当前位置：首页 > news >正文

学习日志8.7--防火墙安全策略

news 来源：原创 2024/9/20 18:38:04

安全区域之间的数据流动方向，是根据安全级别的优先级来定义的，如果是从优先级高的地方到优先级低的地方，比如说从Local（100）发送到Trust（85）是outbound，如果是从优先级低的地方到优先级高的地方，比如说从untrust（5）到trust（85）是inbound。在任何两个安全区域之间都能设置安全关卡，通过关卡来控制流量的允许接入还是拒绝。我们把这个安全关卡叫做“安全策略”。那再默认情况下安全关卡（安全策略）是拒绝的。

通过一个试验来体会一下。

实验拓扑图结构，将PC1划分在Trust的安全区域上，将PC2划分在Untrust的安全区域上设置PC2的网关IP是192.168.2.254

命令：[FW01]display zone，查看防火墙的安全区域的配置情况
需要把g1/0/1接口添加到Trust的安全区域上，直接把之前自定义的安全区域test1删除
已经删除，将接口g1/0/1添加到Trust安全区域上然后再防火墙的g1/0/2接口上配置IP地址信息，再添加到防火墙的Untrust安全区域上。
添加完毕。

配置完以后，如果让PC2去ping他的网关，我们知道从上一节的结果来看是ping不通的，因为和g1/0/2划分在Local的安全区域他具有自己的安全策略。相当于从untrust（5）区域传输到Local（100）区域，是从低优先级到高优先级的流量传输，是inbound，在进入两个区域之间有安全关卡又叫做安全策略。而安全策略在默认情况下是deny（拒绝）的，需要通过配置来把他打开。防火墙的loacl在inbound方向的流量控制是通过service-manage来实现。

在service-manage的控制下能实现多种流量的传输，像http、https、ping、snmp等的流量传输
命令：[FW01-GigabitEthernet1/0/2]service-manage ping permit，允许ping的流量传输
然后进行PC2ping防火墙的测试

开启这个ping的安全策略之后，主机PC2就可以开始ping防火墙。

说明现在可以从trust或则untrust通过inbound的流量方向访问到local,但是现在不能通过outbound的流量方式从local访问到trust或则是untrust。防火墙pingPC1，流量以outbound的方式从local到trust不通防火墙pingPC2，流量以outbound的方式从local到untrust不通。

所以说service-manage只是控制local的inbound方向的安全策略。service-manage是表示接口相关的安全区域的网络内的主句允许在Inbound方向访问Local区域。

通过这个实验来引出介绍防火墙的安全策略

我们说防火墙安全策略的构成，一个流量在安全策略中，如果满足安全策略的条件，就允许通过，否则就拒绝直接丢弃。允许通过的流量在进行深度的检测（配置文件）。

安全策略是在防火墙的不通安全区域的不通方向之间做流量管控，流量进入防火墙之后，防火墙会根据安全策略进行流程执行，按照配置的顺序进行优先匹配，匹配的优先顺序也可以通过命令来进行调整。一旦匹配到策略，就直接根据策略进行动作操作，允许还是拒绝，不会再匹配到下一策略

如果说在防火墙开机之后没有设置做过任何安全策略，或者说已经设置安全策略但是没有匹配，最后会匹配到缺省动作，匹配到默认的安全策略，默认的安全策略是deny（拒绝）的。但是默认策略是可以进行修改的。命令：[FW01]display security-policy rule all，查看当前配置的安全策略规则规则ID0，动作是默认，状态是开启，操作是拒绝
命令：[FW01]security-policy，进入安全策略视图
查看策略没有配置任何策略。
命令：[FW01-policy-security]default action permit，修该默认动作是允许
修改之后默认状态变为了premit（允许）。