TCP默认生存时间1800S,UDP默认生存时间600S
一、安全策略1.1 安全策略概念
策略是网络安全设备的基本安全功能,默认情况下,安全设备会拒绝设备上所有安全域之间的信息传输,而策略则通过策略规则(Policy Rule)决定从一个安全域到另一个安全域的哪些流量该被允许,哪些流量该被拒绝。策略基于安全域定制,用户需要将接口绑定到安全域中才可以通过策略控制接口之间的流量。
--策略规则分为两部分:过滤条件和行为
--过滤条件:流量的源/目安全域、源/目的地址、服务和应用类型、角色用户、时间表;
--行为:允许(Permit)、拒绝(Deny)、隧道(Tunnel)、来自隧道(From Tunnel)、Web认证、Portal服务器
隧道和来自隧道应用于IPSec VPN
1.2 策略规则的基本元素
策略规则允许或者拒绝从一个(多个)安全域到另外一个(多个)安全域/从一个地址段到另一个地址段的流量。流量的类型、流量的源安全域/源地址与目的安全域/目的地址以及行为构成策略规则的基本元素。
Source Zone/Address 流量的源安全域/源地址
Destination Zone/Address 流量的目的安全域/目的地址
Service 流量的服务类型
Action 安全设备在遇到指定类型的流量时做出的行为,包括允许(Permit)、拒绝(Deny)、隧道(Tunnel)、来自隧道(Fromtunnel)、以及Web认证五个行为。
1.3 安全策略匹配原则
注意:新建的策略一般在最后,要进行位置的移动
1、流量首包匹配安全策略规则;
2、策略匹配顺序为从列表由上至下(不是按照ID号大小匹配)根据流量的过滤条件进行匹配,系统会对流量按照找到的第一条与过滤条件相匹配的策略规则进行处理;
3、系统缺省的策略是拒绝所有流量。
策略规则都有其独有的ID号,策略规则ID会在定义规则时自动生成,同时用户也可以按自己的需求为策略规则制定ID,策略规则ID只是标示该规则,不决定系统查找策略顺序,从源安全域到目标安全域之间的所有策略有特定的排列顺序,系统按照策略规则显示顺序查找匹配规则,在流量进入系统时,系统会对流量安全按照找到的第一条与过滤条件相匹配的策略规则进行处理,不同平台安全网关支持的全局最大规则数不同。
1.4 状态检测
1、会话是通信双方在防护墙上的连接状态,一条会话表示通信双方的一个连接,防火墙上多条会话的集合就叫做会话表(Session table),StoneOS上的会话表项如下:
其中会话是HTTP协议,1.1.1.1表示源地址,64867表示端口,2.2.2.2表示目的地址,80表示目的端口;
通过“-->”符号可以直观区分,符号前面是源,符号后面是目的
2、首包建立会话,后续包匹配查找会话;
3、会话包含元素:源地址、源端口、目的地址、目的端口、协议、Application、User
二、配置安全策略2.1 WebUI配置策略
创建安全策略时,有五个元组必选,源+目的安全域、源+目的地址、服务或应用;示意图如下:
2.2 命令行配置策略
进入策略配置模式,在全局配置模式下使用以下命令:
policy-global
进入策略配置模式以后,执行以下命令创建策略规则:
rule [ id id] [ top | before id | after id | role {UNKNOWN | role-name} | user aaa-server-name user-name | user-group aaa-server-name user-group-name | from src-addr to dst-addr service service-name {permit | deny | tunnel tunnel-name | fromtunnel tunnel-name | webauth}
-- id id 指定策略规则的ID,系统可以自动分配一个ID;
--top | before id | after id 指定策略规则的位置,默认情况下,系统会将新创建的策略规则放到所有规则末尾;
--from src-addr 指定策略规则的源地址;
--to dst-addr 指定策略规则的目的地址;
--service service-name 指定策略规则的服务名称;
permit | deny | tunnel tunnel-name | fromtunnel tunnel-name | webauth aaa-server 指定策略规则的行为;
查看策略
show policy [ id id ] [ from src-zone ] [ to dst-zone ]
--id id 显示指定ID规则的详细信息;
--from src-zone 显示源安全域为指定域的规则的详细信息;
--to dst-zone 显示目标安全域为指定域的规则的详细信息;
