什么是安全策略？

安全策略的产生背景

传统的防火墙包过滤策略基于报文入接口、出接口配置。在复杂组网环境中，这种配置方式需要为每个接口单独配置防护策略，给网络管理员带来极大负担，同时增加了因配置不当引入安全风险的概率。

图1 基于接口的包过滤

引入安全域概念后，安全管理员将安全需求相同的接口或IP地址划分到同一安全域，实现策略分层管理。管理员只需部署各安全域间的防护策略即可实现各安全域间的流量控制。网络变更时仅需调整相关安全域内的接口，无需修改防护策略，既简化了维护复杂度，又实现了网络业务和安全业务的分离。

图2 安全域的划分

随着网络复杂度提升，安全域数量不断增加，而传统包过滤、对象策略等域间策略需要为每两个安全域单独创建域间实例才能应用访问规则，导致配置工作量呈几何级增长。为此，一体化安全策略采用创新的“基于安全域”配置模式，管理员只需在策略中直接指定源/目的安全域即可自动建立域间访问规则，无需逐对创建实例。同时，一体化安全策略还支持IP地址、应用类型等多维度精细过滤，并整合DPI深度检测能力，既实现了“一次配置、全域生效”的高效管理，又确保了访问控制的精确性，有效解决了大规模网络环境下的安全管控难题。

图3 基于全局应用的一体化智能安全策略

安全策略的优势

与包过滤、对象策略相比，安全策略具有如下优势：

• 与包过滤相比，安全策略不仅可以通过五元组控制报文，还能区分协议（如HTTP）上承载的不同应用（如网页游戏、视频和购物），使网络管理更精细准确。

• 与对象策略相比，安全策略可以基于用户、终端、地区、URL过滤分类等属性控制报文，使网络管理更灵活。

• 通过在安全策略中引用DPI业务，可实现对报文内容的深度检测，有效阻止病毒和黑客入侵。

• 安全策略基于全局配置并生效，无需应用到域间或接口，配置灵活简洁。

• 安全策略扩展了自动部署、冗余分析、命中分析、宽泛策略分析等易用性功能，帮助管理员快速配置精细合理的安全策略。

• 安全策略支持应用风险调优，可对已配置策略进行风险分析并一键自动调优消除风险。

安全策略如何运作？

安全策略的报文处理机制

如图4所示举例中，安全策略包含如下基本元素：

• 安全策略规则：安全策略对报文的控制是通过安全策略规则实现的，规则中可以设置匹配报文的过滤条件、处理报文的动作和对报文内容进行深度检测等功能。

• 过滤条件：每条规则中均可以配置多种过滤条件，包括源安全域、目的安全域、源IP地址/地区/地区组/MAC地址、目的IP地址/地区/地区组、用户/用户组、应用/应用组、终端/终端组、URL过滤分类、VPN和服务。同一规则下的多类过滤条件之间是“且”的关系，即所有过滤条件都匹配成功，才会成功匹配该规则。

• 匹配项：每种过滤条件中（除VPN外）均可以配置多个匹配项，比如源安全域过滤条件中可以指定多个源安全域。同类过滤条件下的多个匹配项之间是“或”的关系，即只需匹配到某一个匹配项，就会成功匹配该过滤条件。

• 动作：当报文与某条安全策略规则的过滤条件匹配成功后，将执行该规则所配置的动作，包括放行和丢弃。

图4 安全策略基本元素关系举例

如图5所示，安全策略对报文的处理过程如下：

(1) 将报文的属性信息与安全策略规则中的每类过滤条件（其中用户/用户组、应用/应用组、终端/终端组、源地区/地区组/IP地址/MAC地址、目的地区/地区组/IP地址分别为一类过滤条件）中的匹配项进行匹配，若与任意一项匹配成功，则与该过滤条件匹配成功；若所有匹配项都匹配失败，则与该过滤条件匹配失败。

