4-防火墙安全策略.pptx-道客多多

资源描述

1、防火墙安全策略,神州数码客服 2015-1,目录,安全策略基础,安全策略基本元素,安全策略高级特性,小结,网络安全防护,安全策略配置与应用,安全策略基础策略是网络安全设备的基本功能默认情况下，安全设备会拒绝设备上所有安全域之间的信息传输策略则通过策略规则（Policy Rule）决定从一个安全域到另一个安全域的哪些流量该被允许，哪些流量该被拒绝。,安全策略基础,安全策略基础,策略分为两种：域间策略：域间策略对安全域间的流量进行控制可通过设置域间策略来拒绝、允许从一个安全域到另一个安全域的流量域内策略：安全域内策略对绑定到同一个安全域的接口间流量进行控制。源地址和目的地址都在同一个安全域中，

2、但是通过安全网关的不同接口到达。,目录,安全策略基础,安全策略基本元素,安全策略高级特性,小结,网络安全防护,安全策略配置与应用,策略规则的基本元素,策略规则允许或者拒绝从一个安全域到另一个安全域的流量。流量的类型、流量的源地址与目标地址以及行为构成策略规则的基本元素。 Direction - 两个安全域之间的流量的方向，指从源安全域到目标安全域。 Source Address - 流量的源地址。 Destination Address 流量的目标地址。 Service 流量的服务类型。 Action 安全设备在遇到指定类型流量时所做的行为，包括允许（Permit）、拒绝（Deny）、隧道（T

3、unnel）、是否来自隧道（Fromtunnel）以及Web认证五个行为。,策略规则,策略规则分为两部分：过滤条件和行为。安全域间流量的源地址、目的地址、服务类型以及角色构成策略规则的过滤条件。对于匹配过滤条件的流量可以制定处理行为，如permit或deny等。策略匹配顺序：系统查找策略顺序为由上至下，对流量按照找到的第一条与过滤条件相匹配的策略规则进行处理。系统缺省的策略是拒绝所有的流量,安全策略部署流量,指定安全策略,配置策略的步骤,目录,安全策略基础,安全策略基本元素,安全策略高级特性,小结,网络安全防护,安全策略配置与应用,通过采用面向对象方式来实现访问控制，可以合并类似的访问控

4、制策略，减少访问规则数量。并且对象内容的修改，安全策略可自动更新，减少安全策略的维护量。面向对象的策略实现方法：第一步：定义对象地址对象服务对象时间对象等第二步：配置面向对象的安全策略,面向对象的策略管理,地址簿是DCFOS系统中用来存储IP地址范围与其名称的对应关系的数据库地址簿中的IP地址与名称的对应关系条目被称作地址条目（Addess Entry）地址条目的IP地址改变时，DCFOS会自动更新引用了改地址条目的模块。,地址（Address）,对象地址簿新建,配置地址簿（WebUI）,配置地址簿（CLI）,在全局配置模式下，使用以下命令定义修改地址簿：address addre

5、ss-entry 在地址配置模式下，使用以下命令来为地址簿添加删除条目：ip ip/mask ip地址段host host-name 主机名range min-ip max-ip 地址范围member address-entry 地址簿成员嵌套no ip ip/maskno host host-nameno range min-ip max-ipno member address-entry 查看地址簿信息show address address-entry,服务（Service）：具有协议标准的信息流。服务具有一定的特征，例如相应的协议、端口号等。服务组：将一些服务组织到一起便组成了服务组

6、。用户可以直接将服务组应用到安全网关策略中，这样便简化了管理。,服务（Service）,对象服务簿所有预定服务用户可以查看或者修改系统预定义服务，预定义服务只提供对服务超时时间进行修改。CLI：show service predefined,系统预定义服务,对象服务簿所有预定服务组用户可以查看系统预定义服务组，预定义服务组不可修改CLI：show predefine-servgroup,系统预定义服务组,除了使用DCFOS提供的预定义服务以外，用户还可以很容易地创建自己的自定义服务。用户自定义服务可包含最多8条服务条目。用户需指定的自定义服务条目的参数包括：- 名称- 传输协议- TCP或

8、。如果不指定，系统将会为策略规则自动分配一个ID。规则ID在整个系统中必须是唯一的。 top | before id | after id 指定策略规则的位置，可以是所有规则的首位（top）、某个规则之前（before id）或者某个ID（after id）之后。默认情况下，系统会将新创建的策略规则放到所有规则的末尾。 from src-addr 指定策略规则的源地址。src-addr为地址簿中定义的地址条目。 to dst-addr 指定策略规则的目的地址。dst-addr为地址簿中定义的地址条目。 service service-name 指定策略规则的服务名称。service-name为

