文章插图
1.4组网以及web界面
文章插图
所有匹配条件在一条安全策略中都是可选配置;但是一旦配置了 , 就必须全部符合才认为匹配 , 即这些匹配条件之间是“与”的关系 。一个匹配条件中如果配置了多个值 , 多个值之间是“或”的关系 , 只要流量匹配了其中任意一个值 , 就认为匹配了这个条件 。
一条安全策略中的匹配条件越具体 , 其所描述的流量越精确 。你可以只使用五元组(源/目的IP地址、端口、协议)作为匹配条件 , 也可以利用防火墙的应用识别、用户识别能力 , 更精确、更方便地配置安全策略 。
穿墙安全策略与本地安全策略
穿过防火墙的流量、防火墙发出的流量、防火墙接收的流量均受安全策略控制 。如图1-5所示 , 内网PC既需要Telnet登录防火墙管理设备 , 又要通过防火墙访问Internet 。此时需要为这两种流量分别配置安全策略 。
文章插图
1.5穿墙安全策略与本地安全策略
文章插图
尤其讲下本地安全策略 , 也就是与local域相关相关的安全策略 。以上例子中 , 位于trust域的PC登录防火墙 , 配置trust访问local的安全策略;反之如果防火墙主动访问其他安全区域的对象 , 例如防火墙向日志服务器上报日志、防火墙连接安全中心升级特征库等 , 需要配置local到其他安全区域的安全策略 。记住一点防火墙本身是local安全区域 , 接口加入的安全区域代表接口连接的网络属于此安全区域 , 这样就可以分清防火墙本身和外界网络的域间关系了 。
缺省安全策略与安全策略列表
防火墙存在一条缺省安全策略default , 默认禁止所有的域间流量 。缺省策略永远位于策略列表的最底端 , 且不可删除 。
用户创建的安全策略 , 按照创建顺序从上往下排列 , 新创建的安全策略默认位于策略列表底部 , 缺省策略之前 。防火墙接收到流量之后 , 按照安全策略列表从上向下依次匹配 。一旦某一条安全策略匹配成功 , 则停止匹配 , 并按照该安全策略指定的动作处理流量 。如果所有手工创建的安全策略都未匹配 , 则按照缺省策略处理 。
由此可见 , 安全策略列表的顺序是影响策略是否按预期匹配的关键 , 新建安全策略后往往需要手动调整顺序 。
企业的一台服务器地址为10.1.1.1 , 允许IP网段为10.2.1.0/24的办公区访问此服务器 , 配置了安全策略policy1 。运行一段时间后 , 又要求禁止两台临时办公PC(10.2.1.1、10.2.1.2)访问服务器 。
此时新配置的安全区策略policy2位于policy1的下方 。因为policy1的地址范围覆盖了policy2的地址范围 , policy2永远无法被匹配 。
文章插图
需要手动调整policy2到policy1的上方 , 调整后的安全策略如下:
文章插图
因此 , 配置安全策略时 , 注意先精确后宽泛 。如果新增安全策略 , 注意和已有安全策略的顺序 , 如果不符合预期需要调整 。
- 如何格式化硬盘而不被恢复 彻底销毁硬盘的五种方法
- 英雄联盟改了那么多英雄,你的本命英雄还是你原来喜欢的那个吗你是如何看待的
- 如何安装双系统互不影响 电脑装双系统怎么装
- 如何使用投影仪连接电脑 家用投影仪的使用方法
- 利息如何计算 利息详细计算方法
- 小米手机如何省电设置方法 原来是这6个功能没有开启
- 如何提升团队凝聚力方法 四大措施可搞定
- 如何提高团队执行力 提升团队执行力的具体措施
- 新手如何投资股票 怎样在手机上开户买股票
- 如何去除冰箱异味 冰箱异味去除最快方法