防火墙安全策略

防火墙安全策略

李明峻工程师·讲师

策略元素

元素：源地址----------数据包来源地址：192.168.0.1

目的地址-------数据包目标地址：0.0.0.0

服务应用-------数据包协议端口：any

时间表----------数据包所处时间：always

模式：允许------------如果无素全符合，则允许通过

禁止------------如果元素全符合，则禁止通过

加密------------如果元素全符合，则进行加密

动作：NAT------------对数据包进行NAT 转换

带宽控制------对数据流进行带宽控制

用户认证------认证通过后策略才生效

内容过滤------对数据流进行内容过滤

日志------------对数据流进行日志记录

元素别名

地址：Allnet

Lan-1

PC-25

财务部------------------------0.0.0.0/0.0.0.0192.168.1.0/255.255.255.0192.168.1.25/255.255.255.0PC11,PC18,PC36,PC45

服务：Http ------Tcp-25

Office ------dns,http,pop3,smtp,ftp

OA ------tcp8081-tcp8090

时间：Always ------anytime

五一------5.1零时-5.8零时

workam ------周1-周5,8:30-12:00

workpm ------周1-周5,2:00-5:30

•由上至下：策略按由上开始往下执行•匹配优先：最先匹配的策略会立即执行•默认禁止：不可见的最后一条默认策略是禁止•实例：

策略1：允许内部IP2访问外网任意端口

策略2：禁止内部所有IP 访问外网的Tcp-25端口策略3：允许内部所有IP 访问外网任意端口不可见策略（默认）：禁止所有

•由上至下：策略按由上开始往下执行•匹配优先：最先匹配的策略会立即执行•默认禁止：不可见的最后一条默认策略是禁止•实例：

策略1：禁止内部IP2访问外网任意端口

策略2：允许内部所有IP 访问外网的Tcp-80端口策略3：允许内部所有IP 访问外网的Udp-53端口不可见策略（默认）：禁止所有

ID 源IP 目的IP 时间表服务模式1all all always 53 允许2组1 all always 25,110 允许3组1 W-1 always 80 允许4组2 all work 80 允许5VoIP all always VoPort允许6组3 all always 1-500 允许

7组3 all always 501up 允许动作NAT NAT NAT NAT,50KB 中NAT,60KB, 高NAT, 80KB,中NAT,50KB, 低

ID 源IP 目的IP 时间表服务模式1all all always DePort禁止2all allalways 53,110 允许3组1 all work any 禁止4all allwork 500low 允许5all allwork 501up 允许6组2 all always any 禁止

7all all always any 允许动作NAT NAT,50KB, 高log NAT,90KB, 中NAT,60KB, 低log NAT

ID 源IP 目的IP 时间表服务模式1all all always DePort禁止2all allalways 53 允许3all allalways 80,25,110 允许4all allwork 21 允许5all allalways 21 允许

6组1 all always any 允许动作NAT NAT NAT,Virus NAT,Auth NAT NAT 注: Virus是指进行病毒检查，Auth 是指进行用户认证

十条守则

1、尽量只开放真正必需的服务

2、了解你的网络正在使用什么服务和应用

3、您的服务器不一定需要访问外部

4、尽量简化防火墙的策略，要清楚每条策略的作用

5、为重要用户开放最大访问权限并非上策

6、对VPN 远程访问内部的策略进行严格限制

7、策略配置好后，进行有效的测试检验效果

8、防火墙只会执行策略，效果没达到不要怪防火墙

9、将策略进行备份，每次修改策略都要慎重

10、防火墙策略只对经过防火墙的流量起作用

检查与排错

1、检查地址别名，不同产品的掩码设置方式有可能不同

2、检查服务别名，相应的服务要开放相应的端口

3、如果使用了周期表，要校正系统的时间

4、排错前，可以尝试先关闭某些UTM 功能

5、要检查策略的顺序，要符合“由上至下，匹配优先”

6、要注间Accept All或Deny All这两类策略

7、有时候可能不是策略的问题，想想别的方面

8、策略和其它方面都检查完了，重启一下或许……

9、在排错过程，在适当时候将策略配置进行备份

10、排错完成后，记得做一份最新的配置备份

防火墙技术以外

1、一个主机的多个系统实体

2、企业小网吧或tcp-3389, 或许是个不错的主意

3、良好的密码策略和密码的复杂性一样重要

4、制度建军设和日志取证

5、加强安全区内的访问控制，不要轻易关闭PC 防火墙

6、只买对的，不买贵的。选好产品，用好产品！

7、100元>10000元，500元>50000元

8、我不想用专门要一个机柜来放网关

9、特洛伊木马之前的故事

10、非IT 人员的安全意识教育，也很重要

李明峻

Email:

MSN:

Q Q :工程师・讲师[email protected]

