諾頓關(guān)閉防火墻(諾頓防護軟件)

發(fā)布時間：2024-03-05

本文主要介紹諾頓關(guān)閉防火墻(諾頓防護軟件)，下面一起看看諾頓關(guān)閉防火墻(諾頓防護軟件)相關(guān)資訊。
1.1什么是防火墻？
防火墻是一種網(wǎng)絡(luò)安全設(shè)備，通常位于網(wǎng)絡(luò)邊界，用于隔離不同安全級別的網(wǎng)絡(luò)，保護一個網(wǎng)絡(luò)免受另一個網(wǎng)絡(luò)的攻擊和入侵。這種 隔離 不是統(tǒng)一的，而是受控隔離，允許合法流量通過防火墻，禁止非法流量通過防火墻。
如圖1.1所示，防火墻位于企業(yè)互聯(lián)網(wǎng)出口處，用于保護內(nèi)部網(wǎng)絡(luò)安全。可以在防火墻上指定規(guī)則，允許10.1.1.0/24網(wǎng)段的pc訪問互聯(lián)網(wǎng)，禁止互聯(lián)網(wǎng)用戶訪問ip地址為192.168.1.2的內(nèi)網(wǎng)主機。
1.1
從上面可以看出，防火墻不同于路由器和交換機。路由器用于連接不同的網(wǎng)絡(luò)，通過路由協(xié)議保證互聯(lián)互通，保證消息轉(zhuǎn)發(fā)到目的地；交換機通常用于組建局域網(wǎng)，作為局域網(wǎng)通信的重要樞紐，通過2/3層交換快速轉(zhuǎn)發(fā)消息；防火墻主要部署在網(wǎng)絡(luò)邊界，控制網(wǎng)絡(luò)內(nèi)外的訪問行為，安全防護是其核心特性。路由器和交換機的本質(zhì)是轉(zhuǎn)發(fā)，防火墻的本質(zhì)是控制。
防火墻控制網(wǎng)絡(luò)流量的實現(xiàn)主要取決于安全區(qū)域和安全策略，下面將詳細介紹。
1.2接口和安全區(qū)域
如上所述，防火墻用于隔離不同安全級別的網(wǎng)絡(luò)，那么防火墻如何識別不同的網(wǎng)絡(luò)呢？答案是安全區(qū)。通過將防火墻的每個接口劃分為不同的安全區(qū)域，接口連接的網(wǎng)絡(luò)被劃分為不同的安全級別。必須將防火墻上的接口添加到安全區(qū)域(某些型號的獨立管理端口除外)來處理流量。
安全區(qū)的設(shè)計理念可以減少網(wǎng)絡(luò)攻擊面。一旦劃分了安全區(qū)域，除非管理員指定合法的訪問規(guī)則，否則流量不能在安全區(qū)域之間流動。如果網(wǎng)絡(luò)被入侵，攻擊者只能訪問同一安全區(qū)域的資源，把損失控制在比較小的范圍。因此，建議通過安全區(qū)域?qū)W(wǎng)絡(luò)進行細分。
接口加入安全區(qū)域意味著連接到接口的網(wǎng)絡(luò)加入安全區(qū)域，而不是接口本身。接口、網(wǎng)絡(luò)和安全區(qū)域之間的關(guān)系如圖1.2所示。
1.2
防火墻的安全區(qū)域根據(jù)不同的安全級別分為1到100的安全級別，數(shù)字越大，安全級別越高。默認情況下，防火墻中有四個安全區(qū)域:信任、dmz、不信任和本地。管理員還可以自定義安全區(qū)域，以實現(xiàn)更精細的控制。例如，某企業(yè)按照圖13劃分防火墻的安全區(qū)域，內(nèi)網(wǎng)接口添加到信任安全區(qū)域，外網(wǎng)接口添加到不信任安全區(qū)域，服務器區(qū)域接口添加到dmz安全區(qū)域，為訪客區(qū)域定制名為guest的安全區(qū)域。
一個界面只能添加一個安全區(qū)域，并且一個安全區(qū)域下可以添加多個接口。
1.3
上圖中有一個特殊的安全區(qū)域local，最高安全等級為100。local代表防火墻本身，在本地不能添加任何接口，但是防火墻上的所有接口本身都隱式屬于本地。防火墻發(fā)送的所有消息都可以認為是從本安全區(qū)域發(fā)送的，防火墻接收的所有消息(非轉(zhuǎn)發(fā)的消息)都可以認為是本安全區(qū)域接收的。
