出口网络安全设计
出口设备作为智简园区中小型网络的边界设备,承担着主要的安全防护任务,我们推荐使用安全能力强大的USG6500E/USG6600E系列防火墙。
安全策略是防火墙的核心功能,在中小型园区通常无需划分过多的安全区域,为了简化配置,建议将WAN侧接口加入到untrust域,LAN侧接口加入到trust域,且放行域间流量。传统防火墙根据五元组(源地址、目的地址、源端口、目的端口、协议类型)来控制流量在安全区域间的转发。华为下一代防火墙的安全策略不仅可以完全替代包过滤的功能,还进一步实现了基于用户和应用的流量转发控制,而且还可以对流量的内容进行安全检测和处理。下一代防火墙的安全策略可以更好的适应新时代网络的特点,满足新时代网络的需求。
流量通过FW,安全策略的处理流程如下:
- FW会对收到的流量进行检测,检测出流量的属性,包括:源安全区域、目的安全区域、源地址/地区、目的地址/地区、用户、服务(源端口、目的端口、协议类型)、应用和时间段。
- FW将流量的属性与安全策略的条件进行匹配。如果所有条件都匹配,则此流量成功匹配安全策略。如果其中有一个条件不匹配,则继续匹配下一条安全策略。以此类推,如果所有安全策略都不匹配,则FW会执行缺省安全策略的动作(缺省安全策略的动作默认为“禁止”)。
- 如果流量成功匹配一条安全策略,FW将会执行此安全策略的动作。
- 如果动作为“禁止”,则FW会阻断此流量。
- 如果动作为“允许”,则FW会判断安全策略是否引用了安全配置文件。
- 如果引用了安全配置文件,则继续进行4的处理。
- 如果没有引用安全配置文件,则允许此流量通过。
- 如果安全策略的动作为“允许”且引用了安全配置文件,则FW会对流量进行内容安全的一体化检测。一体化检测是指根据安全配置文件的条件对流量的内容进行一次检测,根据检测的结果执行安全配置文件的动作。如果其中一个安全配置文件阻断此流量,则FW阻断此流量。如果所有的安全配置文件都允许此流量转发,则FW允许此流量转发。
安全策略可以引用的安全配置文件及其功能如表2-29所示。