华为防火墙-4-安全策略

安全策略中的条件，可分为多个字段，如源地址、目的地址、源端口、目的端口等，这些字段之间是“与”的关系，也就是说，只有报文中的信息和所有字段都匹配上，才算是命中了这条策略。如果同一个字段中有多个匹配项，如同时有两个源地址或三个目的地址，那么这些匹配项之间是“或”的关系，只要报文匹配了其中的一项，就算匹配了该条件。

安全策略之间是存在顺序的，防火墙在两个安全区域之间转发报文时，会按照从上到下的顺序逐条查找域间存在的安全策略。如果报文命中了某一条安全策略，就会执行该安全策略中的动作，或允许通过或拒绝通过，不会再继续向下查找；如果报文没有命中某条安全策略，则会向下继续查找。
基于上述实现方式，我们在配置安全策略时要遵循“先精细，后粗犷”的原则。具体来说，就是先配置匹配范围小、条件精确的安全策略，然后再配置匹配范围大、条件宽泛的安全策略。相信大家都配置过 ACL规则，安全策略的配置和 ACL规则是一个道理。

时间段time-range
[USG6000V1]time-range worktime #默认存在
添加周期性时间段
[USG6000V1-time-range-worktime]period-range 08:00:00 to 18:00:00 working-day

[USG6000V1]time-range tr1
添加绝对时间段
[USG6000V1-time-range-tr1]absolute-range 00:00:00 2021/6/15 to 00:00:00 2021/6/16

<USG6000V1>display time-range all

一体化安全策略由条件、动作和配置文件组成，其中配置文件的作用是对报文进行内容安全检测，只有动作是允许通过时才能够引用配置文件。

一体化安全策略有以下区别，安全策略基于全局范围，不再基于安全域间，安全区域只作为可选的条件，可同时配置多个安全区域。这里有一点需要特别注意，在华为USG6000系列防火墙上，报文在安全区域之内流动时，默认情况下防火墙是不允许其通过的，如果想让报文在安全区域之内正常流动，必须配置域内安全策略允许报文通过
安全策略中的缺省动作代替了缺省包过滤，全局生效，不再区分域间。

调整安全策略中规则的顺序：rule move
[USG6000V1-policy-security]rule move oracle down

配置了多条一体化安全策略后，防火墙在转发报文时会按照从上到下的顺序逐条查找安全策略。

配置实例，需求是在Trust安全区域到Untrust安全区域的方向上，拒绝源地址是192.168.0.100的报文通过；允许源地址是192.168.0.0/24网段，目的地址是172.16.0.0/24网段的报文通过，配置如下。

[FW] security-policy

[FW-policy-security] rule name policy1

[FW-policy-security-rule-policy1] source-zone trust

[FW-policy-security-rule-policy1] destination-zone untrust

[FW-policy-security-rule-policy1] source-address 192.168.0.100 32

[FW-policy-security-rule-policy1] action deny

[FW-policy-security-rule-policy1] quit

[FW-policy-security] rule name policy2

[FW-policy-security-rule-policy2] source-zone trust

[FW-policy-security-rule-policy2] destination-zone untrust

[FW-policy-security-rule-policy2] source-address 192.168.0.0 24
[FW-policy-security-rule-policy2] destination-address 172.16.0.0 24

[FW-policy-security-rule-policy2] action permit

华为防火墙-4-安全策略相关推荐

华为防火墙设置安全策略，封禁高危异常ip
一般单位的网络,遭受到外来的ip攻击,或者试图入侵,可以在出口防火墙处设置安全策略将那些试图入侵的ip地址给封了(境外的ip一般直接封了,国内的需要自己去查询具体情况) 新建策略的时候,将异常ip添加 ...
华为防火墙简介及其工作原理
防火墙作为一种安全设备被广泛使用于各种网络环境中,他在网络间起到了间隔作用.华为作为著名的网络设备厂商,2001年便发布了首款防火墙插卡,而后根据网络发展及技术需求,推出了一代又一代防护墙及安全系列产 ...
华为防火墙及它的工作原理
一.华为防火墙产品介绍 USG2000.USG5000.USG6000和USG9500构成了华为防火墙的四大部分,分别适合于不同环境的网络需求,其中,USG2000和USG5000系列定位于UTM(统 ...
华为防火墙配置（防火墙基础）
目录前言一.防火墙概述 1.防火墙介绍 2.防火墙作用 3.NGFW (1)基于应用 (2)基于用户 (3)基于位置 (4)实际应用 4.防火墙的工作模式 (1)路由模式 (2)透明模式 (3)混 ...
华为防火墙配置了限制一台主机只能访问固定域名和IP的安全策略后打开网站加载速度很慢半天打不开
环景: 华为USG6311E VRP ® Software, Version 5.170 (USG6300E V600R007C00SPC200) V200R007C00SPC091 PC联想win1 ...
华为防火墙（nat地址转换+安全策略+HA热备）
拓扑实现需求: 1.PC1&PC2使用nat的pat模式经过防火墙做地址转换 2.PC3&Client1使用nat server模式经过防火墙做地址转换 3.Client1可以使用 ...
华为防火墙在NAT安全策略设置的解释
1.no-pat 我们知道no-pat会产生相应的server-map表项,其主要作用是加快nat的转换,但是在一开始的时候防火墙是没有server-map表的,只有本次通信中的首包触发了链接的建立之 ...
华为防火墙安全区域介绍
1. 安全区域介绍防火墙通俗讲是用于控网络之间的隔离,专业讲是用于保护一个安全区域免受另外一个安全区域的网络攻击和入击行为.从防火墙的定义中可以看出防火墙是基于安全区域的,其它厂商(Cisco,Ju ...
华为防火墙查看日志命令_防火墙接入互联网方式，到底有哪些呢？5分钟学会防火墙入网...
通过静态IP接入互联网局域网内部所有的PC都不是在10.3.0.0/24网段,均通过DHCP动态获取IP地址.企业从运营商处获取固定的IP地址为1.1.1.1/24.企业需要利用防火墙接入互联网. ...
华为防火墙USG6320透明模式配置
拓扑图 system-view 进入系统视图,键入Ctrl+Z退回到用户视图. 配置GigabitEthernet 0/0/1工作在交换模式. [USG6300]interface GigabitEt ...

华为防火墙-4-安全策略

华为防火墙-4-安全策略相关推荐

最新文章

热门文章