防火墙安全策略功能入门

本文涉及的产品
云防火墙,500元 1000GB
简介: 防火墙安全策略功能入门

前面使用域间策略验证了设备的上线效果,这种配置方法是长期使用老版本设备命令行操作留下来的习惯。现在版本更新很快,WEB页面功能更加完善,其中新版本主推的安全策略配置功能,操作也很方便。


首先在命令行移除了域间策略部分配置:

undo security-zone intra-zone default permit

需要注意的是,vFW默认没有开启HTTPS,需要在命令行开启,并为登录用户增加HTTPS登录权限,同时建议修改默认端口号。

#
 ip https port 8443
 ip https enable
#
local-user tietou class manage
 password simple Tietou@h3c.com
 service-type https
 authorization-attribute user-role network-admin

然后就可以使用https://172.2.216.65:8443/进行登录了。随后在WEB页面增加安全策略配置:

1677132331190.jpg

1677132336976.jpg

过程中发现ping报文有丢失,增加安全策略后恢复,说明域间策略和安全策略是可以共存生效的。

1677132347761.jpg

开启统计之后还可以看到命中策略的流量和会话信息。

1677132363273.jpg

点击会话查看能直接查看到命中该策略的会话信息。

1677132374543.jpg

TEST1:域间策略和安全策略的生效关系怎么样?


1、已知没有域间策略或安全策略的情况下互访流量是被设备阻断的,并且安全策略或者安全策略任意一个配置放通,则互访流量可以通过;


2、由1可知,配置域间策略或安全策略其中一个放通即可实现互访,则同时配置两个策略互通流量肯定是放通的;


3、修改配置安全策略为放通、域间策略为阻断,发现流量是通的,并且测试安全策略先配置生效和后配置生效效果相同;


4、修改配置域间策略为放通、安全策略为阻断,发现流量是不通的,并且测试安全策略先配置生效和后配置生效效果相同。


执行效果如下图:

1677132396120.jpg


综上,说明安全策略的优先级高于域间策略,如果两者同时存在的话,会执行安全策略的配置


TEST2:域间策略匹配顺序是怎样的?


验证操作需要将两台设备的安全域分开,新建两个安全域VM1和VM2,并将两个接口放到对应安全域下面。

1677132416344.jpg

1、已经明确的匹配顺序:精确的域间策略优先于模糊的或者默认的域间策略,所以先创建一条any到any的域间策略,动作放行,测试两端设备正常通信;


2、创建两条域间策略any-VM2以及VM1-any,分别应用两条ACL做包过滤,配置3001和3002,首先规则为空;


3、修改any-VM2域间策略为放通,发现网络不通;


4、修改VM1-any域间策略为放通,发现网络正常通信;


5、验证操作3和4的测试结果,在存在VM1-any的域间策略时,修改any-VM2的域间策略,不影响网络连通性。


结论:域间策略匹配优先级顺序如下:


A→B > A→any > any→B > any→any。


测试过程中,通过debug aspf packet,可以看到报文阻断原因。本例中,可以看出是被包过滤或者对象策略阻断,实际是包过滤阻断;源域是VM1,目的域是VM2,入接口是G2/0,出接口是G3/0,未匹配VPN实例;还可以看到简要的报文信息,为ICMP和TCP报文。

1677132437586.jpg


TEST3:安全策略匹配顺序是怎样的?


已知的匹配顺序是按照显示顺序进行匹配的,测试添加一条any到any的放通规则,发现后面再添加3条精确的阻断策略,仍然可以互访。

1677132464745.jpg

命令行配置显示如下:

1677132471407.jpg

发现安全策略是有规则编号的,匹配顺序也是按照策略规则顺序进行匹配的,当在WEB页面调整显示顺序时,命令行配置顺序也会对应改变,但是规则编号不变。

1677132484407.jpg

调整阻断规则到放通规则之前,发现流量被阻断;查看命令配置,配置顺序被同步调整,规则编号没有变化。

1677132493317.jpg

结论:安全策略的匹配顺序是按照显示顺序进行顺序匹配的。所以在配置时应当避免在第一条配置生效的any到any的放通策略,这样就失去了防火墙的功能;同时为了保证配置生效,新增精确规则时,建议调整精确规则到模糊规则的前面。


