园区网络安全设计——出口防火墙

本文涉及的产品
AI安全护栏试用包,10万次资源包1年有效
云防火墙,500元 1000GB
简介: 园区网络安全设计——出口防火墙

园区网络安全设计——出口防火墙


网络接入人员众多,业务复杂,流量构成丰富多样;容易成为DDoS攻击的目标,而且一旦攻击成功,业务损失巨大;网络病毒活跃,严重威胁网络安全和终端的安全;出于业务需求,内网对外提供网络服务,例如公司网站、邮件服务等,这些潜在的不安全因素都威胁着园区网络的安全。


防火墙作为整个网络和出口,肩负着整个网络的安全责任,针对上述安全需求,可在出口防火墙上部署如下安全业务:


将企业员工网络、公司服务器网络、外部网络划分到不同安全区域,对安全区域间的流量进行检测和保护。

根据公司对外提供的网络服务的类型开启相应的内容安全防护功能。例如针对文件服务器开启文件过滤和内容过滤,针对邮件服务器开启邮件过滤,并且针对所有服务器开启反病毒和入侵防御。

针对内网员工访问外部网络的行为,开启URL过滤、文件过滤、内容过滤、应用行为控制、反病毒等功能,既保护内网主机不受外网威胁,又可以防止企业机密信息的泄露,提高企业网络的安全性。

开启DDoS防御功能,抵抗外网主机对内网服务器进行的大流量攻击,保证企业业务的正常开展。

针对内外网之间的流量部署带宽策略,控制流量带宽和连接数,避免网络拥塞,同时也可辅助进行DDoS攻击的防御。

部署华为网管系统(需要单独采购),记录网络运行的日志信息。日志信息可以帮助管理员进行配置调整、风险识别和流量审计。

安全区域划分

系统缺省已经创建了四个安全区域。但是如果用户还需要划分更多的安全等级,可以自行创建新的安全区域并定义其安全等级。安全区域创建完成后,还需要将相应接口加入安全区域。之后,从该接口接收的或发送出去的报文才会被认为是属于该安全区域。否则接口默认不属于任何安全区域,将不能通过该接口与其他安全区域通信。


接口划分不同的安全区域。

[FW] firewallzoneuntrust[FW-zone-untrust] addinterfaceGigabitEthernet1/0/1[FW-zone-untrust] quit[FW] firewallzonetrust[FW-zone-trust] addinterfaceGigabitEthernet1/0/3[FW-zone-trust] quit#配置安全策略(默认deny所有流量)。


配置安全策略,允许内部网络中的PC访问Internet。

[FW] security-policy[FW-security-policy] rulenamepolicy_sec_1[FW-security-policy-sec_policy_1] source-address10.3.0.0mask255.255.255.0[FW-security-policy-sec_policy_1] source-zonetrust[FW-security-policy-sec_policy_1] destination-zoneuntrust[FW-security-policy-sec_policy_1] actionpermit[FW-security-policy-sec_policy_1] quit[FW-security-policy] quit


过滤功能

URL过滤

配置URL过滤配置文件。

[FW] profiletypeurl-filternameprofile_url_research[FW-profile-url-filter-profile_url_research] categoryuser-definedactionblock[FW-profile-url-filter-profile_url_research] categorypre-definedactionblock[FW-profile-url-filter-profile_url_research] categorypre-definedcategory-id15actionallow[FW-profile-url-filter-profile_url_research] categorypre-definedcategory-id17actionallow[FW-profile-url-filter-profile_url_research] quit


配置安全策略。

[FW-policy-security] rulenamepolicy_sec_research[FW-policy-security-rule-policy_sec_research] source-zonetrust[FW-policy-security-rule-policy_sec_research] destination-zoneuntrust[FW-policy-security-rule-policy_sec_research] useruser-group/default/research[FW-policy-security-rule-policy_sec_research] actionpermit[FW-policy-security-rule-policy_sec_research] profileurl-filterprofile_url_research[FW-policy-security-rule-policy_sec_research] quit


提交内容安全配置文件。

[FW] engineconfigurationcommitInfo: Theoperationmaylastforseveralminutes, pleasewait.
Info: URLsubmittedconfigurationssuccessfully.
Info: Finishcommittingenginecompiling.文件过滤


