安全政策基础

安全政策基础

 

表的内容

• 概述
• 两种安全策略
• 会话
• 拓扑结构
• 服务"应用程序-默认值"
• 隐藏的规则
• 基于用户的安全策略
• 试验 IP 地址的安全政策
• 在安全政策中的 URL 类别
• 应用程序依赖项和应用程序的变化
• 应用程序标识和解密
• 清理规则
• 安全政策提示
• 相关的文档

 

概述

本文档描述了帕洛阿尔托网络防火墙安全策略的基本原理。

 

穿越的帕洛阿尔托网络防火墙 dataplane 的所有通信与安全策略进行都匹配。因为默认情况下，这种交通并不通过防火墙的 dataplane，这不包括交通起源于防火墙的管理界面。可以使用各种标准，如区、应用程序、IP 地址、端口、用户和髋关节的配置文件定义防火墙上的安全策略。防火墙管理员可以定义安全策略，以允许或拒绝通信量，开始与该区域作为一个广泛的标准，然后微调政策与更细粒度的选项，如端口、应用程序和髋关节的配置文件。

 

两种安全 policies

防火墙有两种安全策略：

1. 明确安全策略是由用户定义，可见在 CLI 和 Web UI 界面中。
2. 隐式安全策略是对通过 CLI 界面或 Web UI 界面用户是不可见的规则。下面一节讨论在帕洛阿尔托网络防火墙上的隐式安全政策。

 

隐式安全政策

默认情况下，防火墙将隐式允许区内 （始发地和目的地在同一区） 交通和隐式拒绝 （之间不同的区域） 区域间交通。交通允许或拒绝通过隐式政策没有登录防火墙默认情况下，所以没有日志可以找这交通。要记录通过防火墙，交通有以匹配在防火墙上的显式配置的安全策略。然而，为了进行故障排除，可以更改默认行为。请参阅:如何在通信日志中查看来自默认安全策略的通信.

 

会话

帕洛阿尔托网络防火墙是一个有状态的防火墙, 这意味着所有通过防火墙的通信都与一个会话匹配,然后每个会话将与安全策略匹配.

 

会议包括两个流程。客户端到服务器流量 （c2s 流量） 和服务器到客户端流量 （s2c 流量）。地方交通启动的端点始终是客户端，和在那里交通注定该终结点是服务器。用于定义安全策略，只有 c2s 流方向需要考虑。C2s 方向定义策略，以允许或拒绝通信量从原始区域到目标区域，那就是。回流，s2c，不需要新的规则。在防火墙安全策略评估顺序进行从上到下在列表中，所以交通匹配列表中的第一个最接近规则适用于的会话。

 

这里是如何识别流从 CLI 会话中的示例：

> 显示会话 id 107224

 

会议 107224

 

        c2s 流量:

                来源： 172.23.123.5 [测试]

                dst: 172.23.123.1

                原： 50

                体育： 37018 dport: 37413

                状态： 活动类型： 风洞

                src 用户： 未知

                dst 用户: 未知

 

        s2c 流量:

                来源： 172.23.123.1 [测试]

                dst: 172.23.123.5

                原： 50

                体育： 37750 dport: 50073

                状态： 活动类型： 风洞

                src 用户： 未知

                dst 用户: 未知

 

拓扑结构

在此文档中，下列拓扑适用于用例的安全策略：

 

服务"应用程序-默认值"

 

在下面的示例中，安全策略允许和拒绝交通匹配以下标准。

• 规则 a： 从 IP 子网 192.168.1.0/24 看区发往在信任区域发起的所有应用程序必须允许在任何源和目标端口上。
• 规则 b： 应用程序，DNS，必须允许 Web 浏览器从信任区从 IP 192.168.1.3 往看区启动 FTP 通信。
• 应用程序应该限制为只能在"应用程序-默认值"端口使用。例如，DNS 应用程序，默认情况下，使用目标端口 53。所以应该只在此端口上允许 DNS 应用程序。在其余的目的地端口上使用此应用程序应被剥夺。
• 规则 c： 必须阻止所有其他应用程序从 192.168.1.3 到看区域。
• 规则 d： 应阻止到任何区域从看区域启动的所有通信。

 

在安全政策中的服务列定义应允许通信的源和目标端口。四个选项是：

1. 应用程序-默认值: 允许在默认目标端口上进行通信.
   有关查找各种应用程序使用的默认目标端口的详细信息, 请参阅下面的文档: 有关
   如何查看应用程序的应用程序默认端口的 详情, 参见:.
2. 任意: 允许在任何源和目标端口上进行通信.
3. 预定义服务: 已在防火墙上定义的服务.
4. 自定义服务: 管理员可以根据应用程序的端口要求定义服务.

