#文章首发挑战赛#
问题:
防火墙透明模式部署,出口是路由器,防火墙untrust口是连接路由器的那个接口,安全策略该怎么写呢?
安全策略与防火墙作为出口时有什么不同?
除了trust到untrust的permit,local到trustuntrust的permit, 还需要untrust到trust的放行吗?
解答:
1. 防火墙透明模式部署时,安全策略的编写主要取决于业务需求和安全目标。一般来说,需要为不同的安全区域之间配置域间包过滤规则,允许或禁止特定的流量通过防火墙。还可以为允许通过的流量配置内容安全检测,如反病毒、入侵防御等。
2. 安全策略与防火墙作为出口时有一些不同。当防火墙作为出口时,它的外网接口需要配置IP地址,并加入untrust区域。防火墙需要配置到上级路由器的静态路由或动态路由协议,以实现网络互通。安全策略的匹配条件中,可以使用源/目的IP地址、端口、协议等五元组,也可以使用应用识别、用户识别等高级功能。
3. 当防火墙透明模式部署时,它的业务接口不需要配置IP地址,只需要加入不同的安全区域。防火墙不参与路由转发,只负责二层报文的转发。安全策略的匹配条件中,只能使用源/目的MAC地址、VLAN ID、协议等三元组,不能使用应用识别、用户识别等高级功能。
4. 如果出口是路由器,防火墙untrust口是连接路由器的那个接口,那么需要将该接口加入untrust区域,将内网接口加入trust区域。还需要在防火墙上创建VLANIF接口,配置管理IP地址,以便登录防火墙进行管理和维护。安全策略应该根据业务需求,配置trust到untrust、untrust到trust、local到trust/untrust等域间规则。
5. 除了trust到untrust的permit,local到trust/untrust的permit,否还需要untrust到trust的放行,取决于是否需要允许外网用户主动访问您的内网资源,例如服务器、打印机等。如果需要,可以配置untrust到trust的permit,并指定具体的源/目的MAC地址、VLAN ID、协议等条件,以增强安全性。如果不需要,可以不配置untrust到trust的permit,或者配置untrust到trust的deny,以防止外网用户的攻击和入侵。
- 最新
- 最热
只看作者