华为防火墙安全策略的详细介绍（请写出华为防火墙策略规则的执行策略）

华为防火墙安全策略的详细介绍（请写出华为防火墙策略规则的执行策略）

安全策略

安全策略与包过滤的区别

安全策略原理

默认的安全策略是deny display security-policy all 11:30:03 2019/06/16 Total:1 RULE ID RULE NAME STATE ACTION HITTED ------------------------------------------------------------------------------- 0 default enable deny 54

安全策略内容

安全策略工作流程

安全策略配置

执行security-policy命令进入安全策略视图 执行rule name rule-name命令创建一个安全策略并进入该策略视图 action { permit | deny } 配置安全策略执行动作 必须配置 source-zone { zone-name &<1-6> | any } 指定源安全区域 source-address {ipv4-address ipv4-mask-length} 指定源地址 destination-zone { zone-name &<1-6> | any } 指定目的安全区域 destination-address {ipv4-address ipv4-mask-length} 指定目的地址 service { service-name &<1-6> | any } 指定服务类似 application { any | app app-name &<1-6> | app-group app-group-name &<1-6> | category category-name [ sub-category sub-category-name ] &<1-6 } 配置安全策略规则的应用 user { user-name &<1-6> | any } 配置用户信息 profile { app-control | av | data-filter | file-block | ips | mail-filter | url-filter } name 配置安全策略规则引用安全配置文件 在安全视图下可对已配置的规则进行调整：建议在图形化界面完成 rule copy rule-name new-rule-name 复制安全策略规则 rule move rule-name1 { after | before } rule-name2 移动安全策略规则，从而改变安全策略规则的优先级 rule rename old-name new-name 重新命名安全策略规则

[sysname] security-policy [sysname-policy-security] rule name policy_sec [sysname-policy-security-rule-policy_sec] source-address 1.1.1.1 24 [sysname-policy-security-rule-policy_sec] source-zone untrust [sysname-policy-security-rule-policy_sec] destination-address geo-location BeiJing [sysname-policy-security-rule-policy_sec] service h323 [sysname-policy-security-rule-policy_sec] action permit [sysname-policy-security-rule-policy_sec] profile av profile_av

匹配条件（各种对象 ）

源目区域

默认4个，可以自定义

firewall zone name XXX set priority X（不能配置5 50 85 100）

源目地址/地区/地址组

ip address-set trust_network type object address 0 10.1.1.0 mask 24 address 1 10.1.2.0 mask 24 address 2 10.1.3.0 mask 24 address 3 10.1.4.0 mask 24 # ip address-set dmz_network type object address 0 192.168.1.1 mask 32 address 1 192.168.1.2 mask 32 ip address-set key type object address 0 range 192.168.1.3 192.168.1.13

ip address-set all_network type group address 0 address-set dmz_network address 1 address-set trust_network

用户/用户组

服务/服务组

 预定义服务和自定义服务 1) 预定义服务直接被调用2) 自定义服务需要先定义

ip service-set ospf type object ----服务 service 0 protocol 89 ip service-set all_service type group ----服务组 service 0 service-set ftp service 1 service-set http service 2 service-set name test add application Thunder add application BT add application eDonkey_eMule add application KuGoo add application PPGou

时间段

time-range 上班时间 period-range 09:00:00 to 17:00:00 working-day

匹配动作

允许 禁止

内容安全（UTM ）

1) 可选：必须动作为允许才能配置内容安全2) 如果动作是允许，并且配置了内容安全的时候，就要执行内容安全3) 如果内容安全禁止，那就禁止4) 包含：反病毒 入侵防御 URL过滤 内容过滤 文件过滤 邮件过滤 应用行为控制

安全策略配置

time-range 上班时间 period-range 09:00:00 to 17:00:00 daily ip service-set all_service type group service 0 service-set ftp service 1 service-set http service 2 service-set security-policy rule name deny_trust_intrrust source-zone trust destination-zone untrust source-address 10.1.1.0 mask 255.255.255.0 application category Entertainment time-range 工作时间 action deny rule name permit_trust_untrust source-zone trust destination-zone untrust action permit rule name permit_any_dmz destination-zone dmz service all_service action permit

查看所有的安全策略

[FW1]display security-policy all 17:17:54 2019/10/20 Total:4 RULE ID RULE NAME STATE ACTION HITTED ------------------------------------------------------------------------------- 0 default enable deny 762 1 deny_trust_intrrust enable deny 108 2 permit_trust_untrust enable permit 696 3 permit_any_dmz enable permit 4 -------------------------------------------------------------------------------

注意： 安全策略要有匹配，安全策略的执行顺序是从上往下，不是按照rule id的从小往大执行 匹配条件越多，安全策略越精确

[FW1]display security-policy rule deny_trust_intrrust 17:18:29 2019/10/20 (108 times matched) ---------------一定要匹配项 rule name deny_trust_intrrust source-zone trust destination-zone untrust source-address 10.1.1.0 mask 255.255.255.0 application category Entertainment time-range 上班时间 action deny

检查：

[FW1]display security-policy all 20:06:37 2019/03/12 Total:4 RULE ID RULE NAME STATE ACTION HITTED ------------------------------------------------------------------------------- 0 default enable deny 4123 3 deny_trust_untrust enable deny 33 ----一定要有命中 4 permit_trust_any enable permit 1453 5 permit_untrust_dmz enable permit 2

注意：安全策略的执行是从上往下的（图形化界面是从上往下 但是命令行这一块的话 是从下往上进行匹配的），当匹配其中一个就会往下执行，如果都不匹配，就匹配默认的default(deny any)

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。