安全策略篇 安全策略发展历程详解
2014-11-20 16:06
330 查看
经过上期对安全策略的介绍,我想大家已经了解到安全策略是防火墙中必不可少的基本功能,本期强叔带大家详细了解安全策略的发展历程。 基于ACL的包过滤前期已经提到这种单纯的包过滤正在逐步退出历史舞台,这里只简单介绍一下。包过滤的处理过程是先获取需要转发数据包的报文头信息,然后和设定的ACL规则进行比较,根据比较的结果对数据包进行转发或者丢弃。实现包过滤的核心技术是访问控制列表ACL。因此包过滤只能基于IP地址、端口号等控制流量是否可以通过防火墙,无法准确识别应用。
![](http://support.huawei.com/ecommunity/showimage-10076557-10118533-215444d829f1bbd753c6a7c217045239.jpg)
基于ACL的包过滤的配置方式是先配置好包含多条数据流规则(rule)的ACL,其中每条rule包含数据流的匹配条件和permit/deny动作,然后ACL再被域间包过滤引用。一个域间只能引用一个ACL。
![](http://support.huawei.com/ecommunity/showimage-10076559-10118533-17eb6597437e1420e2bb068cb1fb6b11.jpg)
发展中期的UTM设备安全策略随着USG2000/5000系列UTM产品的推出,“安全策略”这个概念被提出。之所以不叫包过滤了,是因为策略中集成了UTM检测功能,配置方式也由ACL方式变为Policy方式。通过下边这个界面可以直观的看到安全策略的组成:包过滤+UTM。不启用UTM功能时就是原始的包过滤;动作为permit的安全策略可以引用IPS、AV等UTM策略,对流量进一步进行UTM检测,通过检测的流量才能真正通过防火墙。
![](http://support.huawei.com/ecommunity/showimage-10076561-10118533-484010ca31f9d68e932dea2b6c7a86eb.jpg)
注:华为UTM产品中已经增加“用户”这个匹配条件,后续在NGFW安全策略中再统一介绍。
另外配置方式上也变为Policy方式,即在配置安全策略时直接指定匹配数据流的多种条件以及动作,配置更简单。
![](http://support.huawei.com/ecommunity/showimage-10076563-10118533-50380c117aff70f12140dbbed53b580a.jpg)
此时的安全策略已经有一体化安全处理的雏形了,将防火墙包过滤功能和内容安全功能进行了融合,但是还有一定局限性。了解UTM的同学们应该知道,UTM更多的是体现功能集成,将传统防火墙、入侵防御设备、反病毒设备等集成到一个硬件。UTM设备的多个安全功能之间的紧密度不高,报文匹配安全策略的匹配条件后需要逐一进入各个UTM模块进行检测和处理,如果同时开启多个安全功能,设备性能往往大幅下降。
![](http://support.huawei.com/ecommunity/showimage-10076565-10118533-5818afc18ec877d1925f75b8293846b2.jpg)
另外基于应用的管控需要配置额外的应用控制策略,不能直接将应用类型作为策略的匹配条件。例如需要禁止员工使用IM应用,此时要额外配置禁止IM应用的“应用控制策略”然后再在安全策略引用生效。也就是应用识别与管控需要进入另外一个模块处理。 NGFW的一体化安全策略到了NGFW阶段,对一体化、应用识别与管控、高性能等要求更高。安全策略充分体现了这些特质,通过应用、用户、内容、威胁等多个维度的识别将模糊的网络环境映射为实际的业务环境,从而实现精准的访问控制和安全检测。
![](http://support.huawei.com/ecommunity/showimage-10076567-10118533-e091e5f0ab75734ba0e699bdc8be960b.jpg)
闲言少叙,说点干货吧,NGFW安全策略在配置和实现上到底有哪些不同呢?1、 NGFW之前的安全策略都是应用在域间的(安全区域必配),NGFW的安全策略应用在全局,安全区域与IP地址等一样只是作为可选的匹配条件。而且安全区域支持多选。这样配置更灵活,可以不关注安全区域、域间方向,只需关注访问的源/目的。另外还可以实现跨多域的访问的一次性配置。
![](http://support.huawei.com/ecommunity/showimage-10076569-10118533-6ea60ae3df6651ec4e75ed7dcfd59ee8.jpg)
![](http://support.huawei.com/ecommunity/showimage-10076571-10118533-fa70b28452c8a494ba355b7a2873857d.jpg)
2、缺省包过滤也是全局只有一条,不再区分域间。3、增加应用作为匹配条件,对应用的阻断/允许直接在安全策略中配置。4、增加用户作为匹配条件,实现基于用户的管控,即使IP发生变化用户的权限也是不变的。 也就是应用和用户的识别都融入了防火墙安全策略的处理流程中,无论从配置还是设备 处理上都体现了“一体化”。5、通过高性能的一体化检测引擎实现一次扫描、实时检测,即使开启所有内容安全功能,也不会造成设备性能的大幅下降。强叔后续将开辟专门的帖子对NGFW进行具体介绍,详细的处理过程本帖不过多提及了。
展望未来安全策略在一体化、智能化、多维度管控的道路上还在继续前行,基于地理位置的控制、根据实际网络流量类型自动调整策略配置的智能策略都将陆续推出。各位网管和工程师们,期待着只需喝茶看报,防火墙自动进行安全防护的那一天吧~~
强叔提问您接触的防火墙的安全策略属于第几阶段?您最想了解什么?都可以留言哦,强叔将会一一解答。