 

该示例演示创建以符合上述条件的规则。

 

当提交上述的配置更改，显示以下的阴影警告：

接下来讨论了影子警告和提示，避免他们的影响。

 

隐藏的规则

在上面的示例中，IP 地址 192.168.1.3 属于信任区，落在子网 192.168.1.0/24。因为防火墙安全策略查找从顶部到底部，从 IP 192.168.1.3 的所有交通匹配规则 A，并将应用到会话。虽然交通也满足规则 B 和规则 C 的标准，这些规则将不应用于此交通因为规则 A 隐藏规则 B 和规则 c。

 

若要避免的阴影影响，规则 B 和规则 C 之前，应先规则 A，如下所示。现在交通对正确的规则匹配，并防止在提交过程中的"阴影警告"。

 

基于用户的安全策略

在上面的示例中，政策是基于编写的 IP 地址。  同样的在 LDAP 用户、LDAP 组和本地定义的用户，则在防火墙上也可以在安全政策中使用。请参阅有关如何配置用户 ID 和用户添加到安全策略的详细信息的下列文件：

入门教程： 用户 ID

如何将组添加到安全策略

 

试验 IP 地址的安全政策

本节讨论如何编写涉及安全政策时的 IP 地址的翻译，以及如何在安全策略中使用 URL 类别来控制各种网站。

 

在以下示例中，定义安全策略，符合下列条件：

192.0.2.1 看区的公网 IP 翻译成私有 IP 10.1.1.2 的 DMZ 区域中的 Web 服务器。

1. 必须在端口 25，443 和 8080 只允许来自看区到 10.1.1.2 DMZ 区域中的 Web 服务器的传入通信。
2. 在信任区域中的所有用户都必须被都拒绝进入看区域中的"成人和色情"类网站。
3. 必须允许所有其他通信，从信任区看区。

 

下面的规则显示配置，以满足上述标准。

 

从看区域指定到 Web 服务器的所有通信将都有一个目的地公共 IP: 192.0.2.1，属于看区域。因为交通源自看区和注定 IP 看区，允许此通信通过一个隐式的规则，允许同一区交通。安全策略查找后防火墙 NAT 策略查找并确定 Web 服务器的公共 IP 应该得到翻译成私有 IP 10.1.1.2，坐落在 DMZ 区域中。在这个阶段，防火墙已最终目的地区 (DMZ)，但从 192.0.2.1 IP 到 10.1.1.2 实际翻译不尚未发生。确定后 NAT 通信的最终目标区域的信息后, 防火墙将进行第二个安全策略查找, 以查找允许将通信发送到最终目标区域 (DMZ) 的策略. 因此，上述规则 X 被配置为允许邮政 NAT 交通。请注意，规则 X DMZ （邮政 NAT 区） 作为目标区域和 192.0.2.1 (预 NAT IP) 作为目标 IP 地址。在上面的示例中，"Web-server_Ports"服务被配置为允许目的地端口 25，443，8080。有关详细信息, 请参阅:如何配置策略以使用一系列端口.

 

在安全政策中的 URL 类别

在上面的示例中，规则 Y 被配置为阻止使用 URL 类别选项目前在安全政策中的成人类网站。在安全策略中使用 URL 类别选项时，必须明确提到的政策 web 浏览程序。否则，毫不相关的交通与匹配此规则。控制基于 URL 类别网站的另一种方法是使用 URL 过滤配置文件。

 

应用程序依赖项和应用程序的变化

此部分讨论"应用程序依赖关系"，并描述了的会话应用程序 id 在一个会话中的更改时，会发生什么。

 

在以下示例中，定义安全策略来允许和拒绝匹配下列标准的交通。

1. 应用程序软件，应该允许 Youtube 从信任区到看区域。
2. Facebook 应用程序，应该允许从客人带到看区 Gmail-基础。
3. 应用程序应为来宾区用户阻止 SSL 和 Web 浏览。

 

该示例演示创建以符合上述条件的规则。

 