(2) 若报文与某条规则中的所有过滤条件都匹配成功，则与该规则匹配成功。若任一条件不匹配，则匹配失败并继续下一条规则匹配。若所有规则均未匹配成功，则丢弃报文。

(3) 若报文与某条规则匹配成功，则结束匹配过程并执行规则配置的动作。

ο 若动作为“丢弃”，则设备丢弃此报文；

ο 若动作为“允许”，则设备继续第4步处理；

(4) 若引用了DPI业务，则进行深度安全检测；否则直接允许报文通过。

图5 安全策略的报文处理流程图

安全策略的报文识别原理

安全策略支持识别丰富的报文属性类型，包括：源/目的安全域、源/目的IP地址、源MAC地址、用户/用户组、应用/应用组、终端/终端组、地区/地区组、URL过滤分类、VPN实例和服务。

对于这些丰富的报文属性类型，安全策略是如何进行识别的呢？下面将对其进行一一介绍。

源/目的安全域

安全域是一个逻辑概念，是对一类具有共同特点的网络区域进行的逻辑划分。例如，我们可以将设备的某些接口划分到一个安全域，或者将某些网段划分到一个安全域。当报文的源或目的属于某个安全域时，就可以在安全策略规则中配置源/目的安全域，对该报文进行匹配和控制。安全域的成员类型包括：

• 三层接口：包括三层以太网接口、三层以太网子接口和其他三层逻辑接口。在某个安全域下添加三层接口类型成员后，接口连接的网络区域将属于该安全域。

• 二层接口和VLAN：在某个安全域下添加二层接口和VLAN类型成员后，接口连接的并属于指定VLAN的网络区域将属于该安全域。

• VLAN：在某个安全域下添加VLAN类型成员后，指定VLAN的网络区域将属于该安全域。

• IPv4子网：在某个安全域下添加IPv4子网类型成员后，指定IPv4子网的网络区域将属于该安全域。

• IPv6子网：在某个安全域下添加IPv6子网类型成员后，指定IPv6子网的网络区域将属于该安全域。

• 服务链：在某个安全域下添加服务链类型成员后，指定服务链的网络区域将属于该安全域。

当报文根据不同成员类型，匹配到不同安全域时，匹配优先顺序从高到低依次为服务链->IP子网->接口及VLAN。当报文匹配到某一成员类型后，将不再继续往下匹配。

说明

•配置安全域成员的属性仅在本设备上生效，设备本身属于Local安全域，且Local安全域不能添加成员。

源/目的IP地址

当报文的源/目的IP地址在安全策略规则配置的源/目的IP地址范围内时，可对该报文进行匹配和控制。

源MAC地址

源MAC地址即报文发送端的MAC地址。根据不同情况，设备获知报文源MAC的方式如下：

• 若发送端和设备处于同一广播域，则设备上会存在发送端的ARP表项，从而根据报文源IP地址从ARP表项中获取报文的源MAC地址。

• 若发送端和设备处于不同广播域，跨越三层网关相连，则需要在设备上配置跨三层MAC学习功能，向发送端的网关设备获取所有ARP表项信息，从而根据报文源IP地址对比ARP表项获知报文源MAC地址。

用户/用户组

设备首先需要建立用户和IP地址或MAC地址的映射关系，然后再通过报文的源IP地址或MAC地址查找报文所属的用户。设备识别报文所属的用户有两种方式：

• 当网络接入用户完成身份验证并成为在线用户，设备会记录在线用户的用户名和IP地址、MAC地址等信息，并与本地的身份识别用户账户和身份识别用户组进行关联，实现IP地址或MAC地址和用户的映射，即动态在线身份识别用户。

• 管理员也可以直接配置用户和IP地址或MAC地址的映射关系，以便无需认证的网络接入用户使用，即静态在线身份识别用户。

用户组即用户的集合，管理员可以将多个用户加入到一个用户组中进行批量配置和层级式管理。

由此可知IP地址/MAC地址，用户与用户组之间的关系如图6所示。

图6 IP地址与用户/用户组关系图

123

当安全策略配置了用户/用户组过滤条件，则设备会根据报文的源IP地址查找用户/用户组与IP地址的映射关系表，判断报文所属的用户/用户组，从而基于用户/用户组对报文进行控制。

应用/应用组

安全策略对报文应用/应用组的匹配基于APR（Application Recognition，应用识别）功能实现，先由APR完成对报文所属应用及应用组的识别，然后再由安全策略规则通过应用/应用组对报文进行控制。

