hcie security內(nèi)容修訂安全策略技術

修訂記錄課程編碼適用產(chǎn)品產(chǎn)品版本課程版本ISSUEHC13031032通用技術通用技術V1.0開發(fā)/優(yōu)化者時間審核人開發(fā)類型（新開發(fā)/優(yōu)化）王銳2014、7姚傳哲新開發(fā)本頁不打印講師授課建議：1、xxxHC13031032

安全策略技術原理

前言安全策略是控制設備對流量轉(zhuǎn)發(fā)以及對流量進行內(nèi)容安全一體化檢測的策略，同時也是防火墻實現(xiàn)流量管理和過濾的基本功能。本課程介紹防火墻中安全策略的基本原理，防火墻狀態(tài)檢測機制和會話機制，以及如何在眾多繁復的安全策略中實現(xiàn)策略調(diào)優(yōu)。目標學完本課程后，您將能夠:描述防火墻的安全策略原理及功能描述防火墻的智能安全策略工作原理描述防火墻的狀態(tài)檢測機制描述防火墻會話表技術掌握防火墻的安全策略配置及策略調(diào)優(yōu)目錄防火墻安全策略原理及配置防火墻狀態(tài)檢測與會話表技術防火墻智能策略原理及配置防火墻安全策略應用場景防火墻安全策略故障處理包過濾技術對需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，先獲取包頭信息，然后和設定的規(guī)則進行比較，根據(jù)比較的結(jié)果對數(shù)據(jù)包進行轉(zhuǎn)發(fā)或者丟棄。Internet公司總部內(nèi)部網(wǎng)絡未授權用戶辦事處包過濾技術的進階五元組安全訪問列表（ACL）包過濾安全策略五元組源/目的安全區(qū)域時間段用戶應用安全配置文件（AV等）安全策略與包過濾安全策略與包過濾的區(qū)別安全策略包過濾匹配條件五元組、用戶組、時間段、UTM策略等五元組應用場景域間、域內(nèi)、外部與設備本身外部與設備本身（接口）公共對象可引用不可引用安全策略原理防火墻的基本作用是保護特定網(wǎng)絡免受“不信任”的網(wǎng)絡的攻擊，但是同時還必須允許兩個網(wǎng)絡之間可以進行合法的通信。安全策略是控制設備對流量轉(zhuǎn)發(fā)以及對流量進行內(nèi)容安全一體化檢測的策略。安全策略的作用就是對通過防火墻的數(shù)據(jù)流進行檢驗，符合安全策略的合法數(shù)據(jù)流才能通過防火墻。安全策略內(nèi)容安全策略主要包含下列配置內(nèi)容：策略匹配條件：源安全域，目的安全域，源地址，目的地址，用戶，服務，應用，時間段策略動作：允許，禁止內(nèi)容安全profile：（可選，策略動作為允許的時候執(zhí)行）反病毒，入侵防御，URL過濾，文件過濾，內(nèi)容過濾，應用行為控制，郵件過濾NGFW安全策略工作流程安全策略的配置流程安全策略配置（CLI）執(zhí)行security-policy命令進入安全策略視圖；執(zhí)行rulename

rule-name命令創(chuàng)建一個安全策略并進入該策略視圖；action{permit|deny}配置安全策略執(zhí)行動作source-zone{zone-name&<1-6>|any}指定源安全區(qū)域source-address{ipv4-address

ipv4-mask-length}指定源地址destination-zone{zone-name&<1-6>|any}指定目的安全區(qū)域destination-address{ipv4-address

ipv4-mask-length}指定目的地址service{service-name&<1-6>|any}指定服務類似application{any|app

app-name&<1-6>|app-group

app-group-name&<1-6>|category

category-name[sub-category

sub-category-name]&<1-6}配置安全策略規(guī)則的應用安全策略配置（CLI）執(zhí)行security-policy命令進入安全策略視圖；執(zhí)行rulename

rule-name命令創(chuàng)建一個安全策略并進入該策略視圖；action{permit|deny}配置安全策略執(zhí)行動作source-zone{zone-name&<1-6>|any}指定源安全區(qū)域source-address{ipv4-address

ipv4-mask-length}指定源地址destination-zone{zone-name&<1-6>|any}指定目的安全區(qū)域destination-address{ipv4-address

ipv4-mask-length}指定目的地址service{service-name&<1-6>|any}指定服務類似application{any|app

app-name&<1-6>|app-group

app-group-name&<1-6>|category

category-name[sub-category

sub-category-name]&<1-6}配置安全策略規(guī)則的應用安全策略配置（CLI）續(xù)user{user-name&<1-6>|any}配置用戶信息profile{app-control|av|data-filter|file-block|ips|mail-filter|url-filter}name配置安全策略規(guī)則引用安全配置文件安全策略配置舉例：[sysname]security-policy

