当前位置:网站首页>华为防火墙-4-安全策略
华为防火墙-4-安全策略
2022-08-11 05:33:00 【macob】
安全策略中的条件,可分为多个字段,如源地址、目的地址、源端口、目的端口等,这些字段之间是“与”的关系,也就是说,只有报文中的信息和所有字段都匹配上,才算是命中了这条策略。如果同一个字段中有多个匹配项,如同时有两个源地址或三个目的地址,那么这些匹配项之间是“或”的关系,只要报文匹配了其中的一项,就算匹配了该条件。
安全策略之间是存在顺序的,防火墙在两个安全区域之间转发报文时,会按照从上到下的顺序逐条查找域间存在的安全策略。如果报文命中了某一条安全策略,就会执行该安全策略中的动作,或允许通过或拒绝通过,不会再继续向下查找;如果报文没有命中某条安全策略,则会向下继续查找。
基于上述实现方式,我们在配置安全策略时要遵循“先精细,后粗犷”的原则。具体来说,就是先配置匹配范围小、条件精确的安全策略,然后再配置匹配范围大、条件宽泛的安全策略。相信大家都配置过 ACL规则,安全策略的配置和 ACL规则是一个道理。
时间段time-range
[USG6000V1]time-range worktime #默认存在
添加周期性时间段
[USG6000V1-time-range-worktime]period-range 08:00:00 to 18:00:00 working-day
[USG6000V1]time-range tr1
添加绝对时间段
[USG6000V1-time-range-tr1]absolute-range 00:00:00 2021/6/15 to 00:00:00 2021/6/16
<USG6000V1>display time-range all
一体化安全策略由条件、动作和配置文件组成,其中配置文件的作用是对报文进行内容安全检测,只有动作是允许通过时才能够引用配置文件。
一体化安全策略有以下区别,安全策略基于全局范围,不再基于安全域间,安全区域只作为可选的条件,可同时配置多个安全区域。这里有一点需要特别注意,在华为USG6000系列防火墙上,报文在安全区域之内流动时,默认情况下防火墙是不允许其通过的,如果想让报文在安全区域之内正常流动,必须配置域内安全策略允许报文通过
安全策略中的缺省动作代替了缺省包过滤,全局生效,不再区分域间。
调整安全策略中规则的顺序:rule move
[USG6000V1-policy-security]rule move oracle down
配置了多条一体化安全策略后,防火墙在转发报文时会按照从上到下的顺序逐条查找安全策略。
配置实例,需求是在Trust安全区域到Untrust安全区域的方向上,拒绝源地址是192.168.0.100的报文通过;允许源地址是192.168.0.0/24网段,目的地址是172.16.0.0/24网段的报文通过,配置如下。
[FW] security-policy
[FW-policy-security] rule name policy1
[FW-policy-security-rule-policy1] source-zone trust
[FW-policy-security-rule-policy1] destination-zone untrust
[FW-policy-security-rule-policy1] source-address 192.168.0.100 32
[FW-policy-security-rule-policy1] action deny
[FW-policy-security-rule-policy1] quit
[FW-policy-security] rule name policy2
[FW-policy-security-rule-policy2] source-zone trust
[FW-policy-security-rule-policy2] destination-zone untrust
[FW-policy-security-rule-policy2] source-address 192.168.0.0 24
[FW-policy-security-rule-policy2] destination-address 172.16.0.0 24
[FW-policy-security-rule-policy2] action permit
边栏推荐
- 无胁科技-TVD每日漏洞情报-2022-8-7
- 无胁科技-TVD每日漏洞情报-2022-7-28
- ansible批量安装zabbix-agent
- Record a Makefile just written
- 树莓派设置静态IP地址
- vi display line number in buildroot embedded file system
- SECURITY DAY04 (Prometheus server, Prometheus monitored terminal, Grafana, monitoring database)
- uboot code analysis 1: find the main line according to the purpose
- mysql数据库安装教程(超级超级详细)
- lvm multi-disk mount, combined use
猜你喜欢
AUTOMATION DAY07 (Ansible Vault, ordinary users use ansible)
MoreFileRename批量文件改名工具
Solve win10 installed portal v13 / v15 asked repeatedly to restart problem.
cloudreve使用体验
文本三剑客——sed 修改、替换
Local yum source build
ETCD集群故障应急恢复-从snapshot恢复
slurm cluster construction
Raspberry Pi set static IP address
解决8080端口被占用问题
随机推荐
CLUSTER DAY02( Keepalived热备 、 Keepalived+LVS 、 HAProxy服务器 )
TCP 三次握手、四次断开
无胁科技-TVD每日漏洞情报-2022-8-6
mysql数据库安装教程(超级超级详细)
无胁科技-TVD每日漏洞情报-2022-7-27
ETCD cluster fault emergency recovery - local data is available
SECURITY DAY01 (Monitoring Overview, Zabbix Basics, Zabbix Monitoring Services)
无胁科技-TVD每日漏洞情报-2022-7-20
AUTOMATION DAY07( Ansible Vault 、 普通用户使用ansible)
配置dns服务
查看可执行文件依赖的库ldd
What should I do if I forget the user password in MySQL?
Threatless Technology-TVD Daily Vulnerability Intelligence-2022-7-22
空间点模式方法_一阶效应和二阶效应
无胁科技-TVD每日漏洞情报-2022-8-1
从mask-rcnn到shp
无胁科技-TVD每日漏洞情报-2022-7-28
SECURITY DAY02( Zabbix报警机制 、 Zabbix进阶操作 、 监控案例)
项目笔记——随机2
uboot sets the default bootdelay