- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-安全策略
本章節下載: 01-安全策略 (314.21 KB)
本幫助主要介紹以下內容:
· 特性簡介
¡ 安全策略的名稱
¡ 安全策略加速功能
¡ 安全策略組
¡ 策略導入導出功能
· 故障處理
· 配置指南
¡ 配置思路
¡ 配置安全策略
¡ 配置安全策略組
¡ 配置安全策略
¡ 配置策略組
¡ 策略導入導出功能
安全策略通過指定源/目的安全域、源IP/MAC地址、目的IP地址、服務、應用、用戶和時間段等過濾條件匹配出特定的報文,並根據預先設定的策略動作對此報文進行處理;若報文未匹配上任何策略,則丟棄該報文。當安全策略中未配置過濾條件時,則該策略將匹配所有報文。
設備上可以配置多個安全策略,每個策略均由名稱和類型兩類要素唯一標識。
安全策略中可同時配置多種過濾條件,具體包括:源安全域、目的安全域、源IP/MAC地址、目的IP地址、用戶、應用、服務和時間段等。一條策略被匹配成功的條件是:策略中已配置的所有過濾條件必須均被匹配成功。
一類過濾條件中可以配置多個匹配項,比如一類過濾條件中可以指定多個目的安全域。一類過濾條件被匹配成功的條件是:過濾條件的任何一個匹配項被匹配成功即可。
設備上可以配置多個安全策略,設備缺省按照策略的創建順序對報文進行匹配,先創建的先匹配。因此,首先需要將規劃的所有策略按照“深度優先”的原則(即控製範圍小的、條件細化的在前,範圍大的在後)進行排序,然後按照此順序配置每一個安全策略。
安全策略加速功能用來提高安全策略的匹配速度。當有大量用戶同時通過設備新建連接時,若設備上包含大量的安全策略,可以開啟此功能提高策略的匹配速度,保證網絡通暢;若不開啟此功能,策略匹配的過程將會很長,導致用戶建立連接的時間超長。
開啟安全策略加速功能後,加速功能僅對開啟加速之前的策略生效,之後新增或修改的策略隻能進行慢速匹配。使用激活策略的加速功能可以使後續新增或修改策略的加速功能生效。激活策略的加速功能包括如下方式:
· 手動激活:是指新增或修改規則後,手動單擊<立即加速>按鈕使這些策略立即加速。
· 自動激活:是指設備按照固定時間間隔進行周期性判斷是否需要安全策略加速,在一個時間間隔內若安全策略的過濾條件發生變化,則間隔時間到達後會進行安全策略加速,否則,不會進行加速。當每種類型安全策略小於等於100條時,此時間間隔為2秒;當每種類型安全策略大於100條時,此時間間隔為20秒。這種方式能夠避免因忘記手工激活策略而導致新增或修改策略不生效的問題。
安全策略組可以實現對安全策略的批量操作,例如批量啟用、禁用、刪除和移動安全策略。將安全策略加入安全策略組時,會將指定範圍內若幹連續的安全策略加入同一個安全策略組。
隻有當安全策略及其所屬的安全策略組均處於啟用狀態時,安全策略才能生效。
安全策略導入導出功能主要用於實現安全策略配置的快速遷移。
導出功能,既可以一次性導出安全策略及其引用對象的配置;也可以單獨導出某一具體模塊的配置。
導入功能,以增量方式向當前配置文件中寫入導入的配置,並會對重複的配置進行覆蓋。導入過程中如果某條配置寫入失敗,則停止導入,且已成功寫入的配置無法回退。導入文件的格式必須為.cfg。
關於安全策略實際應用中常見故障的處理辦法,請參見“安全策略故障處理聯機幫助”。
安全策略功能的配置思路如下圖所示:
圖-1 安全策略配置指導圖
安全策略的具體配置步驟如下:
1. 選擇“策略 > 安全策略 > 安全策略”。
2. 在“安全策略”頁麵單擊<新建>按鈕,選擇新建策略,進入“新建安全策略”頁麵。
3. 新建安全策略,具體配置內容如下表所示:
表-1 安全策略配置參數表
|
參數 |
說明 |
|
名稱 |
表示安全策略的名稱,同一類型安全策略的名稱不能相同 |
|
自動命名 |
開啟此功能後,係統將會對此安全策略進行自動命名。且源/目的安全域隻能分別選擇一個 |
|
源安全域 |
配置源安全域作為安全策略的過濾條件 |
|
目的安全域 |
配置目的安全域作為安全策略的過濾條件 |
|
類型 |
安全策略包括IPv4和IPv6兩種類型 |
|
所屬策略組 |
將此策略加入目標安全策略組 |
|
描述信息 |
通過配置描述信息,便於管理員快速理解和識別此安全策略的作用 |
|
動作 |
安全策略動作包括如下: · 允許:表示對符合安全策略過濾條件的報文進行允許通過處理 · 拒絕:表示對符合安全策略過濾條件的報文進行阻斷處理 |
|
源IP/MAC地址 |
配置源IP地址或源MAC地址作為安全策略的過濾條件,源MAC地址過濾條件僅IPv4類型的安全策略支持 |
|
