usg6000安全策略配置doc41页docx.docx
《usg6000安全策略配置doc41页docx.docx》由会员分享,可在线阅读,更多相关《usg6000安全策略配置doc41页docx.docx(52页珍藏版)》请在冰豆网上搜索。
usg6000安全策略配置doc41页docx
配置反病毒
在企业网关设备上应用反病毒特性,保护内部网络用户和服务器免受病毒威胁。
组网需求
某公司在网络边界处部署了NGFW作为安全网关。
内网用户需要通过Web服务器和POP3服务器下载文件和邮件,内网FTP服务器需要接收外网用户上传的文件。
公司利用NGFW提供的反病毒功能阻止病毒文件在这些过程中进入受保护网络,保障内网用户和服务器的安全。
网络环境如图1所示。
其中,由于公司使用Netease邮箱作为工作邮箱,为了保证工作邮件的正常收发,需要放行Netease邮箱的所有邮件。
另外,内网用户在通过Web服务器下载某重要软件时失败,排查发现该软件因被NGFW判定为病毒而被阻断(病毒ID为8000),考虑到该软件的重要性和对该软件来源的信任,管理员决定临时放行该类病毒文件,以使用户可以成功下载该软件。
图1 配置反病毒组网图
配置思路
1.配置接口IP地址和安全区域,完成网络基本参数配置。
2.配置两个反病毒配置文件,一个反病毒配置文件针对HTTP和POP3协议设置匹配条件和响应动作,并在该配置文件中配置Netease邮箱的应用例外和病毒ID为8000的病毒例外,另外一个反病毒配置文件针对FTP协议设置匹配条件和响应动作。
3.配置安全策略,在Trust到Untrust和DMZ到Untrust方向分别引用反病毒配置文件,实现组网需求。
操作步骤
1.配置接口IP地址和安全区域,完成网络基本参数配置。
a.选择“网络 > 接口”。
b.单击GE1/0/1,按如下参数配置。
安全区域
untrust
IPv4
IP地址
1.1.1.1/24
c.单击“确定”。
d.参考上述步骤按如下参数配置GE1/0/2接口。
安全区域
dmz
IPv4
IP地址
10.2.0.1/24
e.参考上述步骤按如下参数配置GE1/0/3接口。
安全区域
trust
IPv4
IP地址
10.3.0.1/24
2.配置反病毒配置文件。
a.选择“对象 > 安全配置文件 > 反病毒”。
b.单击“新建”,按下图完成针对HTTP和POP3协议的配置。
c.单击“确定”。
d.参考上述步骤按如下参数完成针对FTP协议的配置。
3.配置内网用户到外网服务器方向(Trust到Untrust方向)的安全策略。
a.选择“策略 > 安全策略 > 安全策略”。
b.单击“新建”。
c.在“新建安全策略”中应用反病毒配置文件。
参数配置如下。
名称
policy_av_1
描述
Intranet-User
源安全区域
trust
目的安全区域
untrust
动作
permit
内容安全
反病毒
AV_http_pop3
d.单击“确定”。
4.配置外网用户到内网服务器方向(Untrust到DMZ方向)的安全策略。
参照内网用户到外网服务器方向安全策略的配置方法,完成安全策略的配置。
参数配置如下。
名称
policy_av_2
描述
Intranet-Server
源安全区域
untrust
目的安全区域
dmz
动作
permit
内容安全
反病毒
AV_ftp
5.单击界面右上角的“保存”,在弹出的对话框中单击“确定”。
配置URL过滤
在NGFW上配置URL过滤功能,对用户访问的URL进行控制,允许或禁止用户访问某些网页资源。
组网需求
如图1所示,NGFW作为企业网关部署在网络边界,对用户发出访问外部网络的HTTP和HTTPS请求进行URL过滤。
公司有研发部门员工和市场部门员工两类,具体需求如下:
∙企业所有员工可以访问包含education的网站。
∙企业所有员工不可以访问包含bbs的网站。
∙研发部门员工在每天的09:
00~17:
00只可以访问教育/科学类、搜索/门户类网站。
其他网站都不能访问。
∙市场部门员工在每天的09:
00~17:
00只可以访问教育/科学类、搜索/门户类、社会焦点类网站和。
其他网站都不能访问。
图1 配置URL过滤组网图
配置思路
1.配置接口IP地址和安全区域,完成网络基本参数配置。
