一. 域间策略概述
如图1-1所示,域间策略是一种基于安全域实现对报文流的检查,并根 据检查结果对报文实行相应动作的域间策略。一个安全域中,可以包 含多个成员。例如,可以将公司安全防护设备上连接到内网的接口作 为成员加入安全域 Trust,连接 Internet 的接口作为成员加入安全域 Untrust,这样管理员只需要部署这两个安全域之间的域间策略即可。 如果后续网络环境发生了变化,则只需要调整相关安全域内的接口, 而域间策略不需要修改。
二. 域间策略分类
域间策略包括:包过滤、ASPF、对象策略和安全策略。管理员可以根据不同的应用场景,选择不同的域间策略对报文进行转发控制。其中包过滤、ASPF 和对象策略是基于安全域间实例进行配置,安全策略是基于全局进行配置。
1. 包过滤
包过滤功能是根据报文的五元组(源IP地址、目的IP地址、源端口、目的端口、传输层协议)实现对报文在不同安全域之间的转发进行控制。举例如下:
如图1-2所示,若希望只允许市场部员工可以访问Internet网页,而财务部的员工不可以访问Internet网页,则需要在边界设备的 Trust 和 Untrust 安全域之间的两个方向上均应用包过滤策略。策略中需要配置两条规则 rule-1 和 rule-2,保证市场部的员工可以访问 Internet 网页。默认策略可以禁止财务部员工访问 Internet 网页。
2. ASPF(高级状态包过滤)
ASPF可以对已放行报文进行信息记录,使已放行报文的回应报文在应用了包过滤策略的安全域之间可以正常通过。举例如下:
如图 1-3 所示,为了保护内部网络,可以在边界设备的 Trust 到Untrust 安全域方向上应用包过滤策略和 ASPF 策略,只允许市场部的员工访问 Internet 网页,同时拒绝 Untrust 网络中的主机访问 Trust
网络。但是包过滤策略会将用户发起连接后返回的报文过滤掉,导致连接无法正常建立。利用 ASPF功能可以解决此问题。默认策略可以禁止财务部员工访问 Internet 网页。
3. 对象策略
对象策略基于全局进行配置,基于安全域间实例进行应用。在安全域间实例上应用对象策略可以实现对报文的检查,并根据检查结果允许或拒绝其通过。举例如下:
如图 1-4 所示,若希望只允许市场部的员工可以访问 Internet 网页, 但禁止其浏览淘宝网,则需要配置图 1-4 中的对象策略,并将对象策略应用在Trust 到 Untrust 安全域间实例上。默认策略可以禁止财务 部员工访问 Internet 网页。
4. 安全策略
安全策略基于全局配置和全局生效,不需要被引用。安全策略不仅可以彻底替代包过滤和对象策略,还可以基于用户和应用对报文进行转发控制,并可以对符合过滤条件的报文进行DPI (深度报文检测)检测。举例如下:
如图 1-5 所示,在安全策略中配置 rule-1 和 rule-2 基于用户和应用实现只允许市场部的员工可以访问 Internet 网页,但禁止其浏览淘宝网;并对市场部员工访问网页的内容进行深度检测,防止黑客入侵。默认策略可以禁止财务部员工访问 Internet 网页。
4.1 安全策略的优势
• 不仅可以通过五元组对报文进行控制,还可以基于用户来区分不同部门的员工,使网络管理更加灵活和可视。
• 可以有效区分协议(如 HTTP 协议)上承载的不同应用(如基于网页的游戏、视频和购物),使网络管理更加精细和准确。
• 可以通过在安全策略中引用 DPI 业务,实现对报文内容的深度检测,有效阻止病毒和黑客的入侵。