缺省策略与匹配规则
防火墙出厂存在一条显式的缺省策略default,默认禁止所有的域间流量。缺省策略永远位于策略列表的最底端,且不可删除。
用户创建的安全策略,按照创建顺序从上往下排列,新创建的安全策略默认位于策略列表底部,缺省策略之前。防火墙接收到流量之后,按照安全策略列表从上向下依次匹配。一旦某一条安全策略匹配成功,则停止匹配,并按照该安全策略指定的动作处理流量。如果所有手工创建的安全策略都未匹配,则按照缺省策略处理。
基于以上两点:
- 建议保持缺省策略的动作为禁止,不要修改。缺省策略的目的,是保证所有未明确允许的流量都被禁止,这是防火墙作为一个安全产品的基本设计理念。
- 安全策略的顺序至关重要。在创建安全策略之后,你需要根据业务需要手动调整安全策略的顺序,以保证策略匹配结果符合预期。
例如:安全策略列表中已经有一条名为“Block high-risk ports”的安全策略101,阻断了所有高风险服务。现在,你要为来自Trust区域的管理终端访问位于DMZ区域的服务器开放RDP远程桌面服务,新增了一条名为“RDP for admin”的安全策略201。
序号 |
名称 |
源安全区域 |
目的安全区域 |
源地址/地区 |
目的地址/地区 |
用户 |
服务 |
动作 |
|---|---|---|---|---|---|---|---|---|
101 |
Block high-risk ports |
any |
any |
any |
any |
any |
自定义服务:High-risk ports |
deny |
…… |
||||||||
201 |
Allow RDP for admin |
trust |
dmz |
自定义地址组:Management terminal |
自定义地址组:Server farm |
any |
rdp-tcp rdp-udp |
permit |
202 |
default |
any |
any |
any |
any |
any |
any |
deny |
因为安全策略101完全包含了安全策略201的匹配条件,按照安全策略的匹配规则,安全策略201永远也不会被命中。来自Trust区域的远程桌面访问命中安全策略101,就按照其动作被阻断了。因此,新增安全策略201之后,你需要手动调整其顺序,把它放到安全策略101前面。调整后安全策略的序号自动变化。
序号 |
名称 |
源安全区域 |
目的安全区域 |
源地址/地区 |
目的地址/地区 |
用户 |
服务 |
动作 |
|---|---|---|---|---|---|---|---|---|
101 |
Allow RDP for admin |
trust |
dmz |
自定义地址组:Management terminal |
自定义地址组:Server farm |
any |
rdp-tcp rdp-udp |
permit |
102 |
Block high-risk ports |
any |
any |
any |
any |
any |
自定义服务:High-risk ports |
deny |
…… |
||||||||
202 |
default |
any |
any |
any |
any |
any |
any |
deny |
