。
安全策略是由匹配条件和动作(允许/拒绝)组成的控制规则,可以基于IP、端口、协议等属性进行细化的控制。例如下边这条安全策略控制源IP是1.1.1.1的流量可以访问目的地址为2.2.2.2的Web服务器。
缺省情况下,所有域间的所有方向都禁止报文通过1,可以根据需求配置允许哪些数据流通过防火墙的安全策略。
1:对于路由、ARP等底层协议一般是不受安全策略控制的,直接允许通过。当然这和具体产品实现有关,产品间可能有差异。
另外再啰嗦一下,除了经过防火墙转发的数据流,设备本身与外界互访的数据流也同样受安全策略的控制哦!例如当登录设备、网管与设备对接时,需要配置登录PC/网管所在安全区域与Local域之间的安全策略。
同时为了灵活应对各种组网情况,华为防火墙还支持配置域内策略,也就对同一个安全区域内经过防火墙的流量进行安全检查。当然缺省情况下是允许所有域内报文通过防火墙的。
有人可能要问了,缺省域间不允许数据流通过,我要逐条为允许通过的数据流配置安全策略也太繁琐了?比如我只想控制少数IP发起的流量不能经过防火墙,其他IP的流量都可以经过防火墙,有什么好办法吗?
当然有,防火墙出于安全考虑缺省情况拒绝所有流量经过,但是这个缺省情况是可以修改的,这就是“缺省包过滤”。如果流量没有匹配到任何安全策略,将按缺省包过滤的动作进行处理。因此实现上述需求可只配置拒绝流量通过的安全策略,缺省包过滤改为permit。
安全策略的应用方向
既然一个域间有Inbound和Outbound两个方向,那是否需要为访问的双向流量同时配置安全策略呢?No,对于同一条数据流,在访问发起的方向上应用安全策略即可,反向报文不需要额外的策略。这点和路由器、交换机包过滤不一样,主要原因就是防火墙是状态检测设备,对于同一条数据流只有首包匹配安全策略并建立会话,后续包都匹配会话转发。
如上图所示,Trust域的PC访问Untrust域的Server,只需要在Trust到Untrust的Outbound方向上应用安全策略允许PC访问Server即可,对于Server回应PC的应答报文会命中首包建立的会话而允许通过。
如果确实需要开放Server主动访问PC的权限,这时才需要在Inbound方向上也应用安全策略。
安全策略的匹配
防火墙将流量的属性与安全策略的条件进行匹配。如果所有条件都匹配,则此流量成功匹配安全策略。如果其中有一个条件不匹配,则未匹配安全策略。
同一域间或域内应用多条安全策略,策略的优先级按照配置顺序进行排列,越先配置的策略优先级越高,越先匹配报文。如果报文匹配到一条策略就不再继续匹配剩下的策略,如果没有匹配到任何策略就按缺省包过滤处理。所以配置策略还是有一定讲究的,要先细后粗。
举个具体的例子:企业FTP服务器地址为10.1.1.1,办公区IP段为10.2.1.0/24,要求禁止两台临时办公PC(10.2.1.1、10.2.1.2)访问FTP服务器。如下这样配置有什么问题?
这样配置将无法实现“禁止两台临时办公PC(10.2.1.1、10.2.1.2)访问FTP服务器”的需求,因为这两个IP已经命中了第一条宽泛的策略,无法再命中第二条策略。所以两条策略需要调换顺序。
安全策略发展史
有同学可能要问了,啥安全策略,不就是包过滤吗?那你可out了,随着防火墙产品的推陈出新,包过滤也逐渐进化,已经发展成为可以做深度内容检查的“安全策略”。策略匹配条件也已经在“五元组”的基础上增加了用户、应用等匹配条件,还增加了内容安全检测处理。
下图展现了安全策略的发展历程,大家可以看到NGFW中已经实现了基于“七元组”的安全策略。细粒度的安全管控使藏匿于流量中的危险分子无所遁形。
转载于:https://blog.51cto.com/hanjh8/1580155