防火墙安全策略的作用
通过防火墙安全策略可以控制内网访问外网的权限、控制内网不同安全级别的子网间的访问权限等。同时也能够对设备本身的访问进行控制,例如限制哪些IP地址可以通过Telnet和Web等方式登录设备,控制网管服务器、NTP服务器等与设备的互访等。这些就是防火墙安全策略的作用。防火墙安全策略之包过滤
我们前文说到防火墙安全策略的一定规则,而这个规则的本质其实就是包过滤。包过滤能够通过报文的源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号、目的端口号、上层协议等信息组合定义网络中的数据流,其中源IP地址、目的IP地址、源端口号、目的端口号、上层协议就是在状态检测防火墙中经常所提到的五无组,统防火墙根据五元组的包过滤规则来控制流量在安全区域间的转发。不过下一代防火墙的安全策略不一定要依赖包过滤来进行,而且它不仅可以完全替代包过滤的功能,还进一步实现了基于用户和应用的流量转发控制,而且还可以对流量的内容进行安全检测和处理,在源/目的安全区域、时间段、用户、应用等多个维度对流量进行了更细粒度的控制。
防火墙安全策略是如何工作的
首先 NGFW也就是下一代防火墙会对收到的流量进行检测,检测出流量的属性,包括:源安全区域、目的安全区域、源地址/地区、目的地址/地区、用户、服务(源端口、目的端口、协议类型)、应用和时间段等等。如果所有条件都匹配,则此流量成功匹配安全策略。如果其中有一个条件不匹配,则继续匹配下一条安全策略。以此类推,如果所有安全策略都不匹配,则NGFW会执行缺省安全策略的动作。
如果流量成功匹配一条安全策略,NGFW将会执行此安全策略的动作。如果动作为禁止,则NGFW会阻断此流量。如果动作为允许,则NGFW会判断安全策略是否引用了安全配置文件。
如果安全策略的动作为“允许”且引用了安全配置文件,则NGFW会对流量进行内容安全的一体化检测;如果没有引用安全配置文件,则允许此流量通过。