您当前的位置:首页 > 电脑百科 > 安全防护 > 软件工具

防火墙安全策略功能入门

时间:2020-07-30 12:30:33  来源:  作者:

前面使用域间策略验证了设备的上线效果,这种配置方法是长期使用老版本设备命令行操作留下来的习惯。现在版本更新很快,WEB页面功能更加完善,其中新版本主推的安全策略配置功能,操作也很方便。

首先在命令行移除了域间策略部分配置:

undo security-zone intra-zone default permit

需要注意的是,vFW默认没有开启HTTPS,需要在命令行开启,并为登录用户增加HTTPS登录权限,同时建议修改默认端口号。

#

ip https port 8443

ip https enable

#

local-user tietou class manage

password simple Tietou@h3c.com

service-type https

authorization-attribute user-role network-admin

然后就可以使用进行登录了。随后在WEB页面增加安全策略配置:

防火墙安全策略功能入门

 


防火墙安全策略功能入门

 

过程中发现ping报文有丢失,增加安全策略后恢复,说明域间策略和安全策略是可以共存生效的。

防火墙安全策略功能入门

 

开启统计之后还可以看到命中策略的流量和会话信息。

防火墙安全策略功能入门

 

点击会话查看能直接查看到命中该策略的会话信息。

防火墙安全策略功能入门

 

TEST1:域间策略和安全策略的生效关系怎么样?

1、已知没有域间策略或安全策略的情况下互访流量是被设备阻断的,并且安全策略或者安全策略任意一个配置放通,则互访流量可以通过;

2、由1可知,配置域间策略或安全策略其中一个放通即可实现互访,则同时配置两个策略互通流量肯定是放通的;

3、修改配置安全策略为放通、域间策略为阻断,发现流量是通的,并且测试安全策略先配置生效和后配置生效效果相同;

4、修改配置域间策略为放通、安全策略为阻断,发现流量是不通的,并且测试安全策略先配置生效和后配置生效效果相同。

执行效果如下图:

防火墙安全策略功能入门

 

综上,说明安全策略的优先级高于域间策略,如果两者同时存在的话,会执行安全策略的配置。

TEST2:域间策略匹配顺序是怎样的?

验证操作需要将两台设备的安全域分开,新建两个安全域VM1和VM2,并将两个接口放到对应安全域下面。

防火墙安全策略功能入门

 

1、已经明确的匹配顺序:精确的域间策略优先于模糊的或者默认的域间策略,所以先创建一条any到any的域间策略,动作放行,测试两端设备正常通信;

2、创建两条域间策略any-VM2以及VM1-any,分别应用两条ACL做包过滤,配置3001和3002,首先规则为空;

3、修改any-VM2域间策略为放通,发现网络不通;

4、修改VM1-any域间策略为放通,发现网络正常通信;

5、验证操作3和4的测试结果,在存在VM1-any的域间策略时,修改any-VM2的域间策略,不影响网络连通性。

结论:域间策略匹配优先级顺序如下:

A→B > A→any > any→B > any→any。

测试过程中,通过debug aspf packet,可以看到报文阻断原因。本例中,可以看出是被包过滤或者对象策略阻断,实际是包过滤阻断;源域是VM1,目的域是VM2,入接口是G2/0,出接口是G3/0,未匹配VPN实例;还可以看到简要的报文信息,为ICMP和TCP报文。

防火墙安全策略功能入门

 

TEST3:安全策略匹配顺序是怎样的?

已知的匹配顺序是按照显示顺序进行匹配的,测试添加一条any到any的放通规则,发现后面再添加3条精确的阻断策略,仍然可以互访。

防火墙安全策略功能入门

 

命令行配置显示如下:

防火墙安全策略功能入门

 

发现安全策略是有规则编号的,匹配顺序也是按照策略规则顺序进行匹配的,当在WEB页面调整显示顺序时,命令行配置顺序也会对应改变,但是规则编号不变。

防火墙安全策略功能入门

 

调整阻断规则到放通规则之前,发现流量被阻断;查看命令配置,配置顺序被同步调整,规则编号没有变化。

防火墙安全策略功能入门

 

结论:安全策略的匹配顺序是按照显示顺序进行顺序匹配的。所以在配置时应当避免在第一条配置生效的any到any的放通策略,这样就失去了防火墙的功能;同时为了保证配置生效,新增精确规则时,建议调整精确规则到模糊规则的前面。

TEST4:策略冗余分析功能

新版本的防火墙增加了安全策略冗余分析功能,可以通过分析安全策略中的过滤条件识别出冗余的策略,从而有利于达到精简策略的目的。过滤条件具体包括:源安全域、目的安全域、源IP/mac地址、目的IP地址、用户、应用、服务、VRF和时间段等。

设备会将高优先级的策略依次与低优先级的策略进行遍历比较,只要符合以下两种情况的任意一种,则认定为冗余:

·所有过滤条件完全相同的安全策略,则低优先级的安全策略会被认定为冗余;

·安全策略A的所有过滤条件被安全策略B完全包含,且安全策略A的优先级低于安全策略B,则安全策略A会被认定为冗余。

策略冗余分析可以在没有流量经过设备时进行分析,因此该功能可以在安全策略配置完成后立即进行。在冗余分析结果中修改安全策略配置后,设备会自动再次进行策略冗余分析,以便使冗余分析结果更加准确。