在StoneOS中可以调用Profile来进行细粒度应用安全控制,目前支持9类Profile,分别是:URL过滤Profile、内容过滤Profile、Web外发信息Profile、邮件过滤Profile、IM Profile、行为Profile、病毒过滤Profile、IPS Profile、GTP Profile,每一类Profile可以针对具体应用分别配置不同的控制动作,其中IPS、AV和URL的检测可在策略中调用。
2.3 移动策略位置
move id { top | bootom | before id | after id}
三、策略高级选项3.1 策略命中数统计
统计策略在当前环境中的使用情况,以判断是否有效
show policy hit-count
3.2 策略冗余检测
检测当前策略的冗余性
exex policy redundancy-check start 开始冗余检测
show policy redundancy-check 显示结果
exex policy redundancy-check stop 停止冗余检测
exec policy redundancy-check clear 清除上一次冗余检测结果
3.3 策略调用应用检测和会话记录
IPS、AV、和URL过滤可在策略中调用,SSL代理解密也在策略中调用,也可以启用记录会话日志
四、配置对象4.1 对象
对象模块包括以下信息:地址簿、服务簿、应用簿、时间表、用户、AAA服务器及角色、监控对象
4.1.1 地址簿
地址簿的命名不能用IP地址命名,可以用字母或数字代替,比如LAN1,示意图如下:
在StoneOS系统中,地址条目的IP地址范围是其成员IP地址范围的总和,地址条目成员有以下几种:
--IP地址:IP/掩码
--IP地址段:如10.100.2.3-10.100.2.100
--主机名称:如host1.hillstonenet.com
--地址条目
--IP反掩码
国家地区:如何策略要调用针对国家地区的地址封堵,可以先创建地址簿调用国家地区
4.1.2 服务簿
用户可以查看系统预定义服务,使用命令行查看方式为:show service predefined,WebUI示意图如下:
4.1.3 应用簿
用户可以查看系统预定义应用,预定义应用可以自动在线升级,预定义应用是P2P或者IM等需要应用层识别的服务,能够实现对P2P和IM等非固件协议及端口的应用进行动态识别,
命令行查看应用簿的方式为:show application predefined,WebUI示意图如下:
4.1.4 应用过滤组
策略可调用自定义应用组或者应用过滤组,应用过滤组使用多维度属性概念,对应用进行分类,通过定义不同的属性可以为网络流量进行分类,可按网络资源类型进行优化,也可按风险等级优化,还可以按应用软件的技术类型进行选择分类。
WebUI示意图如下:
4.1.5 时间表
时间表包含绝对计划和周期计划(注:校正设备时钟),时间表功能可以使策略规则在指定的时间生效,也可以控制PPPoE接口与因特网连接时间、或在Qos流量控制中调用,周期计划通过周期条目指定时间表的时间点或者时间段,而绝对计划决定周期计划的生效时间,值得注意的是,设备时钟的校正,以下为WebUI示意图:
绝对计划是一个时间范围,指定的周期计划会在绝对计划的时间范围内生效,同时,用户也可以不启用绝对计划功能,此时周期计划会在被应用到系统中某项功能时,立即生效,周期计划的时间是该周期计划中周期条目的总和,一个周期计划中最多可以添加16条周期条目,用户可以配置三种类型的周期条目:
--每天:每天的指定时间,例如每天的9:00到18:00;
--每周的某几天:一周中指定天的指定时间,例如每周一、周二和周六的9:00到13:00;
--每周的一段时间:一周中的一个连续时间段,例如从周一早上9:00到周三下午15:00。
WebUI示意图如下:
4.1.6 应用时间表到策略
调用了时间表的策略,当时间表生效时,和这个策略有关的已经建立的session会重置,这样就会立即生效。
4.1.7 查看调用时间表的策略
已调用时间表的策略,只在时间表范围内生效,时间范围外的策略处于不活跃状态,时间表基于系统时间生效。
命令行查看已调用时间表的策略示意图如下:
回顾:
1、安全策略有几部分组成?
--过滤条件:源/目安全域、源/目地址、服务和应用类型、角色用户、时间表;
--行为:允许、拒绝、隧道、来自隧道、Web认证
2、安全策略规则的动作支持哪几种?
允许(Permit)、拒绝(Deny)、隧道(Tunnel)、来自隧道(Fromtunnel)、Web认证(WebAuth)
3、安全策略执行顺序?
由上至下
4、同一个安全域内接口间的访问,安全网关缺省的动作是什么?
拒绝(系统默认拒绝所有区域内的流量流通,包括同一个安全域之间)
5、是否支持SSL代理解密?
支持