![](http://support.huawei.com/ecommunity/showimage-10076557-10118533-215444d829f1bbd753c6a7c217045239.jpg)
基于ACL的包过滤的配置方式是先配置好包含多条数据流规则(rule)的ACL,其中每条rule包含数据流的匹配条件和permit/deny动作,然后ACL再被域间包过滤引用。一个域间只能引用一个ACL。
![](http://support.huawei.com/ecommunity/showimage-10076559-10118533-17eb6597437e1420e2bb068cb1fb6b11.jpg)
发展中期的UTM设备安全策略随着USG2000/5000系列UTM产品的推出,“安全策略”这个概念被提出。之所以不叫包过滤了,是因为策略中集成了UTM检测功能,配置方式也由ACL方式变为Policy方式。通过下边这个界面可以直观的看到安全策略的组成:包过滤+UTM。不启用UTM功能时就是原始的包过滤;动作为permit的安全策略可以引用IPS、AV等UTM策略,对流量进一步进行UTM检测,通过检测的流量才能真正通过防火墙。
![](http://support.huawei.com/ecommunity/showimage-10076561-10118533-484010ca31f9d68e932dea2b6c7a86eb.jpg)
注:华为UTM产品中已经增加“用户”这个匹配条件,后续在NGFW安全策略中再统一介绍。
另外配置方式上也变为Policy方式,即在配置安全策略时直接指定匹配数据流的多种条件以及动作,配置更简单。
![](http://support.huawei.com/ecommunity/showimage-10076563-10118533-50380c117aff70f12140dbbed53b580a.jpg)
此时的安全策略已经有一体化安全处理的雏形了,将防火墙包过滤功能和内容安全功能进行了融合,但是还有一定局限性。了解UTM的同学们应该知道,UTM更多的是体现功能集成,将传统防火墙、入侵防御设备、反病毒设备等集成到一个硬件。UTM设备的多个安全功能之间的紧密度不高,报文匹配安全策略的匹配条件后需要逐一进入各个UTM模块进行检测和处理,如果同时开启多个安全功能,设备性能往往大幅下降。
![](http://support.huawei.com/ecommunity/showimage-10076565-10118533-5818afc18ec877d1925f75b8293846b2.jpg)
另外基于应用的管控需要配置额外的应用控制策略,不能直接将应用类型作为策略的匹配条件。例如需要禁止员工使用IM应用,此时要额外配置禁止IM应用的“应用控制策略”然后再在安全策略引用生效。也就是应用识别与管控需要进入另外一个模块处理。 NGFW的一体化安全策略到了NGFW阶段,对一体化、应用识别与管控、高性能等要求更高。安全策略充分体现了这些特质,通过应用、用户、内容、威胁等多个维度的识别将模糊的网络环境映射为实际的业务环境,从而实现精准的访问控制和安全检测。
![](http://support.huawei.com/ecommunity/showimage-10076567-10118533-e091e5f0ab75734ba0e699bdc8be960b.jpg)
闲言少叙,说点干货吧,NGFW安全策略在配置和实现上到底有哪些不同呢?1、 NGFW之前的安全策略都是应用在域间的(安全区域必配),NGFW的安全策略应用在全局,安全区域与IP地址等一样只是作为可选的匹配条件。而且安全区域支持多选。这样配置更灵活,可以不关注安全区域、域间方向,只需关注访问的源/目的。另外还可以实现跨多域的访问的一次性配置。
![](http://support.huawei.com/ecommunity/showimage-10076569-10118533-6ea60ae3df6651ec4e75ed7dcfd59ee8.jpg)
![](http://support.huawei.com/ecommunity/showimage-10076571-10118533-fa70b28452c8a494ba355b7a2873857d.jpg)
2、缺省包过滤也是全局只有一条,不再区分域间。3、增加应用作为匹配条件,对应用的阻断/允许直接在安全策略中配置。4、增加用户作为匹配条件,实现基于用户的管控,即使IP发生变化用户的权限也是不变的。 也就是应用和用户的识别都融入了防火墙安全策略的处理流程中,无论从配置还是设备 处理上都体现了“一体化”。5、通过高性能的一体化检测引擎实现一次扫描、实时检测,即使开启所有内容安全功能,也不会造成设备性能的大幅下降。强叔后续将开辟专门的帖子对NGFW进行具体介绍,详细的处理过程本帖不过多提及了。
展望未来安全策略在一体化、智能化、多维度管控的道路上还在继续前行,基于地理位置的控制、根据实际网络流量类型自动调整策略配置的智能策略都将陆续推出。各位网管和工程师们,期待着只需喝茶看报,防火墙自动进行安全防护的那一天吧~~
强叔提问您接触的防火墙的安全策略属于第几阶段?您最想了解什么?都可以留言哦,强叔将会一一解答。
相关文章推荐
- 内网计算机的十大安全防护策略详解
- 详解内存工作原理及发展历程
- 安全策略篇 安全策略初体验
- 详解:大数据面临的安全问题及应对策略分析
- 从中国联通CDMA发展历程看IPTV推广策略
- 虚拟化的发展历程和实现原理——图文详解
- 【引用】专家详解:内存工作原理及发展历程[1]
- 详解内存工作原理及发展历程
- 详解内存工作原理及发展历程(11)
- 详解内存工作原理及发展历程(4)
- 详解内存工作原理及发展历程(3)
- 详解知名网站的技术发展历程
- 详解内存工作原理及发展历程(8)
- 菜鸟手册:详解内存工作原理及发展历程
- 详解内存工作原理及发展历程(2)
- 详解内存工作原理及发展历程(6)
- 虚拟化的发展历程和实现原理——图文详解
- 安全手机的发展历程 阔密安全手机