[sysname-policy-security]rulenamepolicy_sec

[sysname-policy-security-rule-policy_sec]source-address24

[sysname-policy-security-rule-policy_sec]source-zoneuntrust[sysname-policy-security-rule-policy_sec]destination-addressgeo-locationBeiJing[sysname-policy-security-rule-policy_sec]serviceh323[sysname-policy-security-rule-policy_sec]actionpermit[sysname-policy-security-rule-policy_sec]profileavprofile_av安全策略配置（CLI）續(xù)在安全視圖下可對已配置的規(guī)則進行調(diào)整：rulecopy

rule-name

new-rule-name復制安全策略規(guī)則rulemove

rule-name1{after|before}rule-name2移動安全策略規(guī)則，從而改變安全策略規(guī)則的優(yōu)先級rulerename

old-name

new-name重新命名安全策略規(guī)則例：<sysname>system-view

[sysname]security-policy

[sysname-policy-security]rulemovetest1beforetest2安全策略配置（sWeb）Page17配置和顯示安全區(qū)域頁面說明：用于策略的源／目的域約束條件安全策略配置相關頁面Page18配置和顯示用戶組織結(jié)構頁面說明：策略的用戶(組)約束條件3.2

安全策略配置相關頁面新建地址(組)頁面說明：用于策略的源／目的地址(組)約束條件3.2

安全策略配置相關頁面Page20配置和顯示地區(qū)(組)列表頁面說明：用于策略的源／目的地區(qū)(組)約束條件3.2

安全策略配置相關頁面Page21配置和顯示服務(組)列表頁面說明：用于策略的服務集約束條件3.2

安全策略配置相關頁面Page22配置和顯示應用頁面說明：策略的SA應用約束條件3.2

安全策略配置相關頁面Page23配置和顯示應用組頁面說明：策略的SA應用約束條件3.2

安全策略配置相關頁面新建時間段頁面說明：用于策略的時間段約束條件3.2

安全策略配置相關頁面目錄防火墻安全策略原理及配置防火墻狀態(tài)檢測與會話表技術防火墻智能策略原理及配置防火墻安全策略應用場景防火墻安全策略故障處理防火墻域間轉(zhuǎn)發(fā)防火墻Trust區(qū)域Untrust區(qū)域客戶端服務器查路由表,基于接口所屬域間及方向,查域間包過濾規(guī)則Policy0：permit源為Policy1：deny源為……缺省域間包過濾規(guī)則為禁止未命中會話表執(zhí)行首包流程非首包，查找會話表命中會話表執(zhí)行后續(xù)包流程查詢和創(chuàng)建會話查詢會話表匹配會話表安全性檢查刷新會話表檢查是否可以創(chuàng)建會話查看ServerMap表查找路由表包過濾規(guī)則NAT創(chuàng)建會話表轉(zhuǎn)發(fā)報文是否狀態(tài)檢測機制狀態(tài)檢測機制開啟狀態(tài)下，只有首包通過設備才能建立會話表項，后續(xù)包直接匹配會話表項進行轉(zhuǎn)發(fā)。狀態(tài)檢測機制關閉狀態(tài)下，即使首包沒有經(jīng)過設備，后續(xù)包只要通過設備也可以生成會話表項。HostServerTCPSYNTCPACK’會話表項源IP地址源端口目的IP地址目的端口協(xié)議2000023TCP源IP地址源端口目的IP地址目的端口協(xié)議2320000TCPServerClientServer:23Host:20000創(chuàng)建會話表命中會話表該報文通過Session:TCP:20000