2.配置自定义分类url_userdefine_category,将列入url_userdefine_category分类。
3.配置分类服务器远程查询,用来获取URL与预定义分类的对应关系。
本例中教育/科学类、搜索/门户类、社会焦点类网站可以通过预定义分类来进行URL过滤控制。
4.针对研发部门员工和市场部门员工,配置两个URL过滤配置文件,将包含关键字bbs的URL列入黑名单,将包含关键字education的URL列入白名单。
并设置URL自定义分类和预定义分类的控制动作。
5.配置两个安全策略,引用时间段、用户组等信息,实现针对不同用户组和不同时间段的URL访问控制策略。
操作步骤
1.配置接口IP地址和安全区域,完成网络基本参数配置。
a.选择“网络 > 接口”。
b.单击GE1/0/1对应的
,按如下参数配置。
安全区域
trust
IPv4
IP地址
10.3.0.1/24
c.单击“完成”。
d.参考上述步骤按如下参数配置GE1/0/2接口。
安全区域
untrust
IPv4
IP地址
1.1.1.1/24
2.配置URL自定义分类。
a.选择“对象 > URL分类”。
b.单击“新建”,按如下参数配置。
名称
url_userdefine_category
描述
urluserdefinecategoryofaccesscontrolformarketing.
URL
c.单击“确定”。
3.配置URL分类服务器。
a.选择“对象 > 安全配置文件 > URL过滤”。
b.单击“配置”,配置URL分类服务器,按如下参数配置。
查询方式
远程
国家
中国
安全服务中心
超时时间
3
超时后动作
允许
c.单击“确定”。
d.单击“接受”。
4.配置URL过滤配置文件。
a.选择“对象 > 安全配置文件 > URL过滤”。
b.在“URL过滤配置文件”中,单击“新建”,按如下参数配置。
名称
profile_url_1
描述
URLfilterprofileofwebaccesscontrolforresearch.
缺省动作
允许
白名单
*education*
黑名单
*bbs*
SSL解密
启用
URL过滤级别
选择“自定义”:
将预定义分类“教育/科学类”和“搜索/门户类”的动作配置为允许,其他预定义分类的动作配置为阻断。
说明:
为了使配置简单化,配置上述动作时,可以采取如下操作:
选择“自定义”后,选中第一行“名称”右侧对应的动作“阻断”,此时所有自定义和预定义分类的动作都成为“阻断”,然后再配置上述两个预定义分类的动作为“允许”。
c.单击“确定”。
d.在“URL过滤配置文件”中,单击“新建”,按如下参数配置。
名称
profile_url_2
描述
URLfilterprofileofwebaccesscontrolformarketing.
缺省动作
允许
白名单
*education*
黑名单
*bbs*
SSL解密
启用
URL过滤级别
选择“自定义”:
将预定义分类“教育/科学类”、“搜索/门户类”和“社会焦点类”以及自定义分类“url_userdefine_category”的动作配置为允许,其他预定义分类的动作配置为阻断。
说明:
为了使配置简单化,配置上述动作时,可以采取如下操作:
选择“自定义”后,选中第一行“名称”右侧对应的动作“阻断”,此时所有自定义和预定义分类的动作都成为“阻断”,然后再配置上述三个预定义分类及一个自定义分类的动作为“允许”。
e.单击“确定”。
5.配置时间段。
a.选择“对象 > 时间段”。
b.单击“新建”,按如下参数配置名为“time_range”的时间段。
名称
time_range
类型
周期时间段
开始时间
09:
00
结束时间
17:
00
每周生效时间
星期一、星期二、星期三、星期四、星期五、星期六、星期日
c.单击“确定”。
6.在安全策略中应用URL过滤配置文件。
说明:
本例中引用到的用户组research(研发部门员工)和用户组marketing(市场部门员工)假设已经创建完成。
a.选择“策略 > 安全策略 > 安全策略”。
b.单击“新建”,按如下参数配置。
关于安全策略的更多信息,请参见安全策略。
名称
policy_sec_1
描述
Securitypolicyofwebaccessprotectforresearch.
