《《精编》防火墙安全策略概述》由会员分享,可在线阅读,更多相关《《精编》防火墙安全策略概述(28页珍藏版)》请在金锄头文库上搜索。
1、防火墙安全策略 目标 掌握防火墙的策略配置方法 步骤 包括 记录日志流量统计策略生效的时间用户认证掌握策略的验证方法 PolicyOptions MainScreen AttackPrevention VPNs Options AdvancedPolicyOptions Policy Advanced AdvancedPolicyOptions cont Policy Advanced TrafficLogs 记录了会话结束时间 会话持续时间 地址和地址翻译以及所使用的服务 Reports Policies TrafficLog ConfiguringTrafficLogs setpolicy
2、 fromzonetozonesadaserviceaction logOR setpolicylogns5gt setpolicyid1ns5gt policy 1 setpolicylog Policy Verifying AccessingLogging getlogtraffic Policies Reports Policies 流量统计 图形化的方式察看匹配策略的流量情况 WebUIonly Reports Policies TrafficCountingGraph ConfiguringTrafficCounters setpolicy fromzonetozonesadaser
3、viceaction count OR setpolicycountsetpolicycountalarmns5gt setpolicyid1ns5gt policy 1 setpolicycount Policy Advanced Verifying AccessingTrafficCounters Policies Reports Policies getcounterspolicy PolicyScheduling 定义策略基于时间的允许和禁止两个选项重复时间TwowindowsperdayWeeklyscheduleOnceonly为了时间的准确性 请配置时间服务器 Configuri
4、ngPolicyScheduling CreatescheduleApplyscheduletopolicy CreateSchedule WebUI Objects Schedules New CreateSchedule CLI setschedulerrecurrentstartstop startstop ns208 setschedulerNoICQrecurrentmonstart7 00stop12 00start13 00stop18 00ns208 setschedulerNoICQrecurrenttuesstart7 00stop12 0013 00stop18 00 e
5、tc setscheduleroncestartstopns208 setschedulerY2Koncestart01 01 2000stop01 02 2000 ApplyScheduletoPolicy setpolicy fromzonetozonesadaserviceaction schedule Policy Advanced VerifyingScheduling 如果策略是灰色的背景 那么该策略已经启动了scheduling请确认何时禁止何时允许 用户认证 当数据流量通过防火墙的时候 需要输入用户名和口令 可以与NSRemoteClient结合使用当防火墙需要附加的对用户身份
6、验证的时候可以使用这条规则 两种工作方式当数据包通过防火墙的时候 防火墙自动提示用户输入用户名和口令 策略中的应用必须是Telnet FTP orHTTP可以使用WebAuth在防火墙上首先进行认证 认证通过 流量可以通过防火墙一旦认证通过 所有匹配策略的应用将被运行通过防火墙 防火墙认证 WebServer172 16 1 99 DA 172 16 1 99 serviceHTTP AuthPolicy Username Password DA 172 16 1 99 serviceHTTP UsernamePassword Authenticated Alltrafficpermitted
7、bypolicy WebAuth认证 DA 10 1 1 42 serviceHTTP WebAuth Username Password UsernamePassword Authenticated Alltrafficpermittedbypolicy WebServer172 16 1 99 WebAuthaddress10 1 1 42 WebAuthexample防火墙认证的方式取决于用户所使用的认证服务的形式 HTTPdisplayssimilardialogueFTP Telnetdisplaytext basedprompts 认证的界面 认证配置的步骤 建立用户配置认证策略
8、WebAuthonly 配置WebAuth地址 Step1 建立用户 Objects Users Local Edit setuserpassword Step2 配置认证策略 setpolicy fromzonetozonesadaserviceaction authsetpolicy fromzonetozonesadaserviceaction webauth Policy Advanced Step3 配置WebAuth地址 Network Interface Edit setinterfacewebauthsetinterfacewebauth ip 验证认证 ns5gt getus
9、erallTotalusers 1IdUsernameEnableTypeID typeIdentityBelongstogroups 1JoeUserYesauthns5gt getauthtableTotalusersintable 1Successful 1 Failed 0Pending 0 Others 0ColT Used D Defaultsettings W WebAuth A AuthserverinpolicyidsrcusergroupagestatusserverTsrczonedstzone1192 168 1 33JoeUser5SuccessLocalWN AN A 总结 在本章中我们需要掌握以下的内容 配置和验证策略TrafficloggingTrafficcountersSchedulingUserAuthentication Lab 策略的配置步骤 目标Addlogging counting andscheduletoyourpolicies
