防火墙的安全策略及其三种工作模式

安全策略(缺省情况下,域内安全策略缺省动作为允许):
1、域间或域内安全策略:用于控制域间或域内的流量,此时的安全策略既有传统包过滤功能,也有对流量进行IPS、AV、Web过滤、应用控制等进一步的应用层检测的作用。
     域间或域内安全策略是包过滤、UTM应用层检测等多种安全检查同时实施的一体化策略。
2.应用在接口上的包过滤规则:用于控制接口的流量,就是传统的包过滤功能,基于IP、MAC地址等二、三层报文属性直接允许或拒绝报文通过。




域间安全策略(需要设置转发出入口方向(即inbound和outbound)):
1.转发策略:控制设备转发的流量,包括传统的包过滤和应用层的UTM检测。(UTM仅在该策略中实现)
2.本地策略:控制外界与设备的互访,只根据五元组进行控制。


域内安全策略:基本策略同上,唯一区别是不需要设置转发出入口,且不能对local域内流量控制。
UTM策略(应用层检测):通过设置policy对匹配条件进行判断(action{permit|deny}IPS、AV等UTM策略,默认action为permit)


安全策略应用方向:由于USG是基于对话的安全策略,只对同一会话的首包检测,后续包直接按照首包的动作进行处理。
             所以对同一条会话来说只需要在首包的发起方向上,也就是访问发起的方向上应用安全策略。
注:配置安全策略时,先配置明细策略,在配置宽泛策略,避免屏蔽了对特定流量的细化控制


防火墙的三种工作模式:
1、路由模式:防火墙以第三层对外连接(接口具有IP地址),此时可以完成ACL包过滤,ASPF动态过滤、NAT转换等功能。
     注:路由模式需要对网络拓扑进行修改
2、透明模式:防火墙以第二层对外连接(接口没有IP地址),此时相当于交换机,部分防火墙不支持STP
3、混合模式:混合上面两种


防火墙数据包安全匹配顺序:
1、NAT服务器
2、域间的ACL规则
3、域间的ASPF
4、域间的NAT
5、域间的缺省规则


ASPF基本工作原理:
1、单通道协议
i.对TCP而言(应用在SMTP,HTTP):在TCP发送SYN创建连接的过程中,创建会话表或TACL,对TCP连接过程中的数据包交换进行控制,直到连接结束或者确立(TCP三次握手),更新会话表或TACL,同时在TCP建立过程中,会随机扰乱序列号,防止黑客入侵
ii.对UDP而言:在检测到第一个报文认为是发起连接,检测到第一个返回报文认为时连接建立,会话表的删除取决于空闲超时。
2、多通道协议(应用FTP或和音频和时评通讯(H.323、SIP、MGCP))
i.指某个应用在进行通讯或提供服务时需要建立两个以上的会话通道,其中一个控制通道,其他通道是根据控制通道中的双方协商信息动态创建的(数据通道或自通道)
  由于数据通道端口的不固定,其报文方向也不固定,所以在防火墙应用以及NAT设备的应用中需要特殊处理。
ii.服务表项:三元组表项(由于五元组过于严格而产生),用在ASPF、NAT ALG中

扩展:
ACL:
列表的种类: 数字标识范围:
IP standard list 1-99,2000-2999
IP extended list 100-199,3000-3999
MAC list 700-799
常见用法:
控制IP网络访问流量(路由和透明模式) --扩展ACL
为AAA规则指明流量 --扩展ACL
基于用户的IP网络访问限制 --扩展ACL
策略NAT和NAT免除 --扩展ACL
指明VPN的感兴趣流量 --扩展ACL
MPF的class map中指定流量 --扩展ACL,以太类型ACL
对于透明模式的防火墙,控制非IP流量 --扩展ACL,以太类型ACL
OSPF的重分发 --标准ACL

你可能感兴趣的:(防火墙的安全策略及其三种工作模式)