華為eNSP安全策略配置
安全策略配置原則
首包做安全策略過濾;後續包不做安全策略過濾,而是根據會話表進行轉發。
安全策略業務流程
流量通過下一代防火牆(NGFW)時,安全策略的處理流程如下:
①NGFW會對收到的流量進行檢測,檢測出流量的屬性,包括:源安全區域、目的安全區域、源地址/地區、目的地址/地區、使用者、服務(源埠、目的埠、協議型別)、應用和時間段。
②NGFW將流量的屬性與安全策略的條件進行匹配。如果所有條件都匹配,則此流量成功匹配安全策略。如果其中有一個條件不匹配,則繼續匹配下一條安全策略。以此類推,如果所有安全策略都不匹配,則NGFW會執行預設安全策略的動作(預設為“禁止”)。
③如果流量成功匹配一條安全策略,NGFW將會執行此安全策略的動作。如果動作為“禁止”,則NGFW會阻斷此流量。如果動作為“允許”,則NGFW會判斷安全策略是否引用了安全配置檔案。如果引用了安全配置檔案,則繼續進行步驟4的處理;如果沒有引用安全配置檔案,則允許此流量通過。
④如果安全策略的動作為“允許”且引用了安全配置檔案,則NGFW會對流量進行內容安全的一體化檢測。
一體化檢測是指根據安全配置檔案的條件對流量的內容進行一次檢測,根據檢測的結果執行安全配置檔案的動作。
配置安全策略流程
安全策略配置思路:
①管理員應首先明確要劃分哪幾個安全區域,介面如何連線,分別加入哪些安全區域。
②管理員選擇根據“源地址”或“使用者”來區分企業員工。
③先確定每個使用者組的許可權,然後再確定特殊使用者的許可權。包括使用者所處的源安全區域和源地址;使用者需要訪問的目的安全區域和目的地址;使用者能夠使用那些服務和應用;使用者的網路訪問許可權在哪些時間段生效等。
④確定對哪些通過防火牆的流量進行內容安全檢測,進行哪些內容安全檢測。
⑤將所有安全策略按照先精確(條件細化的、特殊的策略)再寬泛的順序排序。
配置安全策略的相關命令
①進入安全策略檢視
security_ploicy
②建立安全策略規則,並進入安全策略規則檢視
rule name rule-name
③配置安全策略的源安全區域和目的安全區域
source-zone {zone-name & <1-6> | any}
destination-zone {zone-name & <1-6> | any}
④配置安全策略規則的源地址和目的地址
source-address { address-set address-set-name &<1-6> | ipv4-address { ipv4-mask-length | mask mask-address | wildcard } | ipv6-address ipv6-prefix-length | range
destination-address { address-set address-set-name &<1-6> | ipv4-address [ ipv4-mask-length | mask mask-address | wildcard ] | ipv6-address ipv6-prefix-length | range { ipv4-start-address ipv4-end-address | ipv6-start-address ipv6-end-address } | geo-location geo-location-name &<1-6> | geo-location-set geo-location-set-name &<1-6> | mac-address &<1-6> | any }
(注:引數說明
- address-set:地址或地址組的名稱,依次最多新增或刪除6個地址(組)
- ipv4-address:IPv4地址,點分十進位制格式
- ipv4-mask-length:IPv4地址的掩碼,整數形式,取值範圍是1-32
- wildcard:IPv4地址的反掩碼
- range:表示地址範圍
- geo-location:預定義地區名稱或已經建立的自定義地區名稱
- mac-address:MAC地址,格式為H-H-H
- any:表示任意地址)
(舉例說明:
- source-address 1.1.1.1 24
- source-address geo-location BeiJing
- source-address range 192.168.2.1 192.168.2.10
- source-address any)
⑤配置安全策略規則的使用者
user {user-name &<1-6> | any}
⑥指定安全策略規則的協議型別
service protocol{{17 | udp} | {6 | tcp}} [source-port {source-port | start-source-port to end-source-port} | destination-port {destination-port | start-destination-port to end-destination-port}]
⑦配置安全策略規則的服務
service {service-name | any}
⑧配置安全策略規則引用的安全配置檔案
profile {app-control | av | data-filter | file-bolck | ips | mail-filter | url-filter} name
(注:安全配置檔案的相關引數:
- app-control:應用控制配置檔案
- av:反病毒配置檔案
- data-filter:內容過濾配置檔案
- file-bolck:檔案過濾配置檔案)
⑨時間段配置
1.建立時間段,並進入時間段檢視
time-range time-range-name
2.設定絕對時間段
absolute-range start-time start-date [to end-time end-date]
3.設定週期時間段
period-range start-time to end-time week-days &<1-7>
(例子:
-
絕對時間段:
absolute-range 13:49:00 2019/1/11 to 14:00:00 2019/1/11 -
週期時間段:
period-range 8:00:00 to 18:00:00 working-day