FortiGate安全策略说明
1.安全策略原理
1)为了对数据流进行统一控制,方便用户配置和管理,FGT设备引入了安全策略的概念。通过配置安全策略,防火墙能够对经过设备的数据流进行有效的控制和管理。
2)当防火墙收到数据报文时,把该报文的方向、源地址、目的地址、协议、端口等信息和用户配置的策略匹配,决定是否建立这条数据流,并且把这条流和匹配的策略关联起来,从而确定如何处理该流的后续报文,
实现允许、丢弃、加密和解密、认证、排定优先次序、调度、过滤以及监控数据流,决定哪些用户和数据能进出,以及它们进出的时间和地点。
3)在安全策略中还可以根据匹配结果,对符合规则的报文实行过滤动作(允许通过或丢弃),简单地实现包过滤功能。
4)在没有配置任何安全策略的情况下,系统默认有一条全any禁止的策略, 对于经过设备的所有数据包,其缺省策略为禁止。
5)安全策略按从上到下顺序匹配的原则,只对通过设备的数据包进行处理, 对于到设备本身的数据包和设备本身发出的数据包不进行限制。
2.配置安全策略要点
安全策略的基本要素是匹配条件和动作。匹配条件包括数据流的方向、源地址、目的地址、服务和策略生效的时间范围。
其中,数据流的方向通过指定入接口/安全域和出接口/安全域来确定,源地址、目的地址、服务和时间范围都可以直接引用已定义的对象。
1)源接口/ 区:数据流的流入方向,可以指定某个接口,也可以是已定义的某个安全域,any表示所有口
2)源地址:数据流的源地址,可以引用已定义的某个地址对象或地址对象组,any表示源地址为任意。
3)目的接口/区:数据流的流出方向,可以指定某个接口,也可以是已定义的某个安全域,any表示所有接口。
4)目的地址:数据流的目的地址,可以引用已定义的地址对象或地址对象组,或者引用虚拟映射ip。
5)时间表:策略生效的时间,可以引用已配置的时间对象,always表示所有时间。
6)服务:数据流的服务属性,包括协议、源端口和目的端口,可以引用系统预定义服务、已定义的服务对象或服务对象组,any表示服务为任意。
7)动作:对符合匹配条件的数据流执行的动作,ACCEPT为允许,DENY为拒绝,IPSEC为ipsec加密,SSL-VPN为sslvpn加密。
8)记录允许流量:选中此复选框可以在防火墙策略中启用流量日志功能。
9)NAT:是否启用源NAT(SNAT)
10)启用基于用户的认证策略:是否开启用户上网认证策略
11)UTM:是否开启UTM相关应用防护功能
12)流量控制:选中此复选框可以在防火墙策略中启用流量控制功能,对策略中指定的流进行服务质量保证。详细配置参见"限速"章节。
FortiGate安全策略说明的更多相关文章
- FortiGate 硬件加速
FortiGate 硬件加速 来源 https://wenku.baidu.com/view/07749195a1c7aa00b52acb63.html 硬件加速 来源 https://blog.cs ...
- Windows Server 2008 R2常规安全设置及基本安全策略
这篇文章主要介绍了Windows Web Server 2008 R2服务器简单安全设置,需要的朋友可以参考下 用的腾讯云最早选购的时候悲催的只有Windows Server 2008 R2的系统,原 ...
- 【第三篇】ASP.NET MVC快速入门之安全策略(MVC5+EF6)
目录 [第一篇]ASP.NET MVC快速入门之数据库操作(MVC5+EF6) [第二篇]ASP.NET MVC快速入门之数据注解(MVC5+EF6) [第三篇]ASP.NET MVC快速入门之安全策 ...
- securityPolicy与安全策略等级配置
securityPolicy配置节是定义一个安全策略文件与其信任级别名称之间的映射的集合.配置如下所示 其中name是指定映射到策略文件的命名的安全级别,一般的值有Full,Hight,Medium, ...
- Linux多安全策略和动态安全策略框架演示验证方案及结果分析
3演示验证方案及结果分析3.1演示验证方案3.1.1验证目标该方案主要用于验证采用Flask体系结构实现的SELinux对系统的防护过程及相应的防护原理.3.1.2验证环境操作系统:启用了SELinu ...
- 公众平台调整SSL安全策略 不再支持SSLv2、SSLv3版本
昨天夜间,微信团队发布重要安全策略调整,将关闭掉SSLv2.SSLv3版本支持,不再支持部分使用SSLv2. SSLv3或更低版本的客户端调用.请仍在使用这些版本的开发者于11月30日前尽快修复升级. ...
- WIN2003使用IP安全策略只允许指定IP远程桌面连接
一,新建IP安全策略 WIN+R打开运行对话框,输入gpedit.msc进入组策略编辑器. 依次打开“本地计算机”策略--计算机配置--Windows设置--安全设置--IP安全策略,在 本地计算机上 ...
- 添加IP安全策略 远离系统Ping漏洞的威胁
懂得网络的人对于Ping这个最基本的网络命令一定很熟悉,它是一个非常好用的TCP/IP工具.它可以向你提供的地址发送一个小的数据包,然后侦听这台机器是否有“回答”.你可以使用机器的 Internet ...
- 修改安全策略组 -- windows
1.新建安全策略组文件SAMTool.inf md C:\SAMLog & echo [Version] >C:\SAMLog\SAMTool.inf &echo signatu ...
随机推荐
- maven整合ssh框架笔记
具体工程会上传文件sshpro <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:x ...
- poj2279——Mr. Young's Picture Permutations
Description Mr. Young wishes to take a picture of his class. The students will stand in rows with ea ...
- Maven项目中在properties 中使用 ${} 来引用pom文件中的属性
比如在pom文件中定义了属性如下: <jdbc.host.global>127.0.0.1</jdbc.host.global> <jdbc.databasename.g ...
- laravel路由别名
在定义路由时使用数组键 as 指定路由名称: Route::get('user/profile', ['as' => 'profile', function () { // }]); 另外,还可 ...
- C# 数据库
连接: using System; using System.Collections.Generic; using System.Linq; using System.Text; using Syst ...
- Hbase Filter过滤器查询详解
过滤器查询 引言:过滤器的类型很多,但是可以分为两大类——比较过滤器,专用过滤器 过滤器的作用是在服务端判断数据是否满足条件,然后只将满足条件的数据返回给客户端: hbase过滤器的比较运算符: LE ...
- python中list列表的方法len()
作用:返回列表中元素的个数. 用法: len(list)
- css零碎知识点小结
1.单行文字溢出显示省略号: div{ width: 200px; overflow: hidden; text-overflow:ellipsis; white-space: nowrap; } 2 ...
- Ubuntu 14.10 下安装Ambari
安装ambari有两种方式,一是自己下载源码编译,另外一个是使用公共仓库 1 使用Public Respositories Step1: Download the Ambari repository ...
- 全面了解Ngnix的主要应用的场景
前言 本文只针对 Nginx 在不加载第三方模块的情况能处理哪些事情,由于第三方模块太多所以也介绍不完,当然本文本身也可能介绍的不完整,毕竟只是我个人使用过和了解到过得.所以还请见谅,同时欢迎留言交流 ...