TEST4:策略冗余分析功能


新版本的防火墙增加了安全策略冗余分析功能,可以通过分析安全策略中的过滤条件识别出冗余的策略,从而有利于达到精简策略的目的。过滤条件具体包括:源安全域、目的安全域、源IP/MAC地址、目的IP地址、用户、应用、服务、VRF和时间段等。


设备会将高优先级的策略依次与低优先级的策略进行遍历比较,只要符合以下两种情况的任意一种,则认定为冗余:


·所有过滤条件完全相同的安全策略,则低优先级的安全策略会被认定为冗余;


·安全策略A的所有过滤条件被安全策略B完全包含,且安全策略A的优先级低于安全策略B,则安全策略A会被认定为冗余。


策略冗余分析可以在没有流量经过设备时进行分析,因此该功能可以在安全策略配置完成后立即进行。在冗余分析结果中修改安全策略配置后,设备会自动再次进行策略冗余分析,以便使冗余分析结果更加准确。


点击“开始分析”,结果显示出两条安全策略。按照过滤条件,配置的规则中只符合源安全域和目的安全域两个条件,符合第二种情况,可以参考域间策略优先级,any到B和any到any的策略被提示冗余。

1677132534793.jpg


不过这个功能一般用不到,因为平时最多不过配置几十条策略,使用这个功能的分析结果较大概率与实际需求不匹配。


TEST5:策略命中分析功能


新版本的防火墙还增加了安全策略命中分析功能,可以分析出指定时间段内的安全策略是否被命中过,并将未命中的安全策略按照从高到低的优先级顺序进行呈现,以帮助管理员对设备上的安全策略进行深度分析和处理。


只要符合如下两种情况中的任意一种,则认为策略未命中:


·流量不符合安全策略的过滤条件;


·安全策略之间存在深度冗余,例如IP地址和用户的冗余、应用和服务的冗余等。这样会由于高优先级的策略被命中,而导致低优先级的策略未命中。


可看到分析出两条策略,命中结果均为未命中。

1677132564405.jpg

但是实际使用场景中用处不大,不比在策略配置中开启策略匹配统计,在安全策略中查看命中次数来的只关一点。

相关文章
|
3天前
|
人工智能 运维 监控
超越传统网络防护,下一代防火墙安全策略解读
超越传统网络防护,下一代防火墙安全策略解读
18 6
|
3月前
|
机器学习/深度学习 安全 网络协议
Linux防火墙iptables命令管理入门
本文介绍了关于Linux防火墙iptables命令管理入门的教程,涵盖了iptables的基本概念、语法格式、常用参数、基础查询操作以及链和规则管理等内容。
242 73
|
4月前
|
监控 安全 网络安全
IPSEC 与防火墙:功能与优势比较
【8月更文挑战第24天】
105 0
|
4月前
|
安全 网络协议 网络安全
入门防火墙基本原理,还是得看这篇!小白一看就懂!
入门防火墙基本原理,还是得看这篇!小白一看就懂!
117 0
|
5月前
|
监控 安全 网络安全
|
5月前
|
监控 网络安全 定位技术
|
5月前
|
存储 消息中间件 监控
在保安监控及防盗报警系统工程中,通常包括视频监控、入侵检测、报警通知等功能。
在保安监控及防盗报警系统工程中,通常包括视频监控、入侵检测、报警通知等功能。
|
7月前
|
安全 网络协议 网络安全
防火墙之安全策略
防火墙之安全策略
119 7
|
6月前
|
网络协议 Linux Shell
基础入门-反弹SHELL&不回显带外&正反向连接&防火墙出入站&文件下载
基础入门-反弹SHELL&不回显带外&正反向连接&防火墙出入站&文件下载
|
6月前
|
云安全 监控 安全
WEB应用防火墙的作用,云服务器有这个功能吗
Web应用防火墙(Web Application Firewall,简称WAF)是一种安全产品,旨在保护Web应用程序免受网络攻击和恶意数据流量的影响。
下一篇
DataWorks