而犯下的配置更改时，可以查看下面的应用程序依赖项警告。

应用程序软件和 YouTube 被初步确定为 SSL，像 web 浏览和 Citrix。当为这些会议更多的数据包通过防火墙，更多的信息来标识应用程序是可用的防火墙。防火墙，然后转移到各自的应用程序软件和 Youtube 等应用。

 

每当应用程序转移发生时，防火墙会新的安全策略查找，找到最接近的规则匹配的新应用。所以在上述个案中，SSL 和 web 浏览软件和 YouTube 被称为到依赖的应用程序，因此这些应用程序还应在安全政策中。如果通信量的应用在会话中间发生变化, 则第二个安全策略查找rematches 针对安全策略的通信量来查找新的最近匹配策略.

在上面的示例中，创建新的安全策略，"依赖应用程序规则，"以允许 SSL 和 web 浏览。Youtube 交通最初与此规则相匹配，一旦应用程序转移发生，第二次的安全策略查找规则 10 场比赛。

 

从 PAN OS 5.0 开始, 可以允许某些协议的应用程序不需要显式地允许它们的依赖项 (请参见:如何检查应用程序是否需要显式允许依赖项应用程序). 在上面的示例中，Facebook 和 gmail 基地是种取决于 SSL 和 web 浏览，不需要显式允许他们依赖应用程序的应用程序。

 

应用程序标识和解密

某些应用程序如 Vimeo，使用 SSL 和加密，可以通过 SSL 解密没有防火墙识别。然而，像 YouTube，应用程序使用了 SSL，需要通过防火墙查明他们的身份进行解密。由于 SSL 连接进行加密，防火墙以确定它有没有可视性这交通。防火墙使应用程序识别使用证书中常见的名称字段。这是在 SSL 握手过程中以明文形式交换了。

 

像 Vimeo 这样的网站使用该网站的 URL 名称作为一个共同的名字，这样不需要 SSL 解密配置。一些像 YouTube 这样的网站使用的证书与通配符名称作为共同的名字。在 youtube 上的情况下，它是 *.google.com。因此，使用应用程序识别此信息是不可能的并且必须配置 SSL 解密，能见度进入该网站的 URL。有关如何实现和测试 SSL 解密 的说明, 请参阅以下文档

 

清理规则

某些环境需要记录所有交通否认和允许通过防火墙。默认情况下，只有明确允许通过防火墙的通信记录。要记录允许通过防火墙的隐式规则的通信量，请参阅：

任何/任何/拒绝安全规则的更改默认行为

如何看到交通从交通日志中的默认安全策略

 

安全政策提示

以下标准，并用相同的顺序来匹配通信安全策略防火墙。

1. 源和目标地址
2. 源端口和目标端口
3. 应用程序
4. 用户ID
5. URL 类别
6. 源和目标区域

 

在上述的配置示例中，当"web 浏览"TCP 端口 80 从信任区到看区域上的应用程序通过防火墙，通过以下方式完成了安全查询：

1. 源/目标地址-因为规则 A、B 和 C 有任何源和目标地址，交通匹配所有这些规则。
2. 源端口和目标端口-因为规则 A、B 和 C 有任何服务，流量匹配所有这些规则。
3. 应用程序-规则 A 和 B 以来"浏览 web"应用程序流量匹配这些规则。
4. 用户 ID-在这里不适用。
5. URL 类别-在这里不适用。
6. 源和目标区 — — 由于交通之间的信任和看，规则 A 是选择这种交通。

 

配置安全策略的最佳方式是尽量减少使用的"任何"，具体的值，在可能的情况。这减少了不必要的安全策略查找由帕洛阿尔托网络设备。

 

相关的文件

有的安全配置文件数量和每个设备政策限制吗？

如何确定在帕洛阿尔托网络设备上的未使用的政策

如何测试的安全策略将适用于交通流。

为什么是规则拒绝应用程序允许一些数据包？

为什么"不适用"出现在交通日志？

如何确定在帕洛阿尔托网络设备上的未使用的政策

会议复赛的工作原理

如何限制对 Windows 和 MAC 机使用 GlobalProtect 髋关节的配置文件的安全策略

如何应用程序默认值在库变化方式交通相匹配

如何安排政策行动

安全策略管理与全景

会话日志最佳实践

 

所有者︰ sdurga