<menu id="ycqsw"></menu><nav id="ycqsw"><code id="ycqsw"></code></nav>
<dd id="ycqsw"><menu id="ycqsw"></menu></dd>
  • <nav id="ycqsw"></nav>
    <menu id="ycqsw"><strong id="ycqsw"></strong></menu>
    <xmp id="ycqsw"><nav id="ycqsw"></nav>
  • 防火墻安全策略是什么,防火墻配置及其作用介紹


    安全策略簡介

    防火墻的基本作用是保護特定網絡免受“不信任”的網絡的攻擊,但是同時還必需允許兩個網絡之間可以進行合法的通信。安全策略的作用就是對通過防火墻的數據進行檢驗,符合安全策略的合法數據流才能通過防火墻。

    防火墻介紹5-安全策略介紹

    可以在不同的域間方向應用不同的安全策略進行不同的控制。

    安全策略是由匹配條件和動作(允許/拒絕)組成的控制規則,可以基于IP、端口、協議等屬性進行細化的控制。

    缺省情況下,所有域間的所有方向都禁止報文通過,可以根據需求配置允許允許那些數據通過防火墻的安全策略。

    注:對于路由、ARP等底層協議一般是不受安全策略控制的,直接允許通過。當然這和具體產品實現有關,產品間可能有差異。

    安全策略的應用方向

    在一個域間有Inbound方向和Outbound方向,但對于同一條數據流,在訪問發起的方向上應用安全策略即可,反向報文 不需要額外的策略。這是因為防火墻是狀態檢測設備,對于同一條數據流只有首包匹配安全策略并建立會話,后續包都匹配會話轉發。

    安全策略的匹配

    防火墻將流量的屬性與安全策略的條件進行匹配。如果所有條件都匹配,則此流量成功匹配安全策略。如果其中有一個條件不匹配,則未匹配安全策略。

    同一域間或域內應用多條安全策略,策略的優先級按照順序進行排序,越先配置的策略優先級越高,越先匹配報文。如果報文匹配到一條策略就不再繼續匹配剩下的策略,如果沒有匹配到任何策略就按缺省包過濾處理。所以配置策略要先粗后細。

    安全策略發展史

    1.傳統防火墻

    基于ACL的包過濾。

    • 通過在域間引用ACL實現包過濾
    • 匹配條件:報文頭的五元組(源/目的地址、源/目的端口號、協議號)和時間段
    • 動作包括拒絕和允許報文通過

    2.UTM

    融合UTM的安全策略(包過濾+UTM)

    • 在包過濾基礎上增加UTM處理,包括IPS/AV/URL過濾等
    • 動作為permit的報文繼續進行UTM處理,通過UTM檢測才真正允許通過
    • 功能疊加,應用未作為統一的匹配條件,而是存在獨立的應用控制策略,對用戶體驗和處理性能都有一定影響

    3.NGFW

    • 一體化安全策略(五元組+應用+用戶+內用安全)
    • 真正的一體化策略,可一次識別流量的應用類型、攜帶的內容等數據,供內容安全功能使用
    • 增加應用、用戶兩個匹配條件,解決了基于端口、IP識別流量不準確的問題
    • 應用、內容、威脅感知能力增強

    版權聲明:本文內容由互聯網用戶自發貢獻,該文觀點僅代表作者本人。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。如發現本站有涉嫌抄襲侵權/違法違規的內容, 請發送郵件至 舉報,一經查實,本站將立刻刪除。

    發表評論

    登錄后才能評論
    国产精品区一区二区免费