源安全区域
trust
目的安全区域
untrust
用户
/research
时间段
time_range
动作
permit
内容安全
URL过滤
profile_url_1
c.单击“确定”。
d.单击“新建”,按如下参数配置。
关于安全策略的更多信息,请参见安全策略。
名称
policy_sec_2
描述
Securitypolicyofwebaccessprotectformarketing.
源安全区域
trust
目的安全区域
untrust
用户
/marketing
时间段
time_range
动作
permit
内容安全
URL过滤
profile_url_2
e.单击“确定”。
举例:
配置文件过滤
在企业网关配置文件过滤后,可以降低内部网络感染病毒的风险,还可以防止员工将公司机密文件泄露到互联网。
组网需求
如图1所示,某公司在网络边界处部署了NGFW作为安全网关。
公司希望在保证网络能够正常使用的同时实现以下需求:
∙为了防止公司机密文件的泄露,禁止员工上传常见文档文件、开发文件(C、CPP、JAVA)以及压缩文件到内网服务器和Internet。
∙为了降低病毒进入公司内部的风险,禁止员工从Internet下载可执行文件以及Internet用户上传可执行文件到内网服务器。
∙为了保证员工的工作效率,禁止员工从Internet下载视频类文件。
图1 文件过滤组网图
数据规划
说明:
本举例的用户已经存在于NGFW中,并且已经完成了认证的配置。
项目
数据
说明
policy_sec_user1
∙名称:
policy_sec_user1
∙源安全区域:
trust
∙目的安全区域:
untrust
∙用户:
user
∙动作:
允许
∙文件过滤:
profile_file_user1
安全策略“policy_sec_user1”的作用是允许公司员工访问Internet,引用文件过滤配置文件“profile_file_user1”可以禁止员工上传常见文档文件、开发文件和压缩文件到Internet以及禁止员工从Internet下载可执行文件和视频文件。
policy_sec_user2
∙名称:
policy_sec_user2
∙源安全区域:
trust
∙目的安全区域:
dmz
∙目的地址/地区:
10.2.0.5/24
∙用户:
user
∙动作:
允许
∙文件过滤:
profile_file_user2
安全策略“policy_sec_user2”的作用是允许公司员工访问内网服务器,引用文件过滤配置文件“profile_file_user2”可以禁止员工上传常见文档文件、开发文件以及压缩文件到内网服务器。
policy_sec_internet
∙名称:
policy_sec_internet
∙源安全区域:
untrust
∙目的安全区域:
dmz
∙目的地址/地区:
10.2.0.5/24
∙动作:
允许
∙文件过滤:
profile_file_internet
安全策略“policy_sec_internet”的作用是允许Internet用户访问内网服务器,引用文件过滤配置文件“profile_file_internet”可以禁止Internet用户上传可执行文件到内网服务器。
profile_file_user1
∙名称:
rule1
∙文件类型:
文档文件、压缩文件、代码文件
∙方向:
上传
∙动作:
阻断
文件过滤配置文件“profile_file_user1”的规则“rule1”的作用是禁止上传常见文档文件、开发文件以及压缩文件。
∙名称:
rule2
∙文件类型:
可执行文件、音视频文件
∙方向:
下载
∙动作:
阻断
文件过滤配置文件“profile_file_user1”的规则“rule2”的作用是禁止下载可执行文件、视频和音频文件。
profile_file_user2
∙名称:
rule1
∙文件类型:
文档文件、压缩文件、代码文件
∙方向:
上传
∙动作:
阻断
文件过滤配置文件“profile_file_user2”的规则“rule1”的作用是禁止上传常见文档文件、开发文件以及压缩文件。
profile_file_internet
∙名称:
rule1
∙文件类型:
可执行文件
∙方向:
上传
∙动作:
阻断
文件过滤配置文件“profile_file_internet”的规则“rule1”的作用是禁止上传可执行文件。
配置思路
