网站防火墙安全策略

　　防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击，但是同时还必需允许两个网络之间可以进行合法的通信。网站防火墙安全策略的作用就是对通过防火墙的数据进行检验，符合安全策略的合法数据流才能通过防火墙。本文就跟大家详细讲讲网站防火墙安全策略。

网站防火墙安全策略

　　安全策略是网络安全设备的基本功能，控制安全域间/不同地址段间的流量转发。默认情况下，网络安全设备会拒绝设备上所有安全域/地址段之间的信息传输。而安全策略则通过策略规则决定从一个安全域到另一个安全域，以及从一个地址段到另一个地址段的哪些流量该被允许，哪些流量该被拒绝。

　　安全策略是由匹配条件和动作(允许/拒绝)组成的控制规则，可以基于IP、端口、协议等属性进行细化的控制。

　　缺省情况下，所有域间的所有方向都禁止报文通过，可以根据需求配置允许允许那些数据通过防火墙的安全策略。

　　注：对于路由、ARP等底层协议一般是不受安全策略控制的，直接允许通过。当然这和具体产品实现有关，产品间可能有差异。

　　网站防火墙安全策略的应用方向

　　在一个域间有Inbound方向和Outbound方向，但对于同一条数据流，在访问发起的方向上应用安全策略即可，反向报文 不需要额外的策略。这是因为防火墙是状态检测设备，对于同一条数据流只有首包匹配安全策略并建立会话，后续包都匹配会话转发。

　　网站防火墙安全策略的匹配

　　防火墙将流量的属性与安全策略的条件进行匹配。如果所有条件都匹配，则此流量成功匹配安全策略。如果其中有一个条件不匹配，则未匹配安全策略。

　　同一域间或域内应用多条安全策略，策略的优先级按照顺序进行排序，越先配置的策略优先级越高，越先匹配报文。如果报文匹配到一条策略就不再继续匹配剩下的策略，如果没有匹配到任何策略就按缺省包过滤处理。所以配置策略要先粗后细。

　　网站防火墙安全策略发展史

　　1.传统防火墙

　　基于ACL的包过滤。

　　通过在域间引用ACL实现包过滤

　　匹配条件：报文头的五元组(源/目的地址、源/目的端口号、协议号)和时间段

　　动作包括拒绝和允许报文通过

　　2.UTM

　　融合UTM的安全策略(包过滤+UTM)

　　在包过滤基础上增加UTM处理，包括IPS/AV/URL过滤等

　　动作为permit的报文继续进行UTM处理，通过UTM检测才真正允许通过

　　功能叠加，应用未作为统一的匹配条件，而是存在独立的应用控制策略，对用户体验和处理性能都有一定影响

　　3.NGFW

　　一体化安全策略(五元组+应用+用户+内用安全)

　　真正的一体化策略，可一次识别流量的应用类型、携带的内容等数据，供内容安全功能使用

　　增加应用、用户两个匹配条件，解决了基于端口、IP识别流量不准确的问题

　　应用、内容、威胁感知能力增强

　　网站防火墙安全策略配置规则

　　策略规则的基本元素包括：

　　流量的源安全域/源地址

　　流量的目的安全域/目的地址

　　流量的服务类型

　　设备在遇到指定类型流量时所做的行为，包括允许(Permit)、拒绝(Deny)、隧道(Tunnel)、是否来自隧道(Fromtunnel)、Web认证以及Portal服务器六个行为

　　一般来讲，策略规则分为两部分：过滤条件和行为。安全域间流量的源安全域/源地址、目的安全域/目的地址、服务类型以及用户构成策略规则的过滤条件。策略规则都有其独有的ID号。策略规则ID会在定义规则时自动生成，同时用户也可以按自己的需求为策略规则指定ID。整个系统的所有策略规则有特定的排列顺序。在流量进入系统时，系统会对流量按照找到的第一条与过滤条件相匹配的策略规则进行处理。

