欢迎来到爱乐透彩票门户_爱乐透彩票门户完整版_爱乐透彩票门户新手版! 联系我们 网站地图

爱乐透彩票门户_爱乐透彩票门户完整版_爱乐透彩票门户新手版

0379-65557469

爱乐透彩票新版app下载
全国服务热线
0379-65557469

电话: 0379-65557469
0379-63930906
0379-63900388 
0379-63253525   
传真: 0379-65557469
地址:洛阳市洛龙区开元大道219号2幢1-2522、2501、2502、2503、2504、2505室 

爱乐透彩票新版app下载

爱乐透彩票门户-华为防火墙USG5500安全策略

作者:admin 发布时间:2019-05-14 19:50:55 浏览次数:172
打印 收藏 关闭
字体【
视力保护色

上一陆树铭节了解了安全区域,现在咱们来看一下,安全区域间的安全战略有哪些。

安全战略包含对域间、域内、接口收发流量的安全操控。

一、域间或域内安全战略,用于操控域间或域内的流量,此刻的安全战略既有传统包过滤功用,也有对流量进行IPS、AV、Web过滤、使用操控等进一步的使用层检测的作用。

二、使用在接口上的包过滤规矩:用于操控接口的流量,便是传统的包过滤功用,依据IP、MAC地址等二、三层报文特点直接答应或回绝报文经过。

域间安全战略操控域间数据活动,依据适用场景分为两类:

转发战略:操控设备转发的流量,包含传统的包过滤和使用层的UTM检测。

本地战略:操控外界与设备的互访,只依据五元组进行操控。

当报文没有匹配到任何域间安全战略的时分,报文将会被缺省包过滤规矩进行处理。

域内安全战略与域间安全战略相似,差异便是域内安全战略没有Inbound和Outbound方向的区别。此外,域内安全战略不支持对Local域内流量的操控。

缺省情况下,域内安全战略缺省动作为答应。

域间或域内安全战略组成和匹配次序

域间或域内能够装备多条安全战略,并且有必定的匹配次序,装备前需求合理规划否则会达不到预期作用。

域间安全战略,用来操控域间的流量转发。设备收到报文后首先提取报文的IP头信息,包含源/意图IP地址、协议、报文优先级等,然后与域间安全战略的匹配条件进行比较。假如一切匹配条件都满意,就依据战略的操控动作(Permit/Deny)及使用的UTM战略对报文进行安全查看,终究决议对报文的处理。

每条安全战略中包含匹配条件、操控动作和UTM等高档安全战略。

匹配条件包含:

IP报文:源IP地址、源MAC地址/意图IP地址、意图MAC地址、约束端口或协议类型

时间段:操控流量在指定时间内经过

用户或用户组:由某个用户或用户组中的用户建议的流量才干匹配上安全战略

IP报文优先级字段(Precedence)

IP报文服务类型字段(TOS)

一般来说会以以上几个类型为匹配条件,按次序进行匹配。

为了调用便利,咱们能够提前先做好公共服务目标(包含地址集、时间段、服务集等)。这样其他战略里边能够调用,一个公共目标能够被多个战略进行调用。

现在干流的防火墙叫作状况监控包过滤,你只用去放行初始化包,防火墙就会保护状况化信息,后续的包都只用查询状况化信息就能够经过,不必再去检测安全战略。

举个比方,创立一个trust到untrust的outbound的policy

[USG5500]policy interzone trust untrust outbound

[USG5500-policy-interzone-trust-untrust-outbound]policy

[USG5500-policy-interzone-trust-untrust-outbound-0] //默许是policy0

[USG5500-policy-interzone-trust-untrust-outbound]policy

[USG5500-policy-interzone-trust-untrust-outbound-1] //再创立一个默许是policy1

[USG5500-policy-interzone-trust-untrust-outbound-1]policy

[USG5500-policy-interzone-trust-untrust-outbound-2]quit

[USG5500-policy-interzone-trust-untrust-outbound]quit

顺次类推

查看一切的policy

[USG5500]display policy all

[USG5500]display policy all

13:50:50 2019/04/09

…..省掉前面的policy

policy interzone trust untrust inbound

firewall default packet-filter is deny

#

policy interzone trust untrust outbound

firewall default packet-filter is deny

policy 0 (0 times matched)

action has not specified yet!!!

policy service service-set ip

policy source any

policy destination any

policy 1 (0 times matched)

action has no爱乐透彩票门户-华为防火墙USG5500安全策略t specified yet!!!

policy service service-set ip

policy source any

policy destination any

policy 2 (0 times matched)

action has not specified yet!!!

policy service service-set ip

policy source any

policy destination any

#

….省掉后边的policy

能够看出policy interzone trust untrust outbound,这个方向的policy有三个,分别是policy0 、policy1、policy2,查看的次序便是从policy0 -policy1-policy2 。

假如想更改plicy查看次序,

[USG5500]policy interzone trust untrust outbound //进入outbound

[USG5500-policy-interzone-trust-untrust-outbound]policy move 1 before 0 //移动policy1到policy0之前。这样的话,履行次序就变成了:polic1-policy0-policy2

[USG5500-policy-interzone-trust-untrust-outbound]display this

policy interzone trust untrust outbound

policy 1

policy 0

policy 2

return

假如安全战略是以主动排序方法装备的,战略的优先级依照战略ID的巨细进行摆放也便是说战略的优先级按战略的ID巨细来进行排序,战略ID越小优先级越高。此刻,战略之间的优先级联系不行调整。

[USG5500-policy-interzone-trust-untrust-outbound]policy create-mode auto-sort enable

[USG5500-policy-interzone-trust-untrust-outbound]policy //创立爱乐透彩票门户-华为防火墙USG5500安全策略policy次序默许是5开端,

[USG5500-policy-interzone-trust-untrust-outbound-5]policy

[USG5500-policy-interzone-trust-untrust-outbound-10]policy //第二个policy序号是10

[USG5500-policy-interzone-trust-untrust-outbound-15]

启用了按次序主动摆放功用,默许是改不了policy的次序 ,不过能够插战略和删去战略。

[USG5500-policy-interzone-trust-untrust-outbound]policy 3 //比方把policy3这个战略就插在policy 5前面了。

比方咱们要求一个IP地址:192.168.1.2/24不能够拜访Internet,其他的都能够拜访Internet

1. 先装备回绝192.168.1.2、24拜访Internet的战略(policy 0)。

2. 然后装备192.168.1.0/24答应拜访Internet的战略(policy 1)。

[USG5500-policy-interzone-trust-untrust-outbound-0]policy source 192.168.1.2 0 [USG5500-policy-interzone-trust-untrust-outbound-0]action deny

[USG5500-policy-in爱乐透彩票门户-华为防火墙USG5500安全策略terzone-trust-untrust-outbound-1]policy source 192.168.1.0 0.0

.0.255

[USG5500-policy-interzone-trust-untrust-outbound-1]action permit

究竟谁先匹配,要看你的policy的次序是什么样的,一旦匹配policy0就不往下匹配了,所以关于规模小的功用也要做全面,才干够。

版权所有:洛阳市建设工程咨询有限责任公司 联系人:李经理 电话: 地址:洛阳市洛龙区开元大道219号2幢1-2522、2501、2502、2503、2504、2505室
版权所有 爱乐透彩票门户 吉ICP备196029223号-3