1.配置接口IP地址和安全区域,完成网络基本参数配置。
2.新建文件过滤配置文件。
3.配置安全策略,保证网络可达的同时引用文件过滤配置文件,实现文件过滤。
操作步骤
1.配置接口IP地址和安全区域,完成网络基本参数配置。
a.选择“网络 > 接口”。
b.单击GE1/0/1对应的
,按如下参数配置。
IP地址
1.1.1.1
网络掩码
255.255.255.0
安全区域
untrust
c.单击“应用”。
d.参考上述步骤按如下参数配置GE1/0/2接口。
IP地址
10.2.0.1
网络掩码
255.255.255.0
安全区域
dmz
e.参考上述步骤按如下参数配置GE1/0/3接口。
IP地址
10.3.0.1
网络掩码
255.255.255.0
安全区域
trust
2.新建文件过滤配置文件。
a.选择“对象 > 安全配置文件 > 文件过滤”。
b.单击“新建”。
c.按如下参数新建文件过滤配置文件profile_file_user1。
名称
profile_file_user1
文件过滤规则
rule1
∙名称:
rule1
∙文件类型:
文档文件、压缩文件、代码文件
∙方向:
上传
∙动作:
阻断
rule2
∙名称:
rule2
∙文件类型:
可执行文件、音视频文件
∙方向:
下载
∙动作:
阻断
d.单击“确定”。
e.参考上述步骤按如下参数新建profile_file_user2。
名称
profile_file_user2
文件过滤规则
rule1
∙名称:
rule1
∙文件类型:
文档文件、压缩文件、代码文件
∙方向:
上传
∙动作:
阻断
f.参考上述步骤按如下参数新建profile_file_internet。
名称
profile_file_internet
文件过滤规则
rule1
∙名称:
rule1
∙文件类型:
可执行文件
∙方向:
上传
∙动作:
阻断
3.配置安全策略并引用配置文件。
a.选择“策略 > 安全策略 > 安全策略”。
b.单击“新建”。
c.按照如下参数配置安全策略policy_sec_user1。
名称
policy_sec_user1
描述
允许公司员工访问Internet
源安全区域
trust
目的安全区域
untrust
用户
user
动作
允许
文件过滤
profile_file_user1
d.单击“确定”。
e.参考上述步骤按如下参数配置policy_sec_user2。
名称
policy_sec_user2
描述
允许公司员工访问内网服务器
源安全区域
trust
目的安全区域
dmz
目的地址/地区
10.2.0.5/24
用户
user
动作
允许
文件过滤
profile_file_user2
f.参考上述步骤按如下参数配置policy_sec_internet。
名称
policy_sec_internet
描述
允许Internet用户访问内网服务器
源安全区域
untrust
目的安全区域
dmz
目的地址/地区
10.2.0.5/24
动作
允许
文件过滤
profile_file_internet
4.单击界面右上角的“提交”,提交安全配置文件进行编译。
配置内容过滤
在企业网关配置内容过滤后,既可以防止公司内的机密信息被泄露到外部,又可以防止违规信息的传播。
组网需求
如图1所示,某公司在网络边界处部署了NGFW作为安全网关。
公司有研发和财务两种用户,都部署在Trust区域。
公司的内网服务器部署在DMZ区域。
Internet的用户部署在Untrust区域。
公司希望在保证网络正常使用的同时,防止公司机密信息的泄露以及违规信息的传播。
图1 内容过滤组网图
数据规划
说明:
本举例的用户已经存在于NGFW中,并且已经完成了认证的配置。
项目
数据
说明
研发员工的安全策略
∙名称:
policy_sec_research
∙源安全区域:
trust
∙目的安全区域:
untrust
∙用户:
research
∙动作:
允许
∙内容过滤:
profile_data_research
安全策略“policy_sec_research”的作用是允许研发员工访问Internet,引用内容过滤配置文件“profile_sec_research”可以对研发员工上传到Internet的文件、发送到Internet的邮件、发布的帖子和微博、浏览网页和搜索的内容进行过滤。
财务员工的安全策略
∙名称:
policy_sec_finance