:23ClientServer<USG>displayfirewallsessiontableverboseCurrenttotalsessions:1icmpVPN:public-->publicZone:trust-->untrustSlot:8CPU:0TTL:00:00:20Left:00:00:19Interface:GigabitEthernet6/0/0Nexthop:0<--packets:134bytes:8040-->packets:134bytes:804000:1280-->00:2048查看會話表信息會話表與狀態(tài)檢測狀態(tài)檢測防火墻使用基于連接狀態(tài)的檢測機制，將通信雙方之間交互的屬于同一連接的所有報文都作為整體的數(shù)據(jù)流來對待。當防火墻安全策略允許報文通過時，將會建立如下的會話表：[USG]displayfirewallsessiontableverbose

Currenttotalsessions:1httpVPN:public-->publicZone:local-->trustRemoteTTL:00:00:20Left:00:00:08Output-interface:GigabitEthernet0/0/2Nexthop:MAC:00-e0-4c-88-3a-32

<--packets:6bytes:390-->packets:8bytes:340:43981-->0:43981會話表與狀態(tài)檢測（續(xù)）如右圖所示，當遇到來回路徑不一致的組網(wǎng)時，由于首包沒有經(jīng)過防火墻因而沒有創(chuàng)建會話表，則后續(xù)通過的報文經(jīng)過防火墻時又找不到首包信息，防火墻將丟棄后續(xù)報文導致通信中斷。在這種情況下，我們嘗試關閉防火墻狀態(tài)檢測功能，將會看到如下的會話表信息：[USG]displayfirewallsessiontableverbose

Currenttotalsessions:1httpVPN:public-->publicZone:local-->trustRemoteTTL:00:00:20Left:00:00:08Output-interface:GigabitEthernet0/0/2Nexthop:MAC:00-e0-4c-88-3a-32

<--packets:0bytes:0-->packets:8bytes:340:43981-->0:43981會話表與狀態(tài)檢測（續(xù)）協(xié)議開啟狀態(tài)檢測功能關閉狀態(tài)檢測功能TCPSYN報文創(chuàng)建會話，轉(zhuǎn)發(fā)報文創(chuàng)建會話，轉(zhuǎn)發(fā)報文SYN+ACK、ACK報文不創(chuàng)建會話，丟棄報文創(chuàng)建會話，轉(zhuǎn)發(fā)報文UDP創(chuàng)建會話，轉(zhuǎn)發(fā)報文創(chuàng)建會話，轉(zhuǎn)發(fā)報文ICMPPing回顯請求報文創(chuàng)建會話，轉(zhuǎn)發(fā)報文創(chuàng)建會話，轉(zhuǎn)發(fā)報文Ping回顯應答報文不創(chuàng)建會話，丟棄報文創(chuàng)建會話，轉(zhuǎn)發(fā)報文其他ICMP報文不創(chuàng)建會話，轉(zhuǎn)發(fā)報文不創(chuàng)建會話，轉(zhuǎn)發(fā)報文在開啟/關閉狀態(tài)檢測的情況下，防火墻對各類報文的處理原則如下，但前提還是這些報文要通過防火墻上包括安全策略在內(nèi)的各項安全機制的檢查，然后才會創(chuàng)建會話。會話在轉(zhuǎn)發(fā)流程中的位置（1/3）會話在轉(zhuǎn)發(fā)流程中的位置（2/3）會話在轉(zhuǎn)發(fā)流程中的位置（3/3）狀態(tài)檢測機制配置舉例內(nèi)網(wǎng)中一臺PC希望訪問外網(wǎng)www服務器的http資源，但在路由器上將所有外部的流量都引導到防火墻上進行流量檢測。PC0/24WWW服務器/24FWRouterG0/0/0G0/0/1G0/0/0G0/0/1狀態(tài)檢測機制配置舉例（續(xù)）完成配置后，在PC上訪問www服務器，發(fā)現(xiàn)不成功，防火墻上也沒有會話信息。[USG6600]displayfirewallsessiontableCurrentTotalSessions:0此時在防火墻上使用displayfirewallstatisticsystemdiscard命令查看丟包的情況，發(fā)現(xiàn)存在Sessionmiss丟包：[USG6600]displayfirewallstatisticsystemdiscardPacketsdiscardedstatistic

