注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

A small step

Judgement Must

 
 
 

日志

 
 
关于我

不要因为急着赶路,让自己的步伐杂乱。远方是既定的目标,但路上才是最重要的经历!

网易考拉推荐

interzone 域间安全策略   

2015-04-05 23:02:46|  分类: Equipment |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
1、域基本分为:local、trust、dmz、untrust这四个是系统自带不能删除,除了这四个域之外,还可以自定义域。
2、域等级local>trust>dmz>untrust,自定义的域的优先级是可以自己调节的。
3、域与域之间如果不做策略默认是deny的,即任何数据如果不做策略是通不过的,如果是在同一区域的就相当于二层交换机一样直接转发。
4、当域与域之间有inbound和outbound区分,那怎么样方向的算是inbound,什么方向算是outbound呢?华为定义了优先级地的域向优先级高的域方向就是inbound,反之就是outbound,举个例子:
 
假如我要在untrust和trust这两个域之间做inbound和outbound策略:
 
policy interzone trust untrust inbound //untrust是源,trust是目标(低优先级向高优先级)
 policy 1
  action permit
  policy service service-set permitport
 policy 2
  action permit
  policy service service-set ping
 policy 3
  action deny
#
policy interzone trust untrust outbound//trust是源,untrust是目标(高优先级向低优先级)
 policy 1
  action permit
  policy service service-set permitport
 policy 2
  action permit                           
  policy service service-set ping
 
为什么要定义inbound和outbound呢?因为有时候你想单向限制某些行为!这是防火墙比路由器能做到更细化的策略。


本地策略是指与Local安全区域有关的域间安全策略,用于控制外界与设备本身的互访。

间安全策略就是指不的区域之间的安全策略。

域内安全策略就是指同一个安全区域之间的策略,缺省情况下,同一安全区域内的数据流都允许通过,域内安全策略没有InboundOutbound方向的区分。

策略内按照policy的顺序进行匹配,如果policy 0匹配了,就不会检测policy 1,policyID大小没有关系,谁在前就先匹配谁。

缺省情况下开放local域到其他任意安全区域缺省包过滤,方便设备自身的对外访问。其他接口都没有加安全区域,并且其他域的缺省包过滤关闭。要想设备转发流量必须将接口加入安全区域,并配置域间安全策略或开放缺省包过滤。

安全策略的匹配顺序

interzone   域间安全策略 - 不死的蜗牛 - TOMORROW

每条安全策略中包括匹配条件、控制动作和UTM等高级安全策略。

匹配条件

安全策略可以指定多种匹配条件,报文必须同时满足所有条件才会匹配上策略。

比如如下策略

policy 1

  policy service service-set dns

policy destination 221.2.219.123 0

policy source 192.168.10.1

在这里policy service的端口53就是指的是221.2.219.12353端口,可以说是目的地址的53端口

域间可以应用多条安全策略,按照策略列表的顺序从上到下匹配。只要匹配到一条策略就不再继续匹配剩下的策略。如果安全策略不是以自动排序方式配置的,策略的优先级按照配置顺序进行排列,越先配置的策略,优先级越高,越先匹配报文。但是也可以手工调整策略之间的优先级。缺省情况下,安全策略就不是以自动排序方式如果安全策略是以自动排序方式配置的,策略的优先级按照策略ID的大小进行排列,策略ID越小,优先级越高,越先匹配报文。此时,策略之间的优先级关系不可调整。policy create-mode auto-sort enable命令用来开启安全策略自动排序功能,默认是关闭的。

如果没有匹配到安全策略,将按缺省包过滤的动作进行处理,所以在配置具体安全策略时要注意与缺省包过滤的关系。例如安全策略中只允许某些报文通过但是没有关闭缺省包过滤,将造成那些没有匹配到安全策略的流量也会通过,就失去配置安全策略的意义了。

同样,如果安全策略中只配置了需要拒绝的流量,其他流量都是允许通过的,这时需要开放缺省包过滤才能实现需求,否则会造成所有流量都不能通过。

执行命令display this查看当前已有的安全策略,策略显示的顺序就是策略的匹配顺序,越前边的优先级越高

执行命令policy move policy-id1 { before | after } policy-id2,调整策略优先级。

UTM策略

安全策略中除了基本的包过滤功能,还可以引用IPSAV、应用控制等UTM策略进行进一步的应用层检测。但前提是匹配到控制动作为permit的流量才能进行UTM处理,如果匹配到deny直接丢弃报文。

