防火墙安全策略(基本配置)

原创 于 2025-01-06 22:06:21 发布 · 1.3k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #服务器 #apache

  1. 防火墙基本概念
    1. 安全区域(Security Zone),简称为区域(Zone),是防火墙的重要概念。防火墙大部分的安全策略都基于安全区域实施。
    2. 一个安全区域是防火墙若干接口所连网络的集合,一个区域内的用户具有相同的安全属性。
  2. 默认安全区域

华为防火墙确认已创建四个区域,untrust、dmz、trust和local区域。安全区域有以下特性:

    1. 默认的安全区域不能删除,也不允许修改安全优先级。

    2. 每个Zone都必须设置一个安全优先级(Priority),值越大,则Zone的安全优先级越高。

    3. 用户可根据自己的需求创建自定义的Zone。

    4. 防火墙默认安全区域均为小写字母,且大小写敏感,包括:

      1. 非受信区域(untrust):通常用于定义Internet等不安全的网络。
      2. 非军事化区域(dmz):通常用于定义内网服务器所在区域。因为这种设备虽然部署在内网,但是经常需要被外网访问,存在较大安全隐患,同时一般又不允许其主动访问外网,所以将其部署一个优先级比trust低,但是比untrust高的安全区域中。
      3. DMZ(Demilitarized Zone)起源于军方,是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。防火墙设备引用了这一术语,指代一个逻辑上和物理上都与内部网络和外部网络分离的安全区域。
        1. DMZ安全区域很好地解决了服务器的放置问题。该安全区域可以放置需要对外提供网络服务的设备,如WWW服务器、FTP服务器等。上述服务器如果放置于内部网络,外部恶意用户则有可能利用某些服务的安全漏洞攻击内部网络;如果放置于外部网络,则无法保障它们的安全。

    5. 受信区域(trust):通常用于定义内网终端用户所在区域。

    6. 本地区域(local):local区域定义的是设备本身,包括设备的各接口本身。凡是由设备构造并主动发出的报文均可认为是从Local区域中发出,凡是需要设备响应并处理(而不仅是检测或直接转发)的报文均可认为是由local区域接收。用户不能改变local区域本身的任何配置,包括向其中添加接口。

        1. 由于local区域的特殊性,在很多需要设备本身进行报文收发的应用中,需要开放对端所在安全区域与local区域之间的安全策略。

  2. 区域间(Interzone)示例

    1. 流量的源、目的地址决定了互访的区域。本例1中PC访问防火墙的接口的流量实际上是从trust zone到达local zone;本例2中PC访问Internet的流量实际上是从trust zone到达untrust zone。

  3. 防火墙基本概念:安全策略

    1. 安全策略是控制防火墙对流量转发以及对流量进行内容安全一体化检测的策略。
    2. 当防火墙收到流量后,对流量的属性(五元组、用户、时间段等)进行识别,然后与安全策略的条件进行匹配。如果条件匹配,则此流量被执行对应的动作。

  4. 安全策略组成

    1. 安全策略的组成有匹配条件、动作和安全配置文件(可选)。安全配置文件实现内容安全。

    2. 安全策略动作如果为“允许”则可配置安全配置文件,如果为“禁止”则可配置反馈报文。

    3. 动作说明:

      1. 允许:如果动作为“允许”,则对流量进行如下处理:
      2. 如果没有配置内容安全检测,则允许流量通过。
      3. 如果配置内容安全检测,最终根据内容安全检测的结论来判断是否对流量进行放行。内容安全检测包括反病毒、入侵防御等,它是通过在安全策略中引用安全配置文件实现的。如果其中一个安全配置文件阻断该流量,则防火墙阻断该流量。如果所有的安全配置文件都允许该流量转发,则防火墙允许该流量转发。

    4. 禁止:表示拒绝符合条件的流量通过。

      1. 如果动作为“禁止”,防火墙不仅可以将报文丢弃,还可以针对不同的报文类型选择发送对应的反馈报文。发起连接请求的客户端/服务器收到防火墙发送的阻断报文后,可以快速结束会话并让用户感知到请求被阻断。
      2. Reset客户端:防火墙向TCP客户端发送TCP reset报文。
      3. Reset服务器:防火墙向TCP服务器发送TCP reset报文。
      4. ICMP不可达:FW向报文客户端发送ICMP不可达报文。

