本文主要介绍诺顿关闭防火墙(诺顿防护软件),下面一起看看诺顿关闭防火墙(诺顿防护软件)相关资讯。
1.1什么是防火墙?
防火墙是一种网络安全设备,通常位于网络边界,用于隔离不同安全级别的网络,保护一个网络免受另一个网络的攻击和入侵。这种 隔离 不是统一的,而是受控隔离,允许合法流量通过防火墙,禁止非法流量通过防火墙。
如图1.1所示,防火墙位于企业互联网出口处,用于保护内部网络安全。可以在防火墙上指定规则,允许10.1.1.0/24网段的pc访问互联网,禁止互联网用户访问ip地址为192.168.1.2的内网主机。
1.1
从上面可以看出,防火墙不同于路由器和交换机。路由器用于连接不同的网络,通过路由协议保证互联互通,保证消息转发到目的地;交换机通常用于组建局域网,作为局域网通信的重要枢纽,通过2/3层交换快速转发消息;防火墙主要部署在网络边界,控制网络内外的访问行为,安全防护是其核心特性。路由器和交换机的本质是转发,防火墙的本质是控制。
防火墙控制网络流量的实现主要取决于安全区域和安全策略,下面将详细介绍。
1.2接口和安全区域
如上所述,防火墙用于隔离不同安全级别的网络,那么防火墙如何识别不同的网络呢?答案是安全区。通过将防火墙的每个接口划分为不同的安全区域,接口连接的网络被划分为不同的安全级别。必须将防火墙上的接口添加到安全区域(某些型号的独立管理端口除外)来处理流量。
安全区的设计理念可以减少网络攻击面。一旦划分了安全区域,除非管理员指定合法的访问规则,否则流量不能在安全区域之间流动。如果网络被入侵,攻击者只能访问同一安全区域的资源,把损失控制在比较小的范围。因此,建议通过安全区域对网络进行细分。
接口加入安全区域意味着连接到接口的网络加入安全区域,而不是接口本身。接口、网络和安全区域之间的关系如图1.2所示。
1.2
防火墙的安全区域根据不同的安全级别分为1到100的安全级别,数字越大,安全级别越高。默认情况下,防火墙中有四个安全区域:信任、dmz、不信任和本地。管理员还可以自定义安全区域,以实现更精细的控制。例如,某企业按照图13划分防火墙的安全区域,内网接口添加到信任安全区域,外网接口添加到不信任安全区域,服务器区域接口添加到dmz安全区域,为访客区域定制名为guest的安全区域。
一个界面只能添加一个安全区域,并且一个安全区域下可以添加多个接口。
1.3
上图中有一个特殊的安全区域local,最高安全等级为100。local代表防火墙本身,在本地不能添加任何接口,但是防火墙上的所有接口本身都隐式属于本地。防火墙发送的所有消息都可以认为是从本安全区域发送的,防火墙接收的所有消息(非转发的消息)都可以认为是本安全区域接收的。
除了物理接口,防火墙还支持逻辑接口,如子接口、vlanif、隧道接口等。这些逻辑接口在使用时也需要添加到安全区域。
1.3安全政策
如上所述,防火墙通过规则控制流量,这些规则被称为 安全政策和在防火墙上。安全策略是防火墙产品的一个基本概念和核心功能,防火墙通过安全策略提供安全管理和控制能力。
如图14所示,安全策略由匹配条件、动作和内容安全配置文件组成,可以对允许的流量进一步进行防病毒、防入侵等内容安全检测。
1.4网络和网络界面
所有匹配条件都是安全策略中的可选配置;但是,一旦配置完成,所有匹配条件都必须得到满足,才被认为是匹配的,也就是说,这些匹配条件之间的关系是 和 。如果在匹配条件中配置了多个值,则多个值之间存在or关系。只要流量与任何一个值匹配,就认为条件匹配。
安全策略中的匹配条件越具体,它描述的流量就越准确。可以只使用五元组(源/目的ip地址、端口、协议)作为匹配条件,也可以利用防火墙的应用识别和用户识别能力,更加准确、便捷地配置安全策略。
穿墙安全策略和局部安全策略
通过防火墙的流量、防火墙发送的流量和防火墙接收的流量都由安全策略控制。如图15所示,内网pc不仅需要telnet登录防火墙管理设备,还需要通过防火墙访问互联网。此时,您需要分别为这两种流量配置安全策略。
1.5穿墙安全策略和本地安全策略
特别是,让 我们来谈谈本地安全策略,即与本地域相关的安全策略。在上面的例子中,位于信任域中的pc登录到防火墙,并为信任配置安全策略以访问本地;另一方面,如果防火墙主动访问其他安全领域的对象,比如防火墙向日志服务器上报日志,防火墙连接安全中心升级特征库等。,有必要将本地的安全策略配置到其他安全区域。记住防火墙本身是一个本地安全区域,接口加入的安全区域代表接口连接的网络属于这个安全区域,这样就可以区分防火墙本身和外部网络的域间关系。
默认安全策略和安全策略列表
有防火墙默认安全策略是default,默认情况下禁止所有域间通信。默认策略始终位于策略列表的底部,不能删除。
用户创建的安全策略按照创建的顺序从上到下排列。默认情况下,新创建的安全策略位于策略列表的底部,在默认策略之前。防火墙收到流量后,会根据安全策略列表从上到下进行匹配。一旦安全策略成功匹配,匹配将停止,流量将根据安全策略指定的操作进行处理。如果所有手动创建的安全策略不匹配,将使用默认策略。
可以看出,安全策略列表的顺序是影响策略是否如预期匹配的关键,创建新的安全策略后往往需要手动调整顺序。
企业中某服务器的地址为10.1.1.1,允许ip段为10.2.1.0/24的办公区域访问该服务器,并配置了安全策略policy1。运行一段时间后,需要禁止两台临时办公电脑(10.2.1.1,10.2.1.2)访问服务器。
此时,新配置的安全区域策略policy2位于policy1下面。因为policy1的地址范围覆盖了policy2的地址范围,所以policy2永远不会匹配。
您需要手动将策略2调整到策略1的顶部,调整后的安全策略如下:
因此,在配置安全策略时,先注意准确性,再注意通用性。如果添加了新的安全策略,请注意现有安全策略的顺序,如果不符合预期,请对其进行调整。
了解更多诺顿关闭防火墙(诺顿防护软件)相关内容请关注本站点。