安全策略来实现防火墙的控制报文转发功能。安全策略的作用就是对防火墙的流量进行安检,安全策略允许的流量才能通过。
配置安全策略:
在web浏览器上访问 httpps://192.168.0.1:8443
登陆界面,用户名是:admin,密码:Admin@123,首次登陆需要按提示修改密码
然后根据相应的提示来操作即可
进入页面之后,单击策略选项–>安全策略后,可以看到一个名称为default的安全策略,这是防火墙上的缺省安全策略,默认条件是any,动作默认都是禁止,最后面的编辑选项只可以修改这条策略的动作(允许还是禁止)。
流量总是自上而下的先去匹配管理员自定义的安全策略,最后再匹配这条缺省安全策略。
所有的安全策略都会显示在这里
可以在这里新建安全策略
总的来说安全策略由匹配条件,动作和安全配置文件组成,所有的匹配条件都是可选的,不选就代表没有条件(全是any)。流量只有命中了安全策略中所有的匹配条件才算命中了这条策略。
匹配条件和动作(允许or禁止)
安全配置文件,在动作是允许的时候才需要配置,只有准备允许流量通过了才去做内容安全检查。
匹配条件的详解:
1.源安全区域和目的安全区域
流量从哪来到哪去,这里支持安全区域的多选,这样可以实现跨多个域的访问,进行一次性配置。
2.原地址/地区、目的地址/地区、用户
流量是谁发出的,要去找谁,输入IP地址时(可以输入多个用逗号隔开)注意格式(要有子网掩码)1.1.1.1/32,如果是不连续的IP或者IP网段,采用新建地址或者地址组方式。
3.用户
基于用户去做控制,提前定义好用户,然后在安全策略中引用。
4.服务和应用
用来配置允许或者禁止使用的服务或者应用。服务一般是有协议类型和端口号来识别。可以直接使用防火墙上预定义的服务(通常是一些知名协议比如HTTP,FTP,Telnet等),如果明确知道需要禁止什么协议或者什么端口的话,也可以自定义服务。
现网会有很多使用非知名端口来提供应用的服务,这时可以使用应用来作为匹配条件进行控制。(下一代墙不再依赖端口和IP协议来识别应用,而是根据应用层数据的特征来识别)
5.内容安全
根据组网环境和需求的不同去引用不同的内容配置文件,可以选择已经创建的安全配置文件也可以新建安全配置文件。
记录策略命中日志
通过查看策略命中日志,可以知道流量命中了哪条安全策略,从而确定安全策略配置的对不对,是否达到效果。发生问题时可以用于故障定位。(这个功能需要设备上有硬盘,才能看到日志,不然只能借助网管设备去查看)
配置多条安全策略时,该怎么去配?
多个策略时,将这些策略按照先精确再宽泛的顺序去排序,同等条件更细化、更特殊的策略放在前面,条件范围大的策略放在后面,先细后粗。
对于源安全区域 和 目的安全区域,原地址/地区 和 目的地址/地区,服务,时间段这3个匹配条件来说安全策略是一样的。
然后来看用户这个匹配条件(看不一样的),policy_1在用户这匹配了management,其他两条没有配置,所以policy_1更加细化了一些,就把它放在第一位的顺序。然后再看应用这个条件,policy_2和policy_3基本配置的是一样的,而policy_2在应用这配置ftp,所以policy_3更加细化一些。所以排序大概是policy_1–>policy_2–>policy_3