设备对应用的识别支持两种方式：PBAR（Port Based Application Recognition，基于端口的应用识别）和NBAR（Network Based Application Recognition，基于内容特征的应用识别）。

PBAR根据端口与应用的映射关系识别出报文所属的应用，并支持以下类型的映射关系：

• 预定义的端口与应用的映射关系：由系统预先定义，管理员可以根据实际需求进行修改。

• 自定义的端口与应用的映射关系：由管理员创建。

根据与应用进行映射的对象范围的不同，PBAR提供以下映射机制来维护和使用自定义的端口与应用映射关系：

• 通用端口映射：对于所有报文，建立自定义端口号和应用的映射关系。例如：将53222端口映射为BitTorrent应用，这样所有目的端口是53222的报文将被识别为BitTorrent应用。

• 主机端口映射：为去往某些特定范围内主机的报文建立自定义端口号和应用的映射。例如：将目的地址为10.110.0.0/16网段且使用53222端口的报文映射为BitTorrent应用报文。主机范围可以通过配置ACL或者指定主机地址、网段来确定。主机端口映射还可以细分为如下类型：

ο 基于ACL的主机端口映射：对于匹配指定ACL的报文，建立端口号与应用的映射关系；

ο 基于网段的主机端口映射：对于目的地址为指定网段的报文，建立端口号与应用的映射关系；

ο 基于IP地址的主机端口映射：对于目的地址为指定IP地址的报文，建立端口号与应用的映射关系。

以上端口映射配置对于同一个报文的生效优先级从高到低依次为：基于IP地址、基于网段、基于ACL、通用。

NBAR提取应用报文的特征，通过将报文内容与特征库中的规则进行匹配来识别报文所属的应用。

NBAR支持两种类型的应用：

• 预定义应用：由设备上的APR特征库中的NBAR规则定义。

• 自定义应用：由管理员手工配置的NBAR规则定义。

终端/终端组

当终端流量（例如摄像头和各类传感器等向管理端发送采集到的数据）流经设备时，设备可以提取出终端信息（例如终端的厂商、型号、MAC地址等），并与特征库进行对比，以识别发送报文的终端，进而通过安全策略对指定终端发送的报文进行控制。

终端组即终端的集合，管理员可以将多个终端加入到一个终端组中进行批量管理。

地区/地区组

报文经过设备时，设备将通过报文中的源/目的IP地址获知该报文的来源地区和目的地区。IP地址与地区的映射关系既可以从特征库获取，也可以由管理员手动配置。

地区包括预定义地区、自定义地区和未知地区：

• 预定义地区：通过设备中的地区特征库定义，包括国家、省和城市。

• 自定义地区：用户手动创建的地区，可用于表示预定义地区之外的其他地区范围，如县/区、乡镇、街道等。通过将对应的IP地址加入自定义地区视图的方式实现。

• 未知地区：是特征库中一种特殊的地区类型，用于存放不确定所属地区的IP地址。

地区组即地区的集合，管理员可以将多个地区加入到一个地区组中进行批量管理。

图7 地区识别

URL过滤分类

URL过滤分类可以通过文本或正则表达式对URL中的主机名和URI进行匹配，从而将具有相似特征的URL进行归类。URL过滤分类的来源有两种：

• 预定义分类：根据设备中的URL过滤特征库自动生成，包含一些常见类型的URL类别。

• 自定义分类：由管理员手动配置，并添加URL匹配规则。

若用户访问的URL属于某个URL过滤分类，则可通过配置安全策略匹配该URL过滤分类对相应报文进行控制。

VPN实例

VPN实例又称为VRF（Virtual Routing and Forwarding，虚拟路由和转发）实例。安全策略可根据报文入接口所属的VPN实例对报文进行控制。

服务

安全策略可获取报文中的协议号、TCP/UDP/SCTP协议的源端口/目的端口、ICMP协议的消息类型/消息码等字段，再根据安全策略规则中的服务过滤条件对报文进行匹配和控制。

安全策略有哪些高级功能？

策略自动部署

若用户首次部署设备，对网络流量或安全策略功能不够了解，无法配置合理的安全策略，此时可借助安全策略自动部署功能，自动完成安全策略配置。安全策略自动部署功能首先学习经过设备的业务流量，学习完成后，根据流量报文属性自动生成对应的安全策略，从而放行合法的业务流量。

