安全策略理论及实验
安全策略基础
安全策略
安全策略是网络安全设备的基本功能
默认情况下,安全设备会拒绝设备上所有安全域之间的信息传输
通过策略规则(Policy Rule)可以决定从一个安全域到另一个安全域的哪些流量该被允许,哪些流量该被拒绝。
ARP流量不受安全策略控制
防火墙本身的流量不受安全策略控制
策略规则的基本元素
策略规则过滤条件:
Source Zone/Address -流量的源安全域/源地址
Destination Zone/Address -流量的目的安全域/目的地址
Service -流量的服务类型
*User -流量的应用类型
*Application -流量的应用类型
策略执行动作:
允许(Permit)
拒绝(Deny)
Web认证
隧道(Tunnel)
来自隧道(Fromtunnel)
策略规则过滤条件和动作
策略>安全策略> 点击[新建]按钮创建访问控制策略
策略规则-列表位置
策略>安全策略> 点击[选项]按钮,更改列表位置
安全策略规则匹配原理
流量首包匹配安全策略规则
策略匹配顺序:
从列表由上至下(不是按照ID号大小匹配)根据流量的过滤条件进行匹配,系统会对流量按照找到的第一条与过滤条件相匹配的策略规则进行处理。
系统缺省的策略是拒绝所有流量。(除了ARP流量)
策略匹配顺序举例
根据下图拓扑,PC客户端是否能够访问FTP server?将匹配哪条策略?
匹配到ID为16的策略后,策略生效,PC客户端拒绝访问FTP server,不再进行之后的策略比对。
配置对象
对象模块包括以下信息:地址簿、域名簿、服务簿、应用簿、时间表、*AAA服务器、用户及角色、*监控对象
配置地址簿(Web UI)
对象>地址簿 点击[新建]按钮创建地址簿
域名簿
对象>域名簿 点击[新建]按钮创建域名簿。可填写正则表达式形式。
服务簿
对象>服务簿 可查看预定义服务。
策略高级选项
微型策略
安全策略CLI介绍
共享接入
实验
用户名和密码默认都为hillstone
应用特征库升级