安全策略的应用方向

域间的InboundOutbound方向上都可以应用安全策略,需要根据会话的方向合理应用。因为USG是基于会话的安全策略,只对同一会话的首包检测,后续包直接按照首包的动作进行处理。所以对同一条会话来说只需要在首包的发起方向上,也就是访问发起的方向上应用安全策略。

interzone   域间安全策略 - 不死的蜗牛 - TOMORROW

  

上图所示,Trust域的PC访问Untrust域的Server,只需要在TrustUntrustOutbound方向上应用安全策略允许PC访问Server即可,对于Server回应PC的应答报文会命中首包建立的会话而允许通过。




1.4.1 Trust和Untrust域间允许内网用户访问公网

策略一般都是优先级高的在前,优先级低的在后。

policy 1:允许源地址为10.10.10.0/24的网段的报文通过

配置TrustUntrust域间出方向的防火墙策略。  //如果不加policy source就是any,如果不加policy destination目的地址就是any

[USG5300] policy interzone trust untrust outbound

[USG5300-policy-interzone-trust-untrust-outbound] policy 1

[USG5300-policy-interzone-trust-untrust-outbound-1] policy source 10.10.10.0 0.0.0.255 

[USG5300-policy-interzone-trust-untrust-outbound-1] action permit

[USG5300-policy-interzone-trust-untrust-outbound-1] quit

如果是允许所有的内网地址上公网可以用以下命令:

[USG2100]firewall packet-filter default permit interzone trust untrust direction outbound  //必须添加这条命令,或者firewall packet-filter default permit all,但是这样不安全。否则内网不能访问公网。

注意:由优先级高访问优先级低的区域用outbound,比如policy interzone trust untrust outbound这时候policy source ip地址,就是指的优先级高的地址,即trust地址,destination地址就是指的untrust地址。只要是outbound,即使配置成policy interzone untrust trust outbound也会变成policy interzone trust untrust outbound

由优先级低的区域访问优先级高的区域用inbound,比如是policy interzone untrust trust inbound,为了保持优先级高的区域在前,优先级低的区域在后,命令会自动变成policy interzone trust untrust inbound这时候policy source ip地址,就是指的优先级低的地址,即untrust地址,destination地址就是指的优先级高的地址,即trust地址。

总结outbount时,source地址为优先级高的地址,destination地址为优先级低的地址。inbount时,source地址为优先级低的地址destination地址为优先级的地址

配置完成后可以使用display policy interzone trust untrust来查看策略。

1.4.2 DMZUntrust域间:从公网访问内部服务器

policy 2:允许目的地址为10.10.11.2,目的端口为21的报文通过

policy 3:允许目的地址为10.10.11.3,目的端口为8080的报文通过

配置UntrustDMZ域间入方向的防火墙策略,公网访问内网服务器

只需要允许访问内网ip地址即可,不需要配置访问公网的ip地址。

注意在域间策略里匹配的顺序和policy的数字没有关系,他是从前往后检查,如果前一个匹配就不检查下一条了,假如先写的policy 3后写的policy 2,那么就先执行policy 3里的语句,如果policy 3里和policy 2里有相同的地址,只要上一个匹配了就不执行下一个一样的地址了。

举例说明:policy 2里允许192.168.0.1通过,policy 3里拒绝192.168.0.1通过,哪个policy先写的就执行哪个。

[USG5300] policy interzone untrust dmz inbound

[USG5300-policy-interzone-dmz-untrust-inbound] policy 2

[USG5300-policy-interzone-dmz-untrust-inbound-2] policy destination 10.10.11.3 0

[USG5300-policy-interzone-dmz-untrust-inbound-2] policy service service-set ftp

[USG5300-policy-interzone-dmz-untrust-inbound-2] action permit

[USG5300-policy-interzone-dmz-untrust-inbound-2] quit

[USG5300-policy-interzone-dmz-untrust-inbound] policy 3

[USG5300-policy-interzone-dmz-untrust-inbound-3] policy destination 10.10.11.2 0

[USG5300-policy-interzone-dmz-untrust-inbound-3] policy service service-set http

[USG5300-policy-interzone-dmz-untrust-inbound-3] action permit

[USG5300-policy-interzone-dmz-untrust-inbound-3] quit

[USG5300-policy-interzone-dmz-untrust-inbound] quit

 