    5. 更多详细信息,可以参考文档,“安全策略”章节,https://support.huawei.com/hedex/hdx.dodocid=EDOC1100084128&lang=zh&idPath=24030814%7C9856724%7C21430823%7C22984765%7C23176238。

  5. 安全策略的匹配过程

    1. 当配置多条安全策略规则时,安全策略的匹配按照策略列表的

最低0.47元/天 解锁文章

200万优质内容无限畅学
防火墙安全策略配置
qq_44197252的博客
07-02 9159
建立网络拓扑图,防火墙的接口0/0/0用于连接PC,PC的网段192.168.5.0,PC访问服务器需要经过防火墙的筛选;防火墙的接口0/0/1 用于连接网段192.168.1.0中的服务器,当网段192.168.5.0中的PC访问服务器时,只有符合要求的IP才能访问。网络拓扑图如下图所示: 对防火墙的接口进行配置,分别让接口0/0/0连接PC,接口0/0/1连接服务器,并且规定PC端的网段为192.168.5.0,服务器端的网段为192.168.1.0,如下图所示: 在防火墙中加入信任区域,..
常见防火墙安全策略配置及精准排障指导,从零基础到精通,收藏这篇就够了!
最新发布
Libra1313的博客
04-07 2016
配置得好,那是固若金汤,配置不好,那就是筛子。总而言之,防火墙配置和排障,既要严谨,又要灵活。企业要建立策略基线库,定期进行策略审计和攻防演练,同时拥抱自动化工具,提高运维效率。防火墙这玩意儿,最基本的就是划分安全区域,就像给流量分个“三六九等”。Trust(内网)、Untrust(外网)、DMZ(对外服务区),每个区域的安全级别都不一样,进出都要经过严格审查。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。
防火墙安全配置
Ideone的博客
03-18 3107
此时用PC1 ping PC 2,即使两台PC是同一网段,依旧是无法ping通,原因也是在防火墙上存在一条安全策略默认拒绝所有,所以我们需要编写一条安全策略来实现trust区域与untrust区域的通信,由于此时我们使用的是二层协议,所以我们需要添加VLAN ID。路由器ping防火墙,即使路由器与防火墙为直连,但是依旧是无法ping通的,原因是在配置防火墙时,没有启用访问管理,设置启动访问管理,并选择放通ping流量即可ping通。NGFW能对七层检测,可以清楚地呈现网络中的具体业务,并实行管控。
华三防火墙安全策略配置
weixin_46322576的博客
02-07 1万+
1.组网需求 ⑴ leadership和staff之间通过FW1实现互连,该公司的工作时间为每周工作日的8点到18点。 ⑵ 通过配置安全策略规则,允许leadership在任意时间、staff在工作时间访问外网。 2. 组网图 3. 配置步骤 (1) 配置接口IP地址、路由保证网络可达。 [FW1]int g1/0/2 [FW1-GigabitEthernet1/0/2]nat outbound [FW1-GigabitEthernet1/0/2]ip addre...
防火墙安全策略
weixin_49283635的博客
01-14 2307
Interface: GigabitEthernet1/0/2 NextHop: 10.1.3.2 MAC: 00e0-fcb0-3b49 // 流量的出接口,下一跳的IP地址、下一跳的mac地址。Zone: trust --> internet TTL: 00:00:20 Left: 00:00:13 //区域 TTL指的是该会话表的存活时间 ,left指的是存活的剩余时间。对于防火墙始发的或者抵达防火墙自身的OSPF/BGP/DHCP/IP-Link等流量,不受安全策略的限制。
防火墙---策略配置
angelliusa的博客
01-28 627
防火墙基本配置
m0_50627257的博客
09-07 6595
防火墙 种类 1.包过滤技术 「 静态防火墙 动态防火墙 」 netfilter 真正的配置 位于linux内核的包过滤功能体系 称为linux防火墙的“内核态” iptables 防火墙配置 工具 主要针对 网络层 针对IP数据包 「体现在对包的IP地址、端口等信息处理」 链表结构 链 ---- 容纳 规则 表 ---- 容纳 规则链 规则链 规则的作用:对数据包进行过滤或处理 链的作用:容纳各种防火墙规则 链的分类依据:处理数据包的不同时机 默认规则链 INPUT: 处理入站