新建配置文件profile_file_internet,禁止上传可执行文件。

[FW] profiletypefile-blocknameprofile_file_internet[FW-profile-file-block-profile_file_internet] rulenamerule1[FW-profile-file-block-profile_file_internet-rule-rule1] applicationall[FW-profile-file-block-profile_file_internet-rule-rule1] file-typepre-definednameEXEMSIRPMOCXAELFDLLPESYS[FW-profile-file-block-profile_file_internet-rule-rule1] directionupload[FW-profile-file-block-profile_file_internet-rule-rule1] actionblock[FW-profile-file-block-profile_file_internet-rule-rule1] quit[FW-profile-file-block-profile_file_internet] quit


配置untrust到dmz的安全策略policy_sec_internet,并引用配置文件

profile_file_internet。[FW-policy-security] rulenamepolicy_sec_internet[FW-policy-security-rule-policy_sec_internet] source-zoneuntrust[FW-policy-security-rule-policy_sec_internet] destination-zonedmz[FW-policy-security-rule-policy_sec_internet] destination-address10.2.0.524[FW-policy-security-rule-policy_sec_internet] profilefile-blockprofile_file_internet[FW-policy-security-rule-policy_sec_internet] actionpermit[FW-policy-security-rule-policy_sec_internet] quit


提交内容安全配置文件。

[FW] engineconfigurationcommitInfo: Theoperationmaylastforseveralminutes, pleasewait.
Info: DLPsubmittedconfigurationssuccessfully.
Info: Finishcommittingenginecompiling.内容过滤


配置关键字组keyword1。

[FW] keyword-groupnamekeyword1[FW-keyword-group-keyword1] pre-defined-keywordnameconfidentialityweight1[FW-keyword-group-keyword1] user-defined-keywordnameabc[FW-keyword-group-keyword1-keyword-abc] expressionmatch-modeText"abcd"[FW-keyword-group-keyword1-keyword-abc] weight1[FW-keyword-group-keyword1-keyword-abc] quit


为用户新建配置文件profile_data_research。

[FW] profiletypedata-filternameprofile_data_research[FW-profile-data-filter-profile_data_research] rulenamerule1[FW-profile-data-filter-profile_data_research-rule-rule1] keyword-groupnamekeyword1[FW-profile-data-filter-profile_data_research-rule-rule1] applicationall[FW-profile-data-filter-profile_data_research-rule-rule1] file-typeall[FW-profile-data-filter-profile_data_research-rule-rule1] directionupload[FW-profile-data-filter-profile_data_research-rule-rule1] actionblock[FW-profile-data-filter-profile_data_research-rule-rule1] quit


为用户配置安全策略policy_sec_research,并引用配置文件profile_data_research。

[FW] security-policy[FW-policy-security] rulenamepolicy_sec_research[wzh_x3-policy-security-rule-policy_sec_research] source-zonetrust[wzh_x3-policy-security-rule-policy_sec_research] destination-zoneuntrust[wzh_x3-policy-security-rule-policy_sec_research] useruser-group/default/research[wzh_x3-policy-security-rule-policy_sec_research] profiledata-filterprofile_data_research[wzh_x3-policy-security-rule-policy_sec_research] actionpermit[wzh_x3-policy-security-rule-policy_sec_research] quit


提交内容安全配置文件。

[FW] engineconfigurationcommitInfo: Theoperationmaylastforseveralminutes, pleasewait.
Info: DLPsubmittedconfigurationssuccessfully.
Info: Finishcommittingenginecompiling.


反病毒和入侵防御

部署反病毒

当内网用户通过HTTP协议下载带有病毒的文件时,下载连接被阻断。当内网用户通过POP3协议下载带有病毒的邮件时,附件被删除。


配置针对HTTP和POP3协议的反病毒配置文件。

[FW] profiletypeavnameav_http_pop3[FW-profile-av-av_http_pop3] http-detectdirectiondownloadactionblock[FW-profile-av-av_http_pop3] pop3-detectactiondelete-attachment[FW-profile-av-av_http_pop3] exceptionapplicationnameNetease_Webmail[FW-profile-av-av_http_pop3] exceptionav-signature-id1000[FW-profile-av-av_http_pop3] quit


配置内网用户到外网服务器方向(trust到untrust方向)的安全策略。

[FW] security-policy[FW-policy-security] rulenamepolicy_av_1[FW-policy-security-rule-policy_av_1] source-zonetrust[FW-policy-security-rule-policy_av_1] destination-zoneuntrust[FW-policy-security-rule-policy_av_1] actionpermit[FW-policy-security-rule-policy_av_1] profileavav_http_pop3[FW-policy-security-rule-policy_av_1] quit部署入侵防御