∙源安全区域:
trust
∙目的安全区域:
untrust
∙用户:
finance
∙动作:
允许
∙内容过滤:
profile_data_finance
安全策略“policy_sec_finance”的作用是允许财务员工访问Internet,引用内容过滤配置文件“profile_sec_finance”可以对财务员工上传到Internet的文件、发送到Internet的邮件、发布的帖子和微博、浏览网页和搜索的内容进行过滤。
Internet用户的安全策略
∙名称:
policy_sec_internet
∙源安全区域:
untrust
∙目的安全区域:
dmz
∙目的地址/地区:
10.2.0.5/24
∙动作:
允许
∙内容过滤:
profile_data_internet
安全策略“policy_sec_internet”的作用是允许Internet用户访问内网服务器,引用内容过滤配置文件“profile_sec_internet”可以对Internet用户从内网服务器下载和上传到内网服务器的文件内容进行过滤。
研发员工的内容过滤配置文件
名称:
profile_data_research
内容过滤配置文件“profile_data_research”需要应用在安全策略“policy_sec_research”上。
∙名称:
rule1
∙关键字组:
keyword1
∙应用:
all
∙文件类型:
all
∙方向:
上传
∙动作:
阻断
规则“rule1”的作用是阻断包含关键字组“keyword1”的内容的上传。
∙名称:
rule2
∙关键字组:
keyword3
∙应用:
HTTP
∙文件类型:
TEXT/HTML
∙方向:
下载
∙动作:
阻断
规则“rule2”的作用是阻断包含关键字组“keyword3”内容的网页和搜索。
财务员工的内容过滤配置文件
名称:
profile_data_finance
内容过滤配置文件“profile_data_finance”需要应用在安全策略“policy_sec_finance”上。
∙名称:
rule1
∙关键字组:
keyword2
∙应用:
all
∙文件类型:
all
∙方向:
上传
∙动作:
阻断
规则“rule1”的作用是阻断包含关键字组“keyword2”的内容的上传。
∙名称:
rule2
∙关键字组:
keyword3
∙应用:
HTTP
∙文件类型:
TEXT/HTML
∙方向:
下载
∙动作:
阻断
规则“rule2”的作用是阻断包含关键字组“keyword3”内容的网页和搜索。
Internet用户的内容过滤配置文件
名称:
profile_data_internet
内容过滤配置文件“profile_data_internet”需要应用在安全策略“policy_sec_internet”上。
∙名称:
rule1
∙关键字组:
keyword2
∙应用:
all
∙文件类型:
all
∙方向:
下载
∙动作:
阻断
规则“rule1”的阻断包含关键字组“keyword2”内容的文件下载。
∙名称:
rule2
∙关键字组:
keyword3
∙应用:
all
∙文件类型:
all
∙方向:
上传
∙动作:
阻断
规则“rule2”的阻断包含关键字组“keyword3”内容的文件上传。
keyword1
预定义关键字:
机密关键字(权重设置为1)
-
自定义关键字:
∙公司机密信息
▪名称:
公司机密信息
▪匹配模式:
文本
▪文本:
“公司机密”
▪权重:
1
∙公司违规信息
▪名称:
公司违规信息
▪匹配模式:
文本
▪文本:
“违规信息”
▪权重:
1
“公司机密”是由公司定义的机密信息关键字,请管理员根据实际情况确定具体内容。
本举例中仅以“公司机密”表示。
“违规信息”是由公司定义的违规信息关键字,可能包括敏感、色情、暴力等信息,请管理员根据实际情况确定具体内容。
本举例中仅以“违规信息”表示。
keyword2
预定义关键字(权重都设置为1):
银行卡号、信用卡号、社会安全号、身份证号、机密关键字。
-
自定义关键字:
∙公司机密信息
▪名称:
公司机密信息
▪匹配模式:
文本
▪文本:
“公司机密”
▪权重:
1
∙公司违规信息
▪名称:
公司违规信息
▪匹配模式:
文本
▪文本:
“违规信息”
▪权重:
1
“公司机密”是由公司定义的机密信息关键字,请管理员根据实际情况确定具体内容。
本举例
升级会员 