除了物理接口，防火墻還支持邏輯接口，如子接口、vlanif、隧道接口等。這些邏輯接口在使用時也需要添加到安全區(qū)域。
1.3安全政策
如上所述，防火墻通過規(guī)則控制流量，這些規(guī)則被稱為 安全政策和在防火墻上。安全策略是防火墻產(chǎn)品的一個基本概念和核心功能，防火墻通過安全策略提供安全管理和控制能力。
如圖14所示，安全策略由匹配條件、動作和內(nèi)容安全配置文件組成，可以對允許的流量進一步進行防病毒、防入侵等內(nèi)容安全檢測。
1.4網(wǎng)絡(luò)和網(wǎng)絡(luò)界面
所有匹配條件都是安全策略中的可選配置；但是，一旦配置完成，所有匹配條件都必須得到滿足，才被認為是匹配的，也就是說，這些匹配條件之間的關(guān)系是 和 。如果在匹配條件中配置了多個值，則多個值之間存在or關(guān)系。只要流量與任何一個值匹配，就認為條件匹配。
安全策略中的匹配條件越具體，它描述的流量就越準確?？梢灾皇褂梦逶M(源/目的ip地址、端口、協(xié)議)作為匹配條件，也可以利用防火墻的應用識別和用戶識別能力，更加準確、便捷地配置安全策略。
穿墻安全策略和局部安全策略
通過防火墻的流量、防火墻發(fā)送的流量和防火墻接收的流量都由安全策略控制。如圖15所示，內(nèi)網(wǎng)pc不僅需要telnet登錄防火墻管理設(shè)備，還需要通過防火墻訪問互聯(lián)網(wǎng)。此時，您需要分別為這兩種流量配置安全策略。
1.5穿墻安全策略和本地安全策略
特別是，讓 我們來談談本地安全策略，即與本地域相關(guān)的安全策略。在上面的例子中，位于信任域中的pc登錄到防火墻，并為信任配置安全策略以訪問本地；另一方面，如果防火墻主動訪問其他安全領(lǐng)域的對象，比如防火墻向日志服務器上報日志，防火墻連接安全中心升級特征庫等。，有必要將本地的安全策略配置到其他安全區(qū)域。記住防火墻本身是一個本地安全區(qū)域，接口加入的安全區(qū)域代表接口連接的網(wǎng)絡(luò)屬于這個安全區(qū)域，這樣就可以區(qū)分防火墻本身和外部網(wǎng)絡(luò)的域間關(guān)系。
默認安全策略和安全策略列表
有防火墻默認安全策略是default，默認情況下禁止所有域間通信。默認策略始終位于策略列表的底部，不能刪除。
用戶創(chuàng)建的安全策略按照創(chuàng)建的順序從上到下排列。默認情況下，新創(chuàng)建的安全策略位于策略列表的底部，在默認策略之前。防火墻收到流量后，會根據(jù)安全策略列表從上到下進行匹配。一旦安全策略成功匹配，匹配將停止，流量將根據(jù)安全策略指定的操作進行處理。如果所有手動創(chuàng)建的安全策略不匹配，將使用默認策略。
可以看出，安全策略列表的順序是影響策略是否如預期匹配的關(guān)鍵，創(chuàng)建新的安全策略后往往需要手動調(diào)整順序。
企業(yè)中某服務器的地址為10.1.1.1，允許ip段為10.2.1.0/24的辦公區(qū)域訪問該服務器，并配置了安全策略policy1。運行一段時間后，需要禁止兩臺臨時辦公電腦(10.2.1.1，10.2.1.2)訪問服務器。
此時，新配置的安全區(qū)域策略policy2位于policy1下面。因為policy1的地址范圍覆蓋了policy2的地址范圍，所以policy2永遠不會匹配。
您需要手動將策略2調(diào)整到策略1的頂部，調(diào)整后的安全策略如下:
因此，在配置安全策略時，先注意準確性，再注意通用性。如果添加了新的安全策略，請注意現(xiàn)有安全策略的順序，如果不符合預期，請對其進行調(diào)整。
了解更多諾頓關(guān)閉防火墻(諾頓防護軟件)相關(guān)內(nèi)容請關(guān)注本站點。