目的IP地址 |
配置目的IP地址作為安全策略的過濾條件 |
|
服務 |
配置服務作為安全策略的過濾條件 |
|
應用 |
配置應用或應用組作為安全策略的過濾條件 |
|
用戶 |
配置身份識別用戶作為安全策略的過濾條件 |
|
時間段 |
配置安全策略生效的時間段 |
|
VRF |
配置VPN實例作為安全策略的過濾條件 |
|
內容安全 |
若內容安全中引用了相關策略,則會對符合安全策略過濾條件的報文進行相應的DPI(Deep Packet Inspection,深度報文檢測)業務處理 |
|
記錄日誌 |
開啟記錄日誌功能後,對符合安全策略過濾條件的報文記錄日誌信息 |
|
開啟策略匹配統計 |
開啟此功能後,對符合安全策略過濾條件的報文進行數據統計 |
|
會話老化時間 |
若策略中配置了會話老化時間,則匹配了該策略且進入穩定狀態的會話需要遵循策略中配置的老化時間進行老化 若策略中未配置會話老化時間,則該會話基於會話管理模塊中配置的老化時間進行老化 |
|
長連接老化時間 |
若策略中配置了長連接老化時間,則匹配了該策略且進入穩定狀態的長連接會話需要遵循策略中配置的長連接老化時間進行老化 若策略中未配置長連接老化時間,則該長連接會話基於會話管理模塊中配置的長連接老化時間進行老化 |
|
啟用策略 |
選擇開啟後,此安全策略才能生效 |
4. 單擊<確定>按鈕,新建安全策略成功,並會在安全策略頁麵中顯示。
5. 在“安全策略”頁麵,單擊第一個<立即加速>按鈕,立即激活這些策略的加速功能。
安全策略組的具體配置步驟如下:
1. 選擇“策略 > 安全策略 > 安全策略”。
2. 在“安全策略”頁麵單擊<新建>按鈕,選擇新建策略組,進入“新建安全策略組”頁麵。
3. 新建安全策略組,具體配置內容如下表所示:
表-2 安全策略組配置參數表
|
參數 |
說明 |
|
名稱 |
表示安全策略組的名稱 |
|
描述信息 |
通過配置描述信息,便於管理員快速理解和識別此安全策略組的作用 |
|
類型 |
表示將哪種類型的安全策略加入安全策略組,安全策略包括IPv4和IPv6兩種類型 |
|
開始策略 |
表示加入安全策略組策略的起始策略的名稱 將安全策略加入安全策略組時,起始策略要在結束策略前麵,並且起始策略和結束策略之間的策略不能屬於其他安全策略組。 |
|
結束策略 |
表示加入安全策略組策略的結束策略的名稱 |
4. 單擊<確定>按鈕,新建安全策略組成功,並會在安全策略頁麵中顯示。
· 安全策略隻支持在相同IP類型的策略之間進行移動。
· 新建安全策略時,會將該策略放在相同IP類型策略的下麵。
· 安全策略引用的地址對象組和服務對象組內容為空時,則此安全策略不會與任何報文匹配成功。有關對象組的詳細介紹請參見“對象組聯機幫助”。
· 激活安全策略的加速功能時,即使對新增和修改的安全策略加速失敗,也不影響之前已加速成功的策略。
· 安全策略中引用對象組的內容發生變化後,也需要重新激活該策略的加速功能。
· 安全策略中配置的會話老化時間優先級高於會話老化時間設置中配置的會話老化時間。
· 在跨VLAN模式Bridge轉發的應用場景中,策略匹配統計功能僅統計安全策略和內容安全丟棄的報文,不統計安全策略和內容安全允許通過的報文。
· 源MAC地址過濾條件僅IPv4類型的安全策略支持。
· 在多Context應用場景中,配置非缺省Context的內容安全業務前,必須先激活缺省Context的應用層檢測引擎。可通過在缺省Context的安全策略頁麵單擊<提交>按鈕,激活缺省Context的應用層檢測引擎。
· 配置策略所屬的策略組後,其會被添加到該策略組的最後位置。
· 刪除策略所屬的策略組屬性時:若該策略是原策略組的起始策略,則此策略會放在策略組的前麵。若其位於原策略組的其他位置,則此策略會放在策略組的後麵。
· 不允許移動空策略組,也不允許將策略組移動至空策略組前後。
· 不允許將策略組移動至其他策略組的起始策略後/結束策略前以及中間策略前後。
· 移動策略到其他策略組的策略前後,其會自動加入該策略組。
· 設備僅支持導出自定義應用和自定義安全域,不支持導出預定義的應用和安全域。
· 設備僅支持對導出的配置進行導入。
· 導出安全域和VRF時,隻導出安全域或VRF的配置,不導出其與接口的綁定關係。因此,導入安全域或VRF配置後,請繼續配置其與接口的綁定關係。
· 導出安全策略時,隻導出安全策略的配置,不導出安全策略引用對象的具體配置。
· 同一時刻隻允許一個用戶進行導入導出操作。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