防火墙基本配置
hhhhhhhzp的博客
04-08 4627
第一步:创建拓扑图 第一次做多多关照 如图创建好拓扑图 如图创建好拓扑图,并配置好相应的ip地址及默认路由,其中防火墙的G1/0/1接口IP地址为10.0.0.254 24 防火墙G1/0/2接口IP地址为20.0.0.254 24,防火墙G1/0/3ip地址为30.0.0.254 24,将R1、R2、R3分别划分到VLAN10、VLAN20、VLAN30,交换机出口11、 12、 13分别划分到VLAN10、VLAN20、VLAN30 第二步:划分防火墙区域 在防火墙中输入: [FW]firewal
防火墙基础配置
weixin_62870380的博客
03-12 2459
防火墙的基础配置
网络防火墙配置与管理
weixin_33908217的博客
09-13 1290
防火墙是目前最为流行也是使用最为广泛的一种网络安全技术。防火墙(Firewall),是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗***能力。它是提供信息安全服务,实现网络和信息安全的基础设施。 一、网...
防火墙详解(三)华为防火墙基础安全策略配置命令配置
热门推荐
Richardlygo的博客
09-23 1万+
原文链接:https://blog.csdn.net/qq_46254436/article/details/105397534。注意防火墙默认不允许所有流量通过所以未配置安全策略时都不能通信。Trust区域可以主动访问Untrust区域,但是反之不行。PC2 与 服务器 查看是否能通,发现可以,证明配置成功。untrust区域和trust区域都可以访问DMZ区域。内网用户可以访问外网用户,但是外网用户不能访问内网用户。外网用户和内网用户都可以访问公司服务器配置完成之后可以通过。查看接口IP等信息。
防火墙策略配置教程/Windows服务器安全策略配置win系统主动安全策略配置计算机服务器防火墙安全策略配置_小白白帽子入门教程
程序员三九的博客
08-07 1746
Windows服务器安全策略配置——简单实用!Windows服务器安全策略怎么做?不要觉得这是一个非常深奥遥不可及的问题,其实也是从各个方面去加固系统的安全性而已
防火墙配置和策略
qq_64441401的博客
11-06 1289
对进出网络或者主机的数据包基于一定规则的检查,而且在匹配到某规则时,规则的定义做出相应的处理动作。只有运行策略的数据包,才能够通过。filter表:是iptables的默认表,用于过滤数据包,可以控制数据包的进出,以及任何时候接受或者拒绝数据包。自上向下,按顺序依次进行检查,找到匹配的规则立刻停止,如果在链中找不到规则,则会按照该链的默认策略处理。1、如果策略已保存过,写在配置文件中的,保存,导入到iptables,重启服务器即可。防水墙:ensp,不透明的工作方式,你干什么都有记录,但是你自己不知道。
【Linux】防火墙配置
嚴 帅的博客
01-04 724
一、什么是防火墙 防火墙防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。 防火墙又可以分为硬件防火墙与软件防火墙。硬件防火墙是由厂商设计好的主机硬件,这台硬件防火墙的操作系统主要以提供数据包数据的过滤机制为主,并将其他不必要的功能拿掉。软件防火墙就是保护系统网络安全的一套软件(或称为机制),例如Netfilter与TCP Wrappers都可以称...
华三防火墙配置安全策略
11-21
华三防火墙配置安全策略的步骤如下: 1.登录华三防火墙的Web管理界面。 2.在左侧导航栏中选择“安全策略”选项。 3.点击“新建”按钮,开始创建新的安全策略。 4.在“基本信息”选项卡中,填写策略名称、描述等基本信息。 5.在“源地址”选项卡中,选择源地址对象或地址组。 6.在“目的地址”选项卡中,选择目的地址对象或地址组。 7.在“服务”选项卡中,选择服务对象或服务组。 8.在“动作”选项卡中,选择动作类型,如允许、拒绝等。 9.在“高级”选项卡中,可以设置更多高级选项,如时间计划、QoS等。 10.点击“确定”按钮,完成安全策略的创建。 根据提供的引用内容,可以看出该安全策略允许源地址为“staff”网络的流量通过,并将其发送到“internet”区域。具体配置方法可以参考上述步骤。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值