10、讲述了以下内容：安全策略的用途配置安全策略使用的地址簿配置服务簿和服务组配置安全策略保护网络资源,1、安全策略由哪几部分组成？ 2、安全策略规则的动作支持哪几种？ 3、安全策略执行的顺序？ 4、同一个安全域内的策略，安全网关缺省的动作是什么？ 5、状态检测与包过滤两种实现方式有何不同？ 6、系统自带的地址簿对象“ipv4.ethernet0/0”和“ipv4.ethernet0/0_subnet”代表什么地址？,问题,目录,安全策略基础,安全策略基本元素,安全策略高级特性,小结,网络安全防护,安全策略配置与应用,神州数码防火墙不仅可以基于IP指定策略控制流量，而且可以结合角色实现细粒度

11、的基于用户的访问控制。把用户和角色（Role）映射起来（配置角色映射规则），然后把角色/角色组引用到系统策略规则中，就能够实现设备对不同用户流量的管理与控制。,角色,用户用户新建用户界面输入需新建用户名/密码，点击确定用户角色新角色,角色（创建用户、角色）,用户角色新角色映射配置用户-角色对应关系，点击确定完成新建操作，可编辑该角色映射规则，添加和删除对应关系。用户AAA服务器编辑界面绑定映射规则,角色（创建用户映射规则）,网络Web认证界面开启认证模式，可根据需要调整超时值和认证端口。防火墙策略对需要通过角色控制策略选择已定义角色，实现基于角色策略控制新建一条用户认证用户的策略

12、，置于角色控制策略之上,角色（实现Web认证）,基于安全域策略模式：基于全局策略模式：,配置角色控制策略,DCFW-1800系列防火墙支持时间表（Schedule）功能。时间表功能可以使策略规则在指定的时间生效，也可以控制PPPoE接口与因特网的连接时间。时间表包含绝对时间和周期。周期通过周期条目指定时间表的时间点或者时间段而绝对时间决定周期的生效时间。每个周期最多可以拥有16条周期条目。,时间表,对象时间表新建时间表提供“绝对时间”和“周期”两种类型,时间表,防火墙策略调用时间表的策略，只在时间表范围内生效,应用时间表到策略,防火墙策略调用时间表的策略，只在时间表范围内生效CLI：sh

13、ow policy,查看调用时间表的策略,目录,安全策略基础,安全策略基本元素,安全策略高级特性,小结,网络安全防护,安全策略配置与应用,网络中存在多种防不胜防的攻击，如侵入或破坏网络上的服务器、盗取服务器的敏感数据、破坏服务器对外提供的服务，或者直接破坏网络设备导致网络服务异常甚至中断。作为网络安全设备的防火墙，必须具备攻击防护功能来检测各种类型的网络攻击，从而采取相应的措施保护内部网络免受恶意攻击，以保证内部网络及系统正常运行。神州数码防火墙提供基于域的攻击防护功能,攻击防护,防火墙攻击防护,攻击防护,防火墙攻击防护,攻击防护,防火墙二层防护主机防御安全网关代替不同主机发送免费arp包，

14、保护被代理主机免受arp攻击。,主机防御,防火墙二层防护arp防御通过使用ARP学习功能、MAC学习、ARP认证以及ARP检查功能，DCFOS能够很好的防御ARP欺骗攻击。并且，DCFOS能够对ARP欺骗攻击进行统计，显示ARP欺骗攻击统计信息,ARP防御,防火墙二层防护静态绑定在全局模式下，使用以下命令绑定IP-MAC:arp ip-address mac-address 在全局模式下，使用以下命令绑定MAC-接口：mac-address-static mac-adress interface interface-name,静态绑定,防火墙二层防护DHCP Snooping,DHCP监控, 在本章中讲述了以下内容：基于角色的策略基于时间表的策略配置网络攻击防护配置二层防护,小结,问题,基于角色的策略中，unknow角色策略的作用？神州数码防火墙支持的ARP攻击防护的方法有哪些？神州数码防火墙支持抵御哪些Flood攻击？如何防止Syn-Flood攻击？解释Secure Defender的作用。,谢谢,

展开阅读全文