《防火墙安全策略概述(共30页)》由会员分享,可在线阅读,更多相关《防火墙安全策略概述(共30页)(28页珍藏版)》请在金锄头文库上搜索。
1、防火墙安全策略目标 掌握防火墙的策略配置方法、步骤,包括: 记录日志 流量统计 策略生效的时间 用户认证 掌握策略的验证方法Policy Options Main ScreenAttackPreventionVPNsOptionsAdvanced Policy OptionsPolicyAdvancedAdvanced Policy Options (cont.)PolicyAdvancedTraffic Logs 记录了会话结束时间, 会话持续时间, 地址和地址翻译以及所使用的服务。Reports Policies Traffic LogConfiguring Traffic Logsset
2、 policy (from zone to zone sa da service action) log-OR set policy logns5gt- set policy id 1ns5gt(policy:1)- set policy logPolicyVerifying/Accessing Loggingget log trafficPoliciesReports Policies流量统计 图形化的方式察看匹配策略的流量情况。 WebUI onlyReports Policies Traffic Counting GraphConfiguring Traffic Countersset
3、policy (from zone to zone sa da service action) count-OR-set policy countset policy count alarm ns5gt- set policy id 1ns5gt(policy:1)- set policy countPolicyAdvancedVerifying/Accessing Traffic CountersPoliciesReports Policiesget counters policy Policy Scheduling 定义策略基于时间的允许和禁止 两个选项 重复时间 Two windows
4、per day Weekly schedule Once only 为了时间的准确性,请配置时间服务器。Configuring Policy Scheduling1. Create schedule2. Apply schedule to policyCreate Schedule - WebUIObjects Schedules New Create Schedule CLIset scheduler recurrent start stop start stop ns208- set scheduler NoICQ recurrent mon start 7:00 stop 12:00 s
5、tart 13:00 stop 18:00ns208- set scheduler NoICQ recurrent tues start 7:00 stop 12:00 13:00 stop 18:00(etc.)set scheduler once start stop ns208- set scheduler Y2K once start 01/01/2000 stop 01/02/2000Apply Schedule to Policyset policy (from zone to zone sa da service action) schedule PolicyAdvancedVe
6、rifying Scheduling 如果策略是灰色的背景,那么该策略已经启动了scheduling 请确认何时禁止何时允许。用户认证 当数据流量通过防火墙的时候,需要输入用户名和口令。 可以与 NS Remote Client 结合使用 当防火墙需要附加的对用户身份验证的时候可以使用这条规则。 两种工作方式 当数据包通过防火墙的时候,防火墙自动提示用户输入用户名和口令。 策略中的应用必须是 Telnet, FTP, or HTTP 可以使用WebAuth在防火墙上首先进行认证,认证通过,流量可以通过防火墙 一旦认证通过,所有匹配策略的应用将被运行通过防火墙。防火墙认证Web ServerDA
7、: 172.16.1.99, service HTTPAuth Auth PolicyPolicyUsername?Password?DA: 172.16.1.99, service HTTPUsernamePasswordAuthenticated!All traffic permitted by policyWebAuth 认证DA: 10.1.1.42, service HTTPWeb Web AuthAuthUsername?Password?UsernamePasswordAuthenticated!All traffic permitted by policyWeb ServerW
8、ebAuth address WebAuth example 防火墙认证的方式取决于用户所使用的认证服务的形式。 HTTP displays similar dialogue FTP/Telnet display text-based prompts认证的界面认证配置的步骤1. 建立用户2. 配置认证策略3. (WebAuth only) 配置 WebAuth 地址 Step 1: 建立用户Objects Users Local Editset user password Step 2: 配置认证策略set policy (from zone to zone sa da service act
9、ion) authset policy (from zone to zone sa da service action) webauthPolicyAdvancedStep 3: 配置 WebAuth 地址Network Interface Editset interface webauthset interface webauth-ip 验证认证ns5gt- get user allTotal users: 1Id User name Enable Type ID-type Identity Belongs to groups- - - - - - - 1 JoeUser Yes authn
10、s5gt- get auth tableTotal users in table: 1 Successful: 1, Failed: 0 Pending : 0, Others: 0Col T: Used: D = Default settings, W = WebAuth, A = Auth server in policy id src user group age status server T srczone dstzone 1 192.168.1.33 JoeUser 5 Success Local W N/A N/A总结 在本章中我们需要掌握以下的内容: 配置和验证策略 Traffic logging Traffic counters Scheduling User AuthenticationLab 策略的配置步骤 目标 Add logging, counting, and schedule to your policies