在学习阶段，系统将通过深度分析流量特征，包括协议类型、源/目的IP地址、源/目的安全域、端口号等，建立一个完整的流量模型。一旦学习完成，系统将生成初步的安全策略。用户可以在可视化界面中查看这些自动生成的策略，并根据实际需求进行调整和优化。

安全策略自动部署功能为用户在首次设备部署时提供了极大的便利。通过自动学习和动态调整，用户能够在复杂的网络环境中有效实现安全防护，降低人为配置错误的风险，同时确保业务的持续稳定运行。

图8 安全策略自动部署

策略冗余分析

安全策略冗余分析可以通过分析安全策略中的过滤条件识别出冗余的策略，从而达到精简策略的目的。

设备会将高优先级的策略依次与低优先级的策略进行遍历比较，符合以下任一情况即判定为冗余：

• 所有过滤条件完全相同的安全策略，则低优先级的安全策略会被认定为冗余。

• 安全策略A的所有过滤条件被安全策略B完全包含，且安全策略A的优先级低于安全策略B，则安全策略A会被认定为冗余。

如图9所示举例中，Policy3的过滤条件被Policy1完全包含且优先级低于Policy1，则Policy3为冗余策略。

图9 冗余策略

策略冗余分析可以在没有流量经过设备时进行分析，因此该功能可以在安全策略配置完成后立即进行。在冗余分析结果中修改安全策略配置后，设备会自动再次进行策略冗余分析，以便使冗余分析结果更加准确。

策略命中分析

安全策略命中分析功能可以分析出指定时间段内的安全策略是否被命中过，并将未命中的安全策略按照从高到低的优先级顺序进行呈现，以帮助管理员对设备上的安全策略进行深度分析和处理。

只要符合如下两种情况中的任意一种，则认为策略未命中：

• 流量不符合安全策略的过滤条件。

• 安全策略之间存在深度冗余，例如IP地址和用户的冗余、应用和服务的冗余等。这样仅高优先级的策略会被命中，而低优先级的策略不会被命中。

如图10所示举例中，策略C未命中任何报文，则说明策略C可能存在冗余或不符合网络需求，需要对其过滤条件进行调整。

图10 策略命中分析

宽泛策略分析

在配置安全策略时，一般建议配置严谨、细粒度的安全策略规则，以达到报文的精细化控制。但当无法确定需要放行或阻断的报文属性时，只能先配置较宽泛的报文匹配规则以保证业务的正常转发。此时可以开启规则学习功能，对匹配安全策略规则的报文进行学习并记录报文属性。然后查看学习结果，从而根据学习结果筛选、分析需要放行或阻断的报文属性，制定更精细化的安全策略。

在学习过程中，系统会自动捕获和分析经过设备的所有相关流量，包括源地址、目的地址、端口号、协议类型等信息。这一过程不仅有助于识别合法的业务流量，还能揭示潜在的异常活动和攻击模式。通过持续地学习和数据收集，系统能够建立起一个动态的流量基线，以便于后续的策略调整。

学习完成后，用户可以通过可视化界面查看详细的学习结果。这些数据可以帮助用户更好地理解网络中流量的正常状态，从而识别出哪些流量是必要的，哪些可能是恶意的或不必要的。

基于学习结果，用户可以制定和部署更为细致的安全策略，在实施新的安全策略后，依然可以保留规则学习功能，以便于实时监控新流量模式并进行动态调整。通过这种迭代过程，企业能够不断优化其安全策略，提升防护能力，降低安全风险。

如图11所示举例中，配置宽泛的安全策略导致非法报文4匹配到策略A执行了放行动作，经过宽泛策略分析后，自动生成精细化的安全策略配置，非法报文4匹配到策略D执行了丢弃动作，避免了非法报文成为漏网之鱼。

图11 宽泛策略分析实现策略精细化

应用风险调优

应用风险调优功能通过应用层检测引擎智能地分析安全策略允许通过的流量中存在的潜在风险，为设备中所有安全策略的安全系数进行总体评估。总体安全评分越高表示安全策略的安全系数越高，相反评分越低表示存在的风险越大。

