11.防火墙安全策略 (1).pptx

云计算安全与管理

----防火墙安全策略

教学内容

认识防火安全策略

理解防火墙安全策略原理

掌握防火墙安全策略配置

防火墙安全策略

定义

安全策略是按一定规则控制设备对流量转发以及对流量进行内容安全一体化检测的策略。

规则的本质是包过滤。

主要应用

对跨防火墙的网络互访进行控制。

对设备本身的访问进行控制。

防火墙安全策略的原理

BBAABBBAAAA

AAAAAA

Policy0：允许A后续操作

Policy1：拒绝B后续操作

防火墙安全策略

防火墙安全策略作用：

根据定义的规则对经过防火墙的流量进行筛选，并根据关键字确定筛选出的流量如何进行下一步操作。

步骤1：

入数据流经过防火墙

步骤2：

查找防火墙安全策略

判断是否允许下一步操作

步骤３：

防火墙根据安全策略定义规则对数据包进行处理

默认策略操作

防火墙域间转发

防火墙

客户端

服务器

查路由表,基于接口所属域间及方向,查域间包过滤规则

Policy0：permit源为

Policy1：deny源为

……

缺省域间包过滤规则为禁止

未命中会话表

执行首包流程

非首包，查找会话表

命中会话表

执行后续包流程

Untrust

trust

查询和创建会话

查询会话表

匹配会话表

安全性检查

刷新会话表

检查是否可以创建会话

查看ServerMap表

查找路由表

包过滤规则

NAT

创建会话表

转发报文

是

否

状态检测机制

状态检测机制开启状态下，只有首包通过设备才能建立会话表项，后续包直接匹配会话表项进行转发。

状态检测机制关闭状态下，即使首包没有经过设备，后续包只要通过设备也可以生成会话表项。

Host

Server

会话表项

源IP地址

源端口

目的IP地址

目的端口

协议

用户

应用

20000

23

TCP

abc

Telnet

源IP地址

源端口

目的IP地址

目的端口

协议

用户

应用

23

20000

TCP

abc

Telnet

ServerClient

Session:TCP:20000:23

ClientServer

创建会话表

命中会话表该报文通过

Server:23

Host:20000

查看会话表信息

显示会话表简要信息displayfirewallsessiontable

显示会话表详细信息displayfirewallsessiontableverbose

sysnamedisplayfirewallsessiontable

CurrentTotalSessions:2

telnetVPN:public--public:2855--:23

httpVPN:public--public:2559--00:80

sysnamedisplayfirewallsessiontableverbose

CurrentTotalSessions:1

httpVPN:public--publicID:a48f3648905d02c0553591da1

Zone:trust--localTTL:00:20:00Left:00:19:56

Output-interface:InLoopBack0NextHop:MAC:00-00-00-00-00-00

--packets:3073bytes:3251431--packets:2881bytes:705651

:1864--51:80PolicyName:test

安全策略的匹配原则

防火墙

客户端

服务器

首包流程，做安全策略过滤。

Rule0：permit源为……

Rule1：deny源为……

……

缺省default策略动作为禁止。

未命中会话表

执行首包流程

后续包流程，不做安全策略过滤。

命中会话表

执行后续包流程

trust

Untrust

安全策略匹配流程

安全策略应用

Untrust

Trust

公司内网

/16

市场部

研发部

允许流量通过

禁止流量通过

安全策略1

源地址：any

目的地址：any

用户：市场部

应用：IM、Game

动作：允许

安全策略2

源地址：any

目的地址：any

用户：研发部

协议：http

动作：禁止

配置安全策略流程

关键配置(命令行)

创建拒绝特殊的几个IP地址访问Internet的安全策略规则。

创建允许/24网段访问Internet的安全策略规则。

[NGFW]security-policy

[NGFW-policy-security]rulenamecelue

[NGF