　　不同设备平台支持的全局最大策略规则数不同。

　　安全策略支持指定IPv4和IPv6格式的地址条目。如接口开启了IPv6功能，用户可根据需要配置IPv6地址的策略规则。

　　网站防火墙安全策略配置规则

　　配置策略规则，请按照如下步骤进行操作：

　　1、点击“策略 > 安全策略 > 策略”。

　　2、点击左上角的“新建”按钮，弹出<策略配置>对话框

　　3、点击“确定”完成配置。

　　网站防火墙安全策略管理规则

　　对策略规则进行管理，包括启用/禁用策略规则，复制策略规则，调整优先级，设置策略默认动作，查看及清零策略命中数，规则冗余检查，命中数检测，时间表有效性检测和显示禁用策略。

　　启用/禁用策略规则

　　默认情况下，配置好的策略规则会在系统中立即生效。用户可以通过配置禁用某条策略规则，使其不对流量进行控制。

　　启用/禁用策略规则，请按照以下步骤进行操作：

　　1、点击“策略 > 安全策略 > 策略”。

　　2、选中列表中需要启用/禁用的策略规则对应的复选框。

　　3、点击“...”，选择“启用”或“禁用”按钮。

　　策略规则禁用后，不再显示列表中。查看禁用的策略规则，在“...”中选择“显示禁用策略”。

　　复制/粘贴策略规则

　　当系统中存在大量的策略规则时，为使用户更方便快捷地创建与已配置策略规则类似的策略规则，可以复制策略规则并且粘贴在指定位置。

　　复制/粘贴策略规则，请按照以下步骤进行操作：

　　1、点击“策略 > 安全策略 > 策略”。

　　2、选中列表中需要复制的策略规则对应的复选框，然后点击“复制”按钮。

　　3、点击“粘贴”按钮。从弹出菜单中选择指定位置。该策略规则将被粘贴到指定的位置。

　　调整优先级

　　调整策略规则的优先级，请按照以下步骤进行操作：

　　1、点击“策略 > 安全策略 > 策略”。

　　2、从安全策略列表中选中需要调整优先级的安全策略规则对应的复选框，然后点击列表上方的“移动”按钮。

　　3、在弹出下拉菜单的“移动到”文本框中，输入ID号或者名称，并点击“之前”或“之后”按钮。被选中的安全策略规则将被移动至指定ID或者名称规则之前或之后。

　　设置策略规则默认动作

　　用户可以对未匹配到任何已配置策略规则的流量指定默认行为，系统将按照指定的默认行为对此类流量进行处理。默认情况下，系统会拒绝未匹配到任何已配置策略规则的流量通过。

　　指定策略的默认行为，请按照以下步骤进行操作：

　　1、点击“策略 > 安全策略 > 策略”。

　　2、点击“...”按钮，并在弹出菜单中选择“策略默认动作”。系统弹出<策略默认动作>对话框。

　　3、点击“确定”完成配置。

　　显示禁用策略

　　为了更清晰的显示禁用的策略规则，请按照以下步骤进行操作：

　　1、点击“策略 > 安全策略 > 策略”。

　　2、点击“...”按钮，并在弹出菜单中勾选“显示禁用策略”复选框。禁用的策略规则将被绿色高亮显示在策略列表中。

　　默认情况下，即当没有选择“显示禁用策略”和“时间表有效性检测”时，策略列表中仅会显示没有禁用的策略规则，但都不会高亮显示。

　　当同时选择“显示禁用策略”和“时间表有效性检测”时，策略规则管理方法如下：

　　策略列表中会显示“有效性”这一列，用户可通过该列查看有效性状态。

　　无论策略是否禁用，失效的基于时间的策略规则都以黄色高亮显示。

　　有效的基于时间的策略规则，如果该策略禁用，会以绿色高亮显示。

　　关于网站防火墙安全策略就为大家介绍到这里，各种安全策略必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络安全最重要的核心策略之一。如果您在网络安全方面有遇到无法解决的问题，可以向安全狗寻求技术支持，我们会安排专业的技术团队为您解决。