【防火墙技术连载7】强叔侃墙 安全策略篇 安全策略发展历程详解
经过上期对安全策略的介绍,我想大家已经了解到安全策略是防火墙中必不可少的基本功能,本期强叔带大家详细了解安全策略的发展历程。基于ACL的包过滤前期已经提到这种单纯的包过滤正在逐步退出历史舞台,这里只简单介绍一下。包过滤的处理过程是先获取需要转发数据包的报文头信息,然后和设定的ACL规则进行比较,根据比较的结果对数据包进行转发或者丢弃。实现包过滤的核心技术是访问控制列表ACL。因此包过滤只能基于IP地址、端口号等控制流量是否可以通过防火墙,无法准确识别应用。http://support.huawei.com/ecommunity/showimage-10076557-10118533-215444d829f1bbd753c6a7c217045239.jpg
基于ACL的包过滤的配置方式是先配置好包含多条数据流规则(rule)的ACL,其中每条rule包含数据流的匹配条件和permit/deny动作,然后ACL再被域间包过滤引用。一个域间只能引用一个ACL。http://support.huawei.com/ecommunity/showimage-10076559-10118533-17eb6597437e1420e2bb068cb1fb6b11.jpg
发展中期的UTM设备安全策略随着USG2000/5000系列UTM产品的推出,“安全策略”这个概念被提出。之所以不叫包过滤了,是因为策略中集成了UTM检测功能,配置方式也由ACL方式变为Policy方式。通过下边这个界面可以直观的看到安全策略的组成:包过滤+UTM。不启用UTM功能时就是原始的包过滤;动作为permit的安全策略可以引用IPS、AV等UTM策略,对流量进一步进行UTM检测,通过检测的流量才能真正通过防火墙。http://support.huawei.com/ecommunity/showimage-10076561-10118533-484010ca31f9d68e932dea2b6c7a86eb.jpg注:华为UTM产品中已经增加“用户”这个匹配条件,后续在NGFW安全策略中再统一介绍。
另外配置方式上也变为Policy方式,即在配置安全策略时直接指定匹配数据流的多种条件以及动作,配置更简单。http://support.huawei.com/ecommunity/showimage-10076563-10118533-50380c117aff70f12140dbbed53b580a.jpg
此时的安全策略已经有一体化安全处理的雏形了,将防火墙包过滤功能和内容安全功能进行了融合,但是还有一定局限性。了解UTM的同学们应该知道,UTM更多的是体现功能集成,将传统防火墙、入侵防御设备、反病毒设备等集成到一个硬件。UTM设备的多个安全功能之间的紧密度不高,报文匹配安全策略的匹配条件后需要逐一进入各个UTM模块进行检测和处理,如果同时开启多个安全功能,设备性能往往大幅下降。http://support.huawei.com/ecommunity/showimage-10076565-10118533-5818afc18ec877d1925f75b8293846b2.jpg
另外基于应用的管控需要配置额外的应用控制策略,不能直接将应用类型作为策略的匹配条件。例如需要禁止员工使用IM应用,此时要额外配置禁止IM应用的“应用控制策略”然后再在安全策略引用生效。也就是应用识别与管控需要进入另外一个模块处理。
NGFW的一体化安全策略到了NGFW阶段,对一体化、应用识别与管控、高性能等要求更高。安全策略充分体现了这些特质,通过应用、用户、内容、威胁等多个维度的识别将模糊的网络环境映射为实际的业务环境,从而实现精准的访问控制和安全检测。http://support.huawei.com/ecommunity/showimage-10076567-10118533-e091e5f0ab75734ba0e699bdc8be960b.jpg 闲言少叙,说点干货吧,NGFW安全策略在配置和实现上到底有哪些不同呢?1、 NGFW之前的安全策略都是应用在域间的(安全区域必配),NGFW的安全策略应用在全局,安全区域与IP地址等一样只是作为可选的匹配条件。而且安全区域支持多选。这样配置更灵活,可以不关注安全区域、域间方向,只需关注访问的源/目的。另外还可以实现跨多域的访问的一次性配置。http://support.huawei.com/ecommunity/showimage-10076569-10118533-6ea60ae3df6651ec4e75ed7dcfd59ee8.jpg http://support.huawei.com/ecommunity/showimage-10076571-10118533-fa70b28452c8a494ba355b7a2873857d.jpg2、缺省包过滤也是全局只有一条,不再区分域间。3、增加应用作为匹配条件,对应用的阻断/允许直接在安全策略中配置。4、增加用户作为匹配条件,实现基于用户的管控,即使IP发生变化用户的权限也是不变的。 也就是应用和用户的识别都融入了防火墙安全策略的处理流程中,无论从配置还是设备 处理上都体现了“一体化”。5、通过高性能的一体化检测引擎实现一次扫描、实时检测,即使开启所有内容安全功能,也不会造成设备性能的大幅下降。强叔后续将开辟专门的帖子对NGFW进行具体介绍,详细的处理过程本帖不过多提及了。
展望未来安全策略在一体化、智能化、多维度管控的道路上还在继续前行,基于地理位置的控制、根据实际网络流量类型自动调整策略配置的智能策略都将陆续推出。各位网管和工程师们,期待着只需喝茶看报,防火墙自动进行安全防护的那一天吧~~
强叔提问您接触的防火墙的安全策略属于第几阶段?您最想了解什么?都可以留言哦,强叔将会一一解答。
转载自:http://support.huawei.com/ecommunity/bbs/10184853.html
thanks for sharing! 学习
页:
[1]