应用FTPNAT ALG功能。

[USG5300] firewall interzone dmz untrust   ###优先级高的区域在前
[USG5300-interzone-dmz-untrust] detect ftp
[USG5300-interzone-dmz-untrust] quit
USG5300支持FTPHTTPH.323HWCCICQMSNPPTPQQRTSPSIPMGCPSQL.NETNETBIOSMMS等协议的会话时,需要在域间启动ALG功能

配置NAT ALG功能与配置应用层包过滤(ASPF)功能使用的是同一条命令。所以如果已经在域间配置过ASPF功能的话,可以不需要再重复配置NAT ALG功能。

两者的区别在于:

ASPF功能的目的是识别多通道协议,并自动为其开放相应的包过滤策略。 

NAT ALG功能的目的是识别多通道协议,并自动转换报文载荷中的IP地址和端口信息。

在域间执行detect命令,将同时开启两个功能。

 

配置内部服务器:

<USG5300> system-view

[USG5300] nat server protocol tcp global 220.10.10.16 8080 inside 10.10.11.2 www

[USG5300] nat server protocol tcp global 220.10.10.17 ftp inside 10.10.11.3 ftp

1.4.3 NAT策略

TrustUntrust域间:  如果是同一个区域,比如trusttrust就是域内。

基于源IP地址转换方向

Outbound方向:数据包从高安全级别流向低安全级别

Inbound方向:数据包从低安全级别流向高安全级别

高优先级与低优先级是相对的

根据基于源IP地址端口是否转换分为no-pat方式和napt方式

No-PAT方式:用于一对一IP地址转换,不涉及端口转换

NAPT方式:用于多对一或多对多IP地址转换,涉及端口转换

1通过地址池的方式

policy 1:允许网段为10.10.10.0/24的内网用户访问Internet时进行源地址转换,采用公网地址池的形式。

配置地址池

[USG5300]nat address-group 1 220.10.10.16 220.10.10.20

配置TrustUntrust域间出方向的策略

[USG5300] nat-policy interzone trust untrust outbound

[USG5300--policy-interzone-trust-untrust-outbound] policy 1

[USG5300- nat-policy -interzone-trust-untrust-outbound-1] policy source 10.10.10.0 0.0.0.255

[USG5300- nat-policy -interzone-trust-untrust-outbound-1] action source-nat

[USG5300- nat -policy-interzone-trust-untrust-outbound-1] address-group 1 [no pat]

如果是基于外网接口的nat转换可以不用配置地址池,直接在nat-policy interzone trust untrust outbound里配置eary-ip 外网接口

这里的policy source指的是trust地址,nat转换成untrust地址,如果是nat-policy interzone trust untrust inbound,源地址就是指untrust地址,转换成trust地址。

2通过公网接口的方式

创建Trust区域和Untrust区域之间的NAT策略,确定进行NAT转换的源地址范围192.168.1.0/24网段,并且将其与外网接口GigabitEthernet 0/0/4进行绑定。

[USG] nat-policy interzone trust untrust outbound

[USG-nat-policy-interzone-trust-untrust-outbound] policy 0

[USG-nat-policy-interzone-trust-untrust-outbound-0] policy source 192.168.1.0 0.0.0.255

[USG-nat-policy-interzone-trust-untrust-outbound-0] action source-nat

[USG-nat-policy-interzone-trust-untrust-outbound-0] easy-ip GigabitEthernet 0/0/4 

[USG-nat-policy-interzone-trust-untrust-outbound-0] quit

3直接在接口启用nat

如果是针对内网用户上公网做nat,需要在内网接口使用

[USG-GigabitEthernet0/0/0]nat enable

  评论这张
 
阅读(8)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018