防火墙的安全策略是什么呢?
在此之前,我们先了解以下传统包过滤技术 --- 其本质就是ACL访问控制列表,根据数据包的特征进行过滤,对比规则, 执行对应的动作; 这里数据包的特征 --- 数据包的五元组 --- 源IP,目标IP,源端口,目标端口,协议
但是,如今的网络发展越来越快,风险越来越多,传统的包过滤技术明显有些不太够用了。
根据以上我们不难看出,安全策略的匹配流量的条件也更加的丰富。在安全策略中,可以执行两块内容,第一块做访问控制,允许或者拒绝通过;第二块是在允许通过的情况下,可以进行内容安全的检测,一体化检测。
配置安全策略
在配置安全策略之前,我们需要知道接口和区域这两个概念。
接口又分为物理接口和虚拟接口
物理接口:三层接口
二层接口
接口对:也叫透明网线,配置在二层接口,可以将一个或者两个接口配置成接口对,则数据从一个接口出,将不需要查看MAC地址表,直接从另外一个接口出
虚拟接口:环回,子接口,Vlanif,Tunnel,链路聚合,bypass接口,虚拟系统使用的接口
bapass接口的作用:当两个设备出现故障时,则两个bypass将直接短接,形成通路,不影响网络数据的传输。
VRF---虚拟系统转发
虚拟系统互通使用的接口,每创建一个虚拟系统,将自动生成一个虚拟接口,仅需要配置IP地
址即可 。
在这里可以进行接口的创建:
点击接口,可以对接口进行相关的配置
在这里可以将接口划入相应的区域,这意味着,该接口下连的设备都将属于这个区域。
如果防火墙作为内网的边界,连接的其他外部设备,需要在连接外部设备的接口上配置网关
区域:
Trust --- 信任区
Untrust --- 非信任区
Local --- 防火墙上所有的接口都属于这个区域
DMZ --- 非军事化管理区域 --- 放置一些对外开放的服务器
将一个接口划入某一个区域,则代表将这个接口所连接的网络划分到对应区域中,而接口本
身,永远属于Local。
防护墙有三种模式,分别是路由模式,透明模式,混合模式
路由模式:1.接口配置IP地址,区域划分
2.写内网的回包路由
3.安全策略
4.内到外的NAT
5.服务器映射
透明模式:1.接口配置vlan
2.安全策略
3.增加设备的管理接口,用于控制管理接口以及设备的自我升级旁路检测模式(IDS)
混合模式:又有二层接口,又有二层接口。
这样就在模拟器上新建好了一个安全区域了。
安全策略:
点击最上面的策略,就来到了这个页面。
所有匹配项之间的关系是“与”,一条中如果可以多选,则多个选项之间为“或”关系
补充:
防火墙的状态检测和会话表技术
主要机制就是以数据流作为单位,仅针对首包进行检测,检测之后,将数据包的特征记录在本
地的会话表中,之后,数据流中的其他数据包来到防火墙,不再匹配安全策略,则匹配会话
表,根据会话表来进行转发
回来的数据包会被检测是否符合协议定义的后续报文的要求
1,会话表技术;2,状态检测技术
会话表技术---提高转发效率的关键---老化机制
1,会话表老化时间过长---占用资源,导致一些会话无法正常建立
2,老化时间过短---会导致一些需要长时间发送一次的报文强行终端,影响正常业务
状态检测技术:
1.检测数据包是否符合协议的逻辑顺序。
2.检查是否是逻辑上的包,只有首包可以创建会话表。
