资源描述:
《防火墙安全策略》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、防火墙安全策略李明峻工程师·讲师策略元素元素:源地址----------数据包来源地址:192.168.0.1目的地址-------数据包目标地址:0.0.0.0服务应用-------数据包协议端口:any时间表----------数据包所处时间:always模式:允许------------如果无素全符合,则允许通过禁止------------如果元素全符合,则禁止通过加密------------如果元素全符合,则进行加密动作:NAT------------对数据包进行NAT转换带宽控制------对数据流进行带宽控制用户认证---
2、---认证通过后策略才生效内容过滤------对数据流进行内容过滤日志------------对数据流进行日志记录元素别名地址:Allnet------0.0.0.0/0.0.0.0Lan-1------192.168.1.0/255.255.255.0PC-25------192.168.1.25/255.255.255.0财务部------PC11,PC18,PC36,PC45服务:Http------Tcp-25Office------dns,http,pop3,smtp,ftpOA------tcp8081-tcp8090时间
3、:Always------anytime五一------5.1零时-5.8零时workam------周1-周5,8:30-12:00workpm------周1-周5,2:00-5:30防火墙策略实例一•由上至下:策略按由上开始往下执行•匹配优先:最先匹配的策略会立即执行•默认禁止:不可见的最后一条默认策略是禁止•实例:策略1:允许内部IP2访问外网任意端口策略2:禁止内部所有IP访问外网的Tcp-25端口策略3:允许内部所有IP访问外网任意端口不可见策略(默认):禁止所有防火墙策略实例二•由上至下:策略按由上开始往下执行•匹配优先
4、:最先匹配的策略会立即执行•默认禁止:不可见的最后一条默认策略是禁止•实例:策略1:禁止内部IP2访问外网任意端口策略2:允许内部所有IP访问外网的Tcp-80端口策略3:允许内部所有IP访问外网的Udp-53端口不可见策略(默认):禁止所有防火墙策略实例三ID源IP目的IP时间表服务模式动作1allallalways53允许NAT2组1allalways25,110允许NAT3组1W-1always80允许NAT4组2allwork80允许NAT,50KB中5VoIPallalwaysVoPort允许NAT,60KB,高6组3all
5、always1-500允许NAT,80KB,中7组3allalways501up允许NAT,50KB,低防火墙策略实例四ID源IP目的IP时间表服务模式动作1allallalwaysDePort禁止NAT2allallalways53,110允许NAT,50KB,高3组1allworkany禁止log4allallwork500low允许NAT,90KB,中5allallwork501up允许NAT,60KB,低6组2allalwaysany禁止log7allallalwaysany允许NAT防火墙策略实例五ID源IP目的IP时间表服
6、务模式动作1allallalwaysDePort禁止NAT2allallalways53允许NAT3allallalways80,25,110允许NAT,Virus4allallwork21允许NAT,Auth5allallalways21允许NAT6组1allalwaysany允许NAT注:Virus是指进行病毒检查,Auth是指进行用户认证十条守则1、尽量只开放真正必需的服务2、了解你的网络正在使用什么服务和应用3、您的服务器不一定需要访问外部4、尽量简化防火墙的策略,要清楚每条策略的作用5、为重要用户开放最大访问权限并非上策6、
7、对VPN远程访问内部的策略进行严格限制7、策略配置好后,进行有效的测试检验效果8、防火墙只会执行策略,效果没达到不要怪防火墙9、将策略进行备份,每次修改策略都要慎重10、防火墙策略只对经过防火墙的流量起作用检查与排错1、检查地址别名,不同产品的掩码设置方式有可能不同2、检查服务别名,相应的服务要开放相应的端口3、如果使用了周期表,要校正系统的时间4、排错前,可以尝试先关闭某些UTM功能5、要检查策略的顺序,要符合“由上至下,匹配优先”6、要注间AcceptAll或DenyAll这两类策略7、有时候可能不是策略的问题,想想别的方面8、策
8、略和其它方面都检查完了,重启一下或许……9、在排错过程,在适当时候将策略配置进行备份10、排错完成后,记得做一份最新的配置备份防火墙技术以外1、一个主机的多个系统实体2、企业小网吧或tcp-3389,或许是个不错的主意3