防火牆的基本作用是保護特定網絡免受“不信任”的網絡的攻擊,但是同時還必需允許兩個網絡之間可以進行合法的通信。安全策略的作用就是對通過防火牆的數據進行檢驗,符合安全策略的合法數據流才能通過防火牆。
可以在不同的域間方向應用不同的安全策略進行不同的控製。
安全策略是由匹配條件和動作(允許/拒絕)組成的控製規則,可以基於IP、端口、協議等屬性進行細化的控製。
缺省情況下,所有域間的所有方向都禁止報文通過,可以根據需求配置允許允許那些數據通過防火牆的安全策略。
注:對於路由、ARP等底層協議一般是不受安全策略控製的,直接允許通過。當然這和具體產品實現有關,產品間可能有差異。
在一個域間有Inbound方向和Outbound方向,但對於同一條數據流,在訪問發起的方向上應用安全策略即可,反向報文 不需要額外的策略。這是因為防火牆是狀態檢測設備,對於同一條數據流隻有首包匹配安全策略並建立會話,後續包都匹配會話轉發。
防火牆將流量的屬性與安全策略的條件進行匹配。如果所有條件都匹配,則此流量成功匹配安全策略。如果其中有一個條件不匹配,則未匹配安全策略。
同一域間或域內應用多條安全策略,策略的優先級按照順序進行排序,越先配置的策略優先級越高,越先匹配報文。如果報文匹配到一條策略就不再繼續匹配剩下的策略,如果沒有匹配到任何策略就按缺省包過濾處理。所以配置策略要先粗後細。
1.傳統防火牆
基於ACL的包過濾。
通過在域間引用ACL實現包過濾
匹配條件:報文頭的五元組(源/目的地址、源/目的端口號、協議號)和時間段
動作包括拒絕和允許報文通過
2.UTM
融合UTM的安全策略(包過濾+UTM)
在包過濾基礎上增加UTM處理,包括IPS/AV/URL過濾等
動作為permit的報文繼續進行UTM處理,通過UTM檢測才真正允許通過
功能疊加,應用未作為統一的匹配條件,而是存在獨立的應用控製策略,對用戶體驗和處理性能都有一定影響
3.NGFW
一體化安全策略(五元組+應用+用戶+內用安全)
真正的一體化策略,可一次識別流量的應用類型、攜帶的內容等數據,供內容安全功能使用
增加應用、用戶兩個匹配條件,解決了基於端口、IP識別流量不準確的問題
應用、內容、威脅感知能力增強
朗瑪信息:公司與華為雲暫無合作
極致華南地區產業基地多對策探尋“零碳”新模式
騰訊遊戲宣布未成年人保護體係升級至“防沉迷下半場”
正在崩塌的特斯拉帝國:在AI烏托邦與造車現實間的生死時速
美國財長預測10年期美債收益率將下降
葆嬰U殊榮|知名品牌往上!大家又又又得獎啦!
卓創資訊:關稅大棒繼續揮舞 鎳市行情一蹶不振
澤連斯基:願以辭職換取烏克蘭加入北約
作假300億人民幣!剛,康美藥業財務造假案判了!賠付投資人額度達24.59億人民幣
洋河股份“失速”:市值縮水70%,業績增速全麵墊底