点击"开始分析",结果显示出两条安全策略。按照过滤条件,配置的规则中只符合源安全域和目的安全域两个条件,符合第二种情况,可以参考域间策略优先级,any到B和any到any的策略被提示冗余。

防火墙安全策略功能入门

 

不过这个功能一般用不到,因为平时最多不过配置几十条策略,使用这个功能的分析结果较大概率与实际需求不匹配。

TEST5:策略命中分析功能

新版本的防火墙还增加了安全策略命中分析功能,可以分析出指定时间段内的安全策略是否被命中过,并将未命中的安全策略按照从高到低的优先级顺序进行呈现,以帮助管理员对设备上的安全策略进行深度分析和处理。

只要符合如下两种情况中的任意一种,则认为策略未命中:

·流量不符合安全策略的过滤条件;

·安全策略之间存在深度冗余,例如IP地址和用户的冗余、应用和服务的冗余等。这样会由于高优先级的策略被命中,而导致低优先级的策略未命中。

可看到分析出两条策略,命中结果均为未命中。

防火墙安全策略功能入门

 

但是实际使用场景中用处不大,不比在策略配置中开启策略匹配统计,在安全策略中查看命中次数来的只关一点。



Tags:防火墙 安全策略   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
前面使用域间策略验证了设备的上线效果,这种配置方法是长期使用老版本设备命令行操作留下来的习惯。现在版本更新很快,WEB页面功能更加完善,其中新版本主推的安全策略配置功能,...【详细内容】
2020-07-30  Tags: 防火墙 安全策略  点击:(159)  评论:(0)  加入收藏
▌简易百科推荐
已经观察到一种新的基于JavaScript的远程访问木马(RAT)利用社会工程学传播,采用隐蔽的"无文件"技术作为其逃避检测和分析的方法。该恶意软件由Prevalyion的对抗性反情报团队(PA...【详细内容】
2021-12-17  网安老葫    Tags:恶意软件   点击:(13)  评论:(0)  加入收藏
关于windows Defender防病毒的问题升级win10后,我们会经常遇到打开或下载文件时弹出提示框提示你下载的文件是病毒之类,直接给你删除。你好不容易找了个激活工具,你刚打开发现...【详细内容】
2021-11-08  IT小哥吧    Tags:defender   点击:(46)  评论:(0)  加入收藏
喽!大家好,我是小易,欢迎来到我的知识分享站!今天给大家分享5个杀毒神器,让你的电脑干干净净,建议收藏起来哟! 1、Windows Defender随着Win10系统的更新已经日趋完善,它可以很好的解...【详细内容】
2021-11-08  知识与技能    Tags:流氓软件   点击:(74)  评论:(0)  加入收藏
介绍其实Iptables服务不是真正的防火墙,只是用来定义防火墙规则功能的"防火墙管理工具",将定义好的规则交由内核中的netfilter即网络过滤器来读取,从而真正实现防火墙功能。fil...【详细内容】
2021-10-18  互联网IT技术全栈    Tags:   点击:(52)  评论:(0)  加入收藏
什么是Nessus?Nessus 是目前全世界最多人使用的系统漏洞扫描与分析软件。总共有超过75,000个机构使用Nessus 作为扫描该机构电脑系统的软件步骤如下:查看当前kali系统内核版本...【详细内容】
2021-09-09  TestGO    Tags:Nessus   点击:(112)  评论:(0)  加入收藏
http 头部信息http头部信息经常包含着主机服务的一些版本信息,经常使用的字段信息有:Server, X-Powered-By, X-AspNet-Version工具可采用curl进行curl --location --head $URL...【详细内容】
2021-08-19  80后IT老民工    Tags:渗透   点击:(225)  评论:(0)  加入收藏
一、杀软常见的三种方式二、免杀的三种常用方式三、利用工具实现免杀1、veil工具基础实现免杀+进阶2、venom免杀3、利用kali自带的shellter进行免杀4、利用avet实现免杀四、...【详细内容】
2021-08-18  白帽hacker淬炼    Tags:免杀   点击:(81)  评论:(0)  加入收藏
关于工具现有工具现在,现成的污点分析工具已经有很多了。其中,我最感兴趣的是Triton和bincat,因为两者已经相当成熟。然而,我们却无法使用这两种工具,因为它们不支持目标设备所...【详细内容】
2021-08-12  Hbo涵    Tags:安全漏洞   点击:(93)  评论:(0)  加入收藏
从实现原理上分,防火墙的技术包括四大类:网络级防火墙、应用级网关、电路级网关和规则检查防火墙。1、网络级防火墙一般是基于源地址和目的地址、应用、协议以及每个IP包的端...【详细内容】
2021-07-20  趣谈文化  搜狐号  Tags:防火墙   点击:(225)  评论:(0)  加入收藏
一、VMware部分1、Vmware简介虚拟机就是一个用来模拟真实的物理机环境的一个软件,可以在虚拟机中安装不同版本的操作系统。就是一个把下载好的ISO安装在物理机操作系统的一个...【详细内容】
2021-07-12  Kali与编程  公众号  Tags:Kali Linux   点击:(112)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条