创建入侵防御配置文件profile_ips_pc,保护内网用户。

[FW] profiletypeipsnameprofile_ips_pc[FW-profile-ips-profile_ips_pc] descriptionprofileforintranetusers[FW-profile-ips-profile_ips_pc] capture-packetenable[FW-profile-ips-profile_ips_pc] signature-setnamefilter1[FW-profile-ips-profile_ips_pc-sigset-filter1] targetclient[FW-profile-ips-profile_ips_pc-sigset-filter1] severityhigh[FW-profile-ips-profile_ips_pc-sigset-filter1] protocolHTTP[FW-profile-ips-profile_ips_pc-sigset-filter1] quit[FW-profile-ips-profile_ips_pc] quit#提交配置。[FW] engineconfigurationcommit


配置Trust区域和Untrust区域之间的安全策略,引用入侵防御配置文件profile_ips_pc。

[FW] security-policy[FW-policy-security] rulenamepolicy_sec_1[FW-policy-security-rule-policy_sec_1] source-zonetrust[FW-policy-security-rule-policy_sec_1] destination-zoneuntrust[FW-policy-security-rule-policy_sec_1] source-address10.3.0.024[FW-policy-security-rule-policy_sec_1] profileipsprofile_ips_pc[FW-policy-security-rule-policy_sec_1] actionpermit[FW-policy-security-rule-policy_sec_1] quit


DDoS攻击防御

例如,防火墙部署在内网出口处,企业内网部署了Web服务器。经检测,Web服务器经常受到SYN Flood、UDP Flood和HTTP Flood攻击,为了保障Web服务器的正常运行,需要在FW上开启攻击防范功能,用来防范以上三种类型的DDoS攻击。


配置攻击防范参数。

[FW] interfaceGigabitEthernet1/0/1[FW-GigabitEthernet1/0/1] anti-ddosflow-statisticenable[FW-GigabitEthernet1/0/1] quit[FW] ddos-modedetect-clean


配置阈值学习功能。

[FW] anti-ddosbaseline-learnstart[FW] anti-ddosbaseline-learntolerance-value100[FW] anti-ddosbaseline-learnapply


开启攻击防范功能。

[FW] anti-ddossyn-floodsource-detect[FW] anti-ddosudp-flooddynamic-fingerprint-learn[FW] anti-ddosudp-frag-flooddynamic-fingerprint-learn[FW] anti-ddoshttp-flooddefendalert-rate2000[FW] anti-ddoshttp-floodsource-detectmodebasic


带宽策略

例如:通过每用户的动态均分方式,根据实际在线用户数量动态为每个用户平均分配带宽资源。


为用户配置带宽通道。

[FW] traffic-policy[FW-policy-traffic] profileprofile_dep_a[FW-policy-traffic-profile-profile_dep_a] bandwidthmaximum-bandwidthwholedownstream60000[FW-policy-traffic-profile-profile_dep_a] bandwidthaverageper-usermanualmultiplier2minimum1000[FW-policy-traffic-profile-profile_dep_a] quit


针对用户进行带宽管理。

[FW-policy-traffic] rulenamepolicy_dep_a[FW-policy-traffic-rule-policy_dep_a] source-zonetrust[FW-policy-traffic-rule-policy_dep_a] destination-zoneuntrust[FW-policy-traffic-rule-policy_dep_a] useruser-group/default/dep_a[FW-policy-traffic-rule-policy_dep_a] actionqosprofileprofile_dep_a[FW-policy-traffic-rule-policy_dep_a] quit


上网行为审计和管理

防火墙作为企业网关部署在网络边界,管理员希望通过配置审计功能记录员工的上网行为。


针对用户配置审计配置文件。


[FW] profiletypeauditnameprofile_audit_1[FW-profile-audit-profile_audit_1] http-auditurlall[FW-profile-audit-profile_audit_1] http-auditurlrecorded-title[FW-profile-audit-profile_audit_1] http-auditfiledirectiondownload[FW-profile-audit-profile_audit_1] ftp-auditfiledirectiondownload[FW-profile-audit-profile_audit_1] http-auditbbs-content[FW-profile-audit-profile_audit_1] http-auditmicro-blog[FW-profile-audit-profile_audit_1] quit


针对用户配置审计策略并引用审计配置文件。


[FW] audit-policy[FW-policy-audit] rulenamepolicy_audit_1[FW-policy-audit-rule-policy_audit_1] descriptionPolicyofauditingforresearch.
[FW-policy-audit-rule-policy_audit_1] source-zonetrust[FW-policy-audit-rule-policy_audit_1] destination-zoneuntrust[FW-policy-audit-rule-policy_audit_1] useruser-group/default/research[FW-policy-audit-rule-policy_audit_1] time-rangetime_range[FW-policy-audit-rule-policy_audit_1] actionauditprofileprofile_audit_1[FW-policy-audit-rule-policy_audit_1] quit


