封面图加载中
一、安全策略概述
1. 定义
核心功能:对通过设备的数据流进行检验,仅允许合法流量转发。
组成:由匹配条件(如五元组、时间段等)和动作(允许/禁止)构成的控制规则。
处理逻辑:设备识别流量属性后,按策略顺序匹配,执行对应动作。
2. 目的
访问控制:保护信任网络免受非信任网络攻击。
合法通信:在安全前提下允许跨网络的合法交互。
二、安全策略组成要素
1. 匹配条件
可选字段:包括源/目的地址、安全区域、协议类型、端口、时间段等。
匹配逻辑:
条件间关系:各条件为 “与” 关系,需全部满足。
条件内关系:同一条件下的多个值为 “或” 关系,任一匹配即可。
默认规则:未配置时默认匹配any,即任意流量。
2. 动作
允许:
无内容安全检测:直接放行。
有内容安全检测:根据检测结果决定是否放行。
禁止:直接阻断流量。
三、安全策略匹配流程
1. 匹配顺序
优先级原则:按配置顺序逐条匹配,先命中的策略优先执行。
配置建议:
先配置精确条件策略(如特定IP+端口),后配置宽泛条件策略(如any)。
例外规则需放在通用规则之前。
2. 缺省策略
默认行为:位于策略列表末尾,匹配所有未命中流量,默认动作为禁止。
例外情况:同一安全区域内的流量默认允许(可通过配置修改)。
四、安全策略过滤机制
1. 首包与会话表
首包处理:匹配安全策略,建立会话表。
后续包处理:直接匹配会话表,无需重复策略检查。
例外:若策略配置了应用识别,后续包需重新匹配策略。
2. 未决策略(应用识别场景)
阶段匹配流程:
第一阶段:首包基于五元组匹配,应用未决,建立临时会话。
第二阶段:内容安全引擎通过后续包识别应用。
第三阶段:重新匹配策略,更新会话信息(如阻断网络游戏)。
五、本地安全策略
1. 适用场景
管理流量:Telnet、Web登录、SNMP等。
服务流量:FTP、PPPoE拨号、NTP、IPSec VPN等。
升级服务:HTTPS/HTTP/FTP协议访问升级中心。
六、安全策略例外情况
1. 不受控流量类型
广播/组播:默认不进行策略控制。
特定协议单播:如BGP、DHCPv4/v6单播报文(可通过命令undo firewall packet-filter basic-protocol enable放行)。
2. 协议控制规则
七、总结与配置建议
策略顺序:精确策略优先,例外规则前置(先配置具体条件(如特定IP+端口),后配置宽泛条件(如any))。
应用识别:需注意未决策略的阶段处理逻辑。(确保内容安全引擎特征库及时更新)
本地流量:明确Local区域策略,避免管理功能被阻断。(特征库升级)
例外处理:合理使用undo命令放行必要协议,避免影响网络互联互通。