防⽕墙的安全策略及其三种⼯作模式
安全策略(缺省情况下,域内安全策略缺省动作为允许):
域间或域内安全策略是包过滤、UTM应⽤层检测等多种安全检查同时实施的⼀体化策略。
2.应⽤在接⼝上的包过滤规则:⽤于控制接⼝的流量,就是传统的包过滤功能,基于IP、MAC地址等⼆、三层报⽂属性直接允许或拒绝报⽂通过。
域间安全策略(需要设置转发出⼊⼝⽅向(即inbound和outbound)):
1.转发策略:控制设备转发的流量,包括传统的包过滤和应⽤层的UTM检测。(UTM仅在该策略中实现)
2.本地策略:控制外界与设备的互访,只根据五元组进⾏控制。
域内安全策略:基本策略同上,唯⼀区别是不需要设置转发出⼊⼝,且不能对local域内流量控制。埃及旅游注意事项
UTM策略(应⽤层检测):通过设置policy对匹配条件进⾏判断(action{permit|deny}IPS、AV等UTM策略,默认action为permit)
安全策略应⽤⽅向:由于USG是基于对话的安全策略,只对同⼀会话的⾸包检测,后续包直接按照⾸包的动作进⾏处理。
所以对同⼀条会话来说只需要在⾸包的发起⽅向上,也就是访问发起的⽅向上应⽤安全策略。
注:配置安全策略时,先配置明细策略,在配置宽泛策略,避免屏蔽了对特定流量的细化控制
防⽕墙的三种⼯作模式:
1、路由模式:防⽕墙以第三层对外连接(接⼝具有IP地址),此时可以完成ACL包过滤,ASPF动态过滤、NAT转换等功能。
注:路由模式需要对⽹络拓扑进⾏修改
2、透明模式:防⽕墙以第⼆层对外连接(接⼝没有IP地址),此时相当于交换机,部分防⽕墙不⽀持STP
3、混合模式:混合上⾯两种
防⽕墙数据包安全匹配顺序:
1、NAT服务器中秋节日短信
2、域间的ACL规则
车模曹阳3、域间的ASPF
4、域间的NAT
5、域间的缺省规则
ASPF基本⼯作原理:
1、单通道协议
网游角名大全i.对TCP⽽⾔(应⽤在SMTP,HTTP):在TCP发送SYN创建连接的过程中,创建会话表或TACL,对TCP连接过程中的数据包交换进⾏控制,直到连接结束或者确⽴(TCP三次握⼿),更新会话表或TACL,同时在TCP建⽴过程中,会随机扰乱序列号,防⽌⿊客⼊侵
ii.对UDP⽽⾔:在检测到第⼀个报⽂认为是发起连接,检测到第⼀个返回报⽂认为时连接建⽴,会话
表的删除取决于空闲超时。
2、多通道协议(应⽤FTP或和⾳频和时评通讯(H.32
星座常识3、SIP、MGCP))
i.指某个应⽤在进⾏通讯或提供服务时需要建⽴两个以上的会话通道,其中⼀个控制通道,其他通道是根据控制通道中的双⽅协商信息动态创建的(数据通道或⾃通道)
由于数据通道端⼝的不固定,其报⽂⽅向也不固定,所以在防⽕墙应⽤以及NAT设备的应⽤中需要特殊处理。
ii.服务表项:三元组表项(由于五元组过于严格⽽产⽣),⽤在ASPF、NAT ALG中
扩展:
ACL:
列表的种类: 数字标识范围:
IP standard list 1-99,2000-2999
IP extended list 100-199,3000-3999
MAC list 700-799
常见⽤法:
控制IP⽹络访问流量(路由和透明模式) --扩展ACL
为AAA规则指明流量 --扩展ACL
基于⽤户的IP⽹络访问限制 --扩展ACL
策略NAT和NAT免除 --扩展ACL王络丹
指明VPN的感兴趣流量 --扩展ACL
MPF的class map中指定流量 --扩展ACL,以太类型ACL
对于透明模式的防⽕墙,控制⾮IP流量 --扩展ACL,以太类型ACL OSPF的重分发 --标准ACL
发布评论