相关文章
|
安全 网络协议 网络安全
UDP Flood是什么?及其防护方法
UDP Flood是互联网上最经典的DDoS(Distributed Denial of Service)攻击之一。攻击者在短时间内向目标设备发送大量的UDP报文,导致链路拥塞甚至网络瘫痪。一般的UDP报文由攻击工具伪造,通常在数据段具备相同的特征,另一部分由真实网络设备发出的UDP报文,虽然数据段不相同,但固定的目的端口也可作为一种特征。 确定UDP攻击报文的特征后,即可根据特征进行过滤。特征过滤就是常说的指纹过滤,可根据攻击报文的特征,自定义过滤属性。指纹过滤包括静态指纹过滤和动态指纹学习两种方法。
UDP Flood是什么?及其防护方法
|
11月前
|
JavaScript 前端开发 Java
for循环、break和continue、二重循环
【10月更文挑战第12天】这段内容介绍了编程中的 `for` 循环,包括基本概念、应用场景以及 `break` 和 `continue` 语句的使用方法。`for` 循环是一种常用的流程控制语句,用于重复执行一段代码。文中通过不同语言的示例说明了如何遍历数组、计算数值和创建矩阵等。此外,还介绍了二重循环的概念及其在处理二维数据结构中的应用。
323 1
|
10月前
|
人工智能 监控 安全
网络监控软件
【10月更文挑战第17天】
287 68
|
前端开发 JavaScript Linux
宝塔面板超级美化(登录页+后台)
宝塔面板超级美化(登录页+后台)
1439 0
宝塔面板超级美化(登录页+后台)
|
安全 Linux Python
|
机器学习/深度学习 TensorFlow 算法框架/工具
人脸识别项目打包成exe的过程遇到的问题
【7月更文挑战第16天】将人脸识别项目打包成exe常遇问题包括: - **依赖库问题**:关键库未正确包含或版本不兼容。 - **环境配置问题**:运行环境差异或系统架构不一致。 - **资源文件路径问题**:路径变化导致无法正确加载资源。 - **代码优化与兼容性问题**:效率低下或跨平台问题。 - **加密与签名问题**:安全性措施不当影响使用。如未包含OpenCV导致导入错误,或绝对路径问题致模型文件丢失。
142 6
|
11月前
|
消息中间件 NoSQL 关系型数据库
一文彻底搞定Redis与MySQL的数据同步
【10月更文挑战第21天】本文介绍了 Redis 与 MySQL 数据同步的原因及实现方式。同步的主要目的是为了优化性能和保持数据一致性。实现方式包括基于数据库触发器、应用层双写和使用消息队列。每种方式都有其优缺点,需根据具体场景选择合适的方法。此外,文章还强调了数据同步时需要注意的数据一致性、性能优化和异常处理等问题。
2405 0
|
XML JSON 数据挖掘
天猫商品评论接口:从申请到应用全攻略
天猫商品评论数据接口(Tmall.item_review)让商家与开发者获取天猫商品评论数据。接口通过HTTP请求提供评论内容、时间、评分等信息,助力商家优化产品与营销策略。使用需创建应用获App Key/Secret,编写代码调用并处理JSON/XML响应。适用于数据分析、商品优化、营销推广及客户管理。遵循规定合法使用数据。
|
编解码 缓存 UED
【Uniapp 专栏】Uniapp 开发实战:打造高效页面布局技巧
【5月更文挑战第12天】在 Uniapp 开发中,高效页面布局关乎用户体验和应用性能。关键技巧包括:规划清晰的页面结构,利用 Flex 布局组件,精确控制元素尺寸和位置,实现响应式设计,保持布局简洁,优化加载性能,恰当运用色彩和字体,添加交互性动画,以及组织良好代码结构。通过不断学习和实践,开发者能创建出美观且高性能的页面,提升应用的整体质量。
580 5
|
SQL 分布式计算 DataWorks
DataWorks操作报错合集之错误提示“ODPS-0130161: Parse exception - invalid token 'WITH', expect 'SEMICOLON'”,该怎么办
DataWorks是阿里云提供的一站式大数据开发与治理平台,支持数据集成、数据开发、数据服务、数据质量管理、数据安全管理等全流程数据处理。在使用DataWorks过程中,可能会遇到各种操作报错。以下是一些常见的报错情况及其可能的原因和解决方法。
1243 0