基于评估结果，用户可以获得详细的安全报告，其中包括每个安全策略的风险评分、潜在风险的具体描述以及建议的改进措施。用户可以根据这些信息，优先处理高风险策略，进行相应的调整和优化。例如，如果某个策略的评分较低，用户可以考虑加强该策略的防护，配置深度报文检测，以减少潜在的攻击面。

此外，应用风险调优功能还提供了实时反馈机制。当新的威胁被识别或网络环境发生变化时，系统会即时更新安全评分并通知用户。这种动态的风险评估能力使得企业能够迅速响应新出现的安全挑战，从而降低被攻击的风险。

为了进一步提升安全性，用户还可以结合其他DPI安全功能，例如入侵检测与防御系统等，形成多层次的防护体系。通过集成各类安全工具的评估结果，企业可以获得完整的安全感知，确保在复杂的网络环境中保持高效的安全防护。

应用风险调优功能不仅能够提供全面的安全策略评估，还能为用户提供切实可行的改进建议，帮助企业在不断变化的网络安全环境中，持续优化其安全策略，提升整体的安全防护能力。

如图12和图13所示举例中，设备分析安全策略配置存在风险，并提供调优方案。用户可选择自动批量调优，也可以针对单个策略手动进行配置调优，通过完善安全策略配置消除网络潜在风险。

图12 应用风险调优前

图13 应用风险调优后

哪些情况下需要配置安全策略？

本设备需被其他设备访问

当其他设备与本设备的非管理接口连接（管理口默认放通流量，无需配置安全策略），并需要进行如下操作时：

• 访问该设备的服务，如对本设备进行Ping、Telnet、访问Web页面或FTP服务等。

• 向本设备发起协议连接请求，如动态路由协议、VPN隧道建立等。

缺省情况下本设备会丢弃收到的报文，此时必须配置安全策略，放行访问本设备的相应报文。如图14所示。

图14 本设备需被其他设备访问

以位于Trust安全域的PC（10.1.1.10）通过HTTPS协议访问设备（10.1.1.1）的Web管理界面为例，需要配置如下安全策略规则。

表1 允许PC访问本设备Web的安全策略规则

本设备需访问其他设备

当本设备的非管理接口与其他设备连接，并需要进行如下操作时：

• 访问其他设备的服务，如对其他设备进行Ping、Telnet或访问FTP服务等。

• 向其他设备发起协议连接请求，如动态路由协议、VPN隧道建立等。

缺省情况下本设备会丢弃发出的报文，此时必须配置安全策略，放行本设备发出的相应报文。如图15所示。

图15 本设备需访问其他设备

以本设备（10.1.1.1）访问位于Trust安全域的FTP Server（10.1.1.20）的FTP服务为例，需要配置如下安全策略规则。

表2 允许本设备访问FTP Server的安全策略规则

流量由本设备转发

对于仅需要本设备进行转发的流量，即报文的源和目的均非本设备，缺省情况下本设备会丢弃报文，此时必须配置安全策略，放行经过本设备的相应报文。如图16所示。

图16 流量由本设备转发

以位于Trust安全域的PC（10.1.1.10）通过HTTP协议访问位于Untrust安全域的外网网站为例，需要配置如下安全策略规则。

表3 允许PC访问外网网站的安全策略规则

安全策略的典型应用场景有哪些？

企业内部控制各部门业务流量场景

企业内部多个部门之间通过安全设备实现互连，通过配置安全策略可实现各部门间业务流量控制，如限制某些部门访问服务器资源或访问外网某些应用。

图17 企业内部控制各部门业务流量

企业出口NAT组网控制流量场景

企业出口部署了安全设备，并配置了NAT地址转换，通过配置安全策略可实现IP地址的正常转换和报文正常转发，并限制内网主机访问外网某些应用以及阻拦外网非法报文进入企业内网。

图18 企业出口NAT组网

企业多站点间IPsec VPN组网控制流量场景

企业总部和分部间建立一条IPsec VPN隧道，在该组网场景下，需要配置安全策略可保证IPsec隧道正常建立以及数据流正常转发，并阻拦外网非法报文进入企业内网。

图19 企业多站点间IPsec VPN组网

不想错过文章内容？读完请加个“关注”，您的支持是我创作的动力