Sessionmisspacketsdiscarded:28狀態(tài)檢測機制配置舉例（續(xù)）關閉狀態(tài)檢測機制[USG]undofirewallsessionlink-statecheck再一次在PC上訪問www服務器，訪問成功。查看防火墻會話表：[USG6600]displayfirewallsessiontableverboseCurrentTotalSessions:1icmpVPN:public-->publicID:a68f47b742138303e8d541c6d9eZone:trust-->trustTTL:00:00:20Left:00:00:20Output-interface:GigabitEthernet1/0/6NextHop:MAC:00-25-9e-82-47-85<--packets:0bytes:0-->packets:16bytes:1344:2048-->:43998PolicyName:p1目錄防火墻安全策略原理及配置防火墻狀態(tài)檢測與會話表技術防火墻智能策略原理及配置防火墻安全策略應用場景防火墻安全策略故障處理安全策略配置存在的問題多維度條件：應用、用戶、時間、地區(qū)、域、五元組。特別是應用，目前達6000+。多防護手段：av、ips、url、DLP、文件過濾、郵件過濾、應用行為管控。配置邏輯復雜管理精細化必然導致策略數(shù)量增加，數(shù)量增加進而加大了維護的難度。長期的策略增刪改維護必然導致冗余策略產(chǎn)生。冗余策略難于識別。易冗余易產(chǎn)生安全風險未配置合理安全profile，引起安全問題。濫配安全profile導致的防火墻性能下降。智能策略針對安全策略存在的上述問題，智能策略提供了冗余分析和策略調(diào)優(yōu)功能，可以很好地解決前述安全策略配置存在的問題。

策略冗余分析策略命中分析應用風險調(diào)優(yōu)智能策略冗余策略的概念定義：優(yōu)先級高的策略的所有匹配條件均為優(yōu)先級低的策略的超集時，則稱兩條策略間存在冗余關系。如下圖，P2策略是冗余的策略，流量只可能命中P1，而不會命中策略P2。危害：占用了有限的防火墻策略資源，消耗了寶貴的防火墻性能。優(yōu)先級：高優(yōu)先級：低p1p2冗余分析原理原理：兩兩比較策略的匹配條件，包括：應用、服務、用戶、時間段、源目IP、源目安全域。識別出冗余策略并提示用戶刪除。按優(yōu)先級從高到低遍歷比較內(nèi)容與優(yōu)先級高的策略比較未命中策略的概念定義：指定時間段內(nèi)未被任何流量所命中的安全策略。危害：加重管理的維護負擔，白白占用有限的策略資源，消耗寶貴的防火墻性能。澄清：注意和命中計數(shù)為0的安全策略相區(qū)別，命中計數(shù)為0是指設備本次啟動后被流量命中的次數(shù)。命中分析原理原理：根據(jù)策略命中日志，識別出指定時間段內(nèi)從未被命中的安全策略，并提示用戶是否刪除。有風險策略的概念定義：策略存在被流量命中的各種應用安全風險，而且未引用對應的安全profile的策略稱為有風險策略。MKT_allow_VIP策略多達12種應用命中該策略無任何防護動作！風險調(diào)優(yōu)定義：為存在風險的安全策略應用上合理的內(nèi)容安全防護手段。澄清：只有動作為permit的安全策略才有風險，動作為deny的策略無風險可言。風險分析舉例=-整體評分問題策略策略風險命中流量的風險策略已配置的有效防護靜態(tài)冗余分析配置啟動冗余策略分析中斷正在進行的冗余分析刪除冗余策略冗余策略分析界面命中分析配置啟動命中分析分析周期內(nèi)從未被命中策略分析周期風險分析配置啟動風險分析啟動批量調(diào)優(yōu)策略風險分析結(jié)果單條策略按鈕單條策略調(diào)優(yōu)（調(diào)優(yōu)前）應用匹配條件太寬泛防護動作不到位單條策略調(diào)優(yōu)（調(diào)優(yōu)后）應用匹配條件有針對性調(diào)優(yōu)模式：【新增】或【修改】使用限制及注意事項智能策略功能不支持雙機熱備。虛擬系統(tǒng)下不支持智能策略功能。設備型號不同，對智能策略的支持也不同：USG6320/6510-SJJ：無硬盤插槽，不支持智能策略。USG6370/6380/6390/6550/6570：提供硬盤插槽，但只有硬盤在位時，智能策略功能可用。USG6650/6660/6670/6680：提供硬盤插槽，且無論硬盤是否在位，均支持智能策略。目錄防火墻安全策略原理及配置防火墻狀態(tài)檢測與會話表技術防火墻智能策略原理及配置防火墻安全策略應用場景防火墻安全策略故障處理安全策略的典型配置舉例如圖，某企業(yè)在網(wǎng)絡邊界處部署了NGFW