技术成就未来，安全创造价值！

欢迎访问广州安创技术论坛：

bbs.chinascit.com

防火墙安全策略

李明峻工程师·讲师

策略元素

元素：源地址----------数据包来源地址：192.168.0.1

目的地址-------数据包目标地址：0.0.0.0

服务应用-------数据包协议端口：any

时间表----------数据包所处时间：always

模式：允许------------如果无素全符合，则允许通过

禁止------------如果元素全符合，则禁止通过

加密------------如果元素全符合，则进行加密

动作：NAT------------对数据包进行NAT 转换

带宽控制------对数据流进行带宽控制

用户认证------认证通过后策略才生效

内容过滤------对数据流进行内容过滤

日志------------对数据流进行日志记录

元素别名

地址：Allnet

Lan-1

PC-25

财务部------------------------0.0.0.0/0.0.0.0192.168.1.0/255.255.255.0192.168.1.25/255.255.255.0PC11,PC18,PC36,PC45

服务：Http ------Tcp-25

Office ------dns,http,pop3,smtp,ftp

OA ------tcp8081-tcp8090

时间：Always ------anytime

五一------5.1零时-5.8零时

workam ------周1-周5,8:30-12:00

workpm ------周1-周5,2:00-5:30

•由上至下：策略按由上开始往下执行•匹配优先：最先匹配的策略会立即执行•默认禁止：不可见的最后一条默认策略是禁止•实例：

策略1：允许内部IP2访问外网任意端口

策略2：禁止内部所有IP 访问外网的Tcp-25端口策略3：允许内部所有IP 访问外网任意端口不可见策略（默认）：禁止所有

•由上至下：策略按由上开始往下执行•匹配优先：最先匹配的策略会立即执行•默认禁止：不可见的最后一条默认策略是禁止•实例：

策略1：禁止内部IP2访问外网任意端口

策略2：允许内部所有IP 访问外网的Tcp-80端口策略3：允许内部所有IP 访问外网的Udp-53端口不可见策略（默认）：禁止所有

ID 源IP 目的IP 时间表服务模式1all all always 53 允许2组1 all always 25,110 允许3组1 W-1 always 80 允许4组2 all work 80 允许5VoIP all always VoPort允许6组3 all always 1-500 允许

7组3 all always 501up 允许动作NAT NAT NAT NAT,50KB 中NAT,60KB, 高NAT, 80KB,中NAT,50KB, 低

ID 源IP 目的IP 时间表服务模式1all all always DePort禁止2all allalways 53,110 允许3组1 all work any 禁止4all allwork 500low 允许5all allwork 501up 允许6组2 all always any 禁止

7all all always any 允许动作NAT NAT,50KB, 高log NAT,90KB, 中NAT,60KB, 低log NAT

ID 源IP 目的IP 时间表服务模式1all all always DePort禁止2all allalways 53 允许3all allalways 80,25,110 允许4all allwork 21 允许5all allalways 21 允许

6组1 all always any 允许动作NAT NAT NAT,Virus NAT,Auth NAT NAT 注: Virus是指进行病毒检查，Auth 是指进行用户认证

十条守则

1、尽量只开放真正必需的服务

2、了解你的网络正在使用什么服务和应用

3、您的服务器不一定需要访问外部

4、尽量简化防火墙的策略，要清楚每条策略的作用

5、为重要用户开放最大访问权限并非上策

6、对VPN 远程访问内部的策略进行严格限制

7、策略配置好后，进行有效的测试检验效果

8、防火墙只会执行策略，效果没达到不要怪防火墙

9、将策略进行备份，每次修改策略都要慎重

10、防火墙策略只对经过防火墙的流量起作用

检查与排错

1、检查地址别名，不同产品的掩码设置方式有可能不同

2、检查服务别名，相应的服务要开放相应的端口

3、如果使用了周期表，要校正系统的时间

4、排错前，可以尝试先关闭某些UTM 功能

5、要检查策略的顺序，要符合“由上至下，匹配优先”

6、要注间Accept All或Deny All这两类策略

7、有时候可能不是策略的问题，想想别的方面

8、策略和其它方面都检查完了，重启一下或许……

9、在排错过程，在适当时候将策略配置进行备份

10、排错完成后，记得做一份最新的配置备份

防火墙技术以外

1、一个主机的多个系统实体

2、企业小网吧或tcp-3389, 或许是个不错的主意

3、良好的密码策略和密码的复杂性一样重要

4、制度建军设和日志取证

5、加强安全区内的访问控制，不要轻易关闭PC 防火墙

6、只买对的，不买贵的。选好产品，用好产品！

7、100元>10000元，500元>50000元

8、我不想用专门要一个机柜来放网关

9、特洛伊木马之前的故事

10、非IT 人员的安全意识教育，也很重要

李明峻

Email:

MSN:

Q Q :工程师・讲师[email protected]

技术成就未来，安全创造价值！

欢迎访问广州安创技术论坛：

bbs.chinascit.com