安全策略基础

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2012-11-5,#,安全策略基础,柳 鑫,DCN,客户服务中心,通过完成此章节课程，您将可以：,-,理解安全策略的用途,-,通过安全策略保护网络资源,章节目标,安全策略基础,配置安全策略,议程：安全策略基础,安全策略基础,策略是网络安全设备的基本功能。默认情况下，安全设备会拒绝设备上所有安全域之间的信息传输。而策略则通过策略规则（,Policy Rule,）决定从一个安全域到另一个安全域的哪些流量该被允许，哪些流量该被拒绝。,安全策略基础,安全策略基础,策略分为两种：,域间策略：域间策略对安全域间的流量进行控制可通过设置域间策略来拒绝、允许从一个安全域到另一个安全域的流量,域内策略：安全域内策略对绑定到同一个安全域的接口间流量进行控制。源地址和目的地址都在同一个安全域中，但是通过安全网关的不同接口到达。,策略规则的基本元素,策略规则允许或者拒绝从一个安全域到另一个安全域的流量。流量的类型、流量的源地址与目标地址以及行为构成策略规则的基本元素。,Direction -,两个安全域之间的流量的方向，指从源安全域到目标安全域。,Source Address -,流量的源地址。,Destination Address ,流量的目标地址。,Service ,流量的服务类型。,Action ,安全设备在遇到指定类型流量时所做的行为，包括允许（,Permit,）、拒绝（,Deny,）、隧道（,Tunnel,）、是否来自隧道（,Fromtunnel,）以及,Web,认证五个行为。,策略规则,策略规则分为两部分：过滤条件和行为。安全域间流量的源地址、目的地址、服务类型以及角色构成策略规则的过滤条件。 对于匹配过滤条件的流量可以制定处理行为，如,permit,或,deny,等。,策略匹配顺序：系统查找策略顺序为由上至下，对流量按照找到的第一条与过滤条件相匹配的策略规则进行处理。,系统缺省的策略是拒绝所有的流量,安全策略基础,配置安全策略,议程：安全策略基础,安全策略部署流量,指定安全策略,网络安全分析,安全效果检查,存在安全需求,部署安全策略,配置策略的步骤,安全策略的方向,从哪个安全域，到那个安全域 如,trust-untrust,网络层的信息,源自哪个,IP/,段，到哪个,IP/,段 如：从,192.168.1.0/24-any,服务信息,什么服务 如：,http,、,ftp,、,bt,等,采取的动作,允许通过，还是拒绝通过,通过采用面向对象方式来实现访问控制，可以合并类似的访问控制策略，减少访问规则数量。并且对象内容的修改，安全策略可自动更新，减少安全策略的维护量。,面向对象的策略实现方法：,第一步：定义对象,地址对象,服务对象,时间对象等,第二步：配置面向对象的安全策略,面向对象的策略管理,地址簿是,DCFOS,系统中用来存储,IP,地址范围与其名称的对应关系的数据库,地址簿中的,IP,地址与名称的对应关系条目被称作地址条目（,Addess Entry,）,地址条目的,IP,地址改变时，,DCFOS,会自动更新引用了改地址条目的模块。,地址（,Address,）,对象,地址簿,新建,配置地址簿（,WebUI,）,配置地址簿（,CLI,）,在全局配置模式下，使用以下命令定义修改地址簿：,address,address-entry,在地址配置模式下，使用以下命令来为地址簿添加删除条目：,ip,ip/mask ip,地址段,host,host-name,主机名,range,min-ip max-ip,地址范围,member,address-entry,地址簿成员嵌套,no ip,ip/mask,no host,host-name,no range,min-ip max-ip,no member,address-entry,查看地址簿信息,show address,address-entry,服务（,Service,）：具有协议标准的信息流。服务具有一定的特征，例如相应的协议、端口号等。,服务组：将一些服务组织到一起便组成了服务组。用户可以直接将服务组应用到安全网关策略中，这样便简化了管理。,服务（,Service,）,对象,服务簿,所有预定服务,用户可以查看或者修改系统预定义服务，预定义服务只提供对服务超时时间进行修改。,CLI,：,show service predefined,系统预定义服务,对象,服务簿,所有预定服务组,用户可以查看系统预定义服务组，预定义服务组不可修改,CLI,：,show predefine-servgroup,系统预定义服务组,除了使用,DCFOS,提供的预定义服务以外，用户还可以很容易地创建自己的自定义服务。用户自定义服务可包含最多,8,条服务条目。用户需指定的自定义服务条目的参数包括：,-,名称,-,传输协议,- TCP,或,UDP,类型服务的源和目标端口号或者,ICMP,类型服,务的,type,和,code,值,-,超时时间,-,应用类型,用户自义服务,对象,服务簿,所有自定义服务,CLI,：,service,service-name,配置自义服务组,防火墙,策略,配置策略,配置策略规则（,WebUI,）,创建策略,rule id,id, top | before,id,| after,id, from,src-addr,to,dst-addr,service,service-name,permit | deny | tunnel,tunnel-name,| fromtunnel,tunnel-name,| webauth,id,id,指定策略规则的,ID,。如果不指定，系统将会为策略规则自动分配一个,ID,。规则,ID,在整个系统中必须是唯一的。,top | before,id,| after,id,指定策略规则的位置，可以是所有规则的首位（,top,）、某个规则之前（,before,id,）或者某个,ID,（,after,id,）之后。默认情况下，系统会将新创建的策略规则放到所有规则的末尾。,from,src-addr,指定策略规则的源地址。,src-addr,为地址簿中定义的地址条目。,to,dst-addr,指定策略规则的目的地址。,dst-addr,为地址簿中定义的地址条目。,service,service-name,指定策略规则的服务名称。,service-name,为服务簿中定义的服务。,permit | deny | tunnel,tunnel-name,| fromtunnel,tunnel-name,指定策略规则的行为,show policy id,id, ,from,src-zone, ,to,dst-zone,id,id,显示指定,ID,规则的详细信息。,from,src-zone,显示源安全域为指定域的规则的详细信息。,to,dst-zone,显示目标安全域为指定域的规则的详细信息。,配置策略规则（,CLI,）,安全,策略,列出,移动策略规则位置,move,id,top,|,bottom,|,before,id,|,after,id,检查,/,移动策略规则,小结,在本章中讲述了以下内容：,安全策略的用途,配置安全策略使用的地址簿,配置服务簿和服务组,配置安全策略保护网络资源,1,、安全策略由哪几部分组成？,2,、安全策略规则的动作支持哪几种？,3,、安全策略执行的顺序？,4,、同一个安全域内的策略，安全网关缺省的动作是什么？,5,、状态检测与包过滤两种实现方式有何不同？,6,、系统自带的地址簿对象“,ipv4.ethernet0/0,”和,“,ipv4.ethernet0/0_subnet,”代表什么地址？,问题,THANKS!,