- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-安全域配置
本章節下載: 01-安全域配置 (292.85 KB)
管理員將安全需求相同的接口進行分類,並劃分到不同的安全域(Security Zone),能夠實現安全控製策略的統一管理。
安全域特性包括如下基本概念:
· 安全域:是一個邏輯概念,用於管理安全防護設備上安全需求相同的多個接口。
· 缺省安全域:當首次創建安全域或者域間策略時,係統會自動創建以下缺省安全域:Local、Trust、DMZ(Demilitarized Zone,隔離區)、Management和Untrust。缺省安全域不能被刪除。
· DMZ:指代一個邏輯上和物理上都與內部網絡和外部網絡分離的區域。通常部署網絡時,將那些需要被公共訪問的設備(如Web server、FTP server等)放置於此。
創建安全域後,設備上各接口的報文轉發遵循以下規則:
· 一個安全域中的接口與一個不屬於任何安全域的接口之間的報文,會被丟棄。
· 屬於同一個安全域的各接口之間的報文缺省會被丟棄。
· 安全域之間的報文由域間策略進行安全檢查,並根據檢查結果放行或丟棄。若域間策略不存在或不生效,則報文會被丟棄。
非安全域的接口之間的報文是否被丟棄,請以security-zone no-zone default命令的配置情況為準。
· 目的地址或源地址為本機的報文,缺省會被丟棄,若該報文與域間策略匹配,則由域間策略進行安全檢查,並根據檢查結果放行或丟棄。
傳統防火牆的安全控製策略配置通常是基於報文入接口、出接口的,進入和離開接口的流量基於接口上指定方向的策略規則進行過濾。這種基於接口的策略配置方式需要為每一個接口配置安全控製策略,給網絡管理員帶來配置和維護上的負擔。隨著防火牆技術的發展,防火牆已經逐漸擺脫了隻連接外網和內網的角色,出現了內網/外網/DMZ的模式,並且向著提供高端口密度服務的方向發展。基於安全域來配置安全控製策略的方式可以解決上述問題。
如圖1-1所示,域間策略是一種基於安全域實現對報文流的檢查,並根據檢查結果對報文執行相應動作的域間策略。一個安全域中,可以包含多個成員。例如,可以將公司安全防護設備上連接到內網的接口作為成員加入安全域Trust,連接Internet的接口作為成員加入安全域Untrust,這樣管理員隻需要部署這兩個安全域之間的域間策略即可。如果後續網絡環境發生了變化,則隻需要調整相關安全域內的接口,而域間策略不需要修改。
域間策略包括:包過濾、ASPF、對象策略和安全策略。管理員可以根據不同的應用場景,選擇不同的域間策略對報文進行轉發控製。其中包過濾、ASPF和對象策略是基於安全域間實例進行配置,安全策略是基於全局進行配置。
包過濾功能是根據報文的五元組(源IP地址、源端口號、目的IP地址、目的端口號、傳輸層協議)實現對報文在不同安全域之間的轉發進行控製。有關包過濾功能的詳細介紹,請參見“ACL和QoS配置指導”中的“ACL”。
如圖1-2所示,若希望隻允許市場部員工可以訪問Internet網頁,而財務部的員工不可以訪問Internet網頁,則需要在邊界設備的Trust和Untrust安全域之間的兩個方向上均應用包過濾策略。策略中需要配置兩條規則rule-1和rule-2,保證市場部的員工可以訪問Internet網頁。默認策略可以禁止財務部員工訪問Internet網頁。
ASPF(Advanced Stateful Packet Filter,高級狀態包過濾)可以對已放行報文進行信息記錄,使已放行報文的回應報文在應用了包過濾策略的安全域之間可以正常通過。有關ASPF的詳細介紹,請參見“安全配置指導”中的“ASPF”。
如圖1-3所示,為了保護內部網絡,可以在邊界設備的Trust到Untrust安全域方向上應用包過濾策略和ASPF策略,隻允許市場部的員工訪問Internet網頁,同時拒絕Untrust網絡中的主機訪問Trust網絡。但是包過濾策略會將用戶發起連接後返回的報文過濾掉,導致連接無法正常建立。利用ASPF功能可以解決此問題。默認策略可以禁止財務部員工訪問Internet網頁。
圖1-3 ASPF示意圖
對象策略基於全局進行配置,基於安全域間實例進行應用。在安全域間實例上應用對象策略可實現對報文的檢查,並根據檢查結果允許或拒絕其通過。有關對象策略的詳細介紹,請參見“安全配置指導”中的“對象策略”。
如圖1-4所示,若希望隻允許市場部的員工可以訪問Internet網頁,但禁止其瀏覽淘寶網,則需要配置圖1-4中的對象策略,並將對象策略應用在Trust到Untrust安全域間實例上。默認策略可以禁止財務部員工訪問Internet網頁。
安全策略基於全局配置和全局生效,不需要被引用。安全策略不僅可以徹底替代包過濾和對象策略,還可以基於用戶和應用對報文進行轉發控製,並可以對符合過濾條件的報文進行DPI(Deep Packet Inspection,深度報文檢測)檢測。有關安全策略的詳細介紹,請參見“安全配置指導”中的“安全策略”。
如圖1-5所示,在安全策略中配置rule-1和rule-2基於用戶和應用實現隻允許市場部的員工可以訪問Internet網頁,但禁止其瀏覽淘寶網;並對市場部員工訪問網頁的內容進行深度檢測,防止黑客入侵。默認策略可以禁止財務部員工訪問Internet網頁。
通過1.2.2 域間策略分類中對包過濾、ASPF、對象策略和安全策略各個功能的簡單介紹和對比,可以發現安全策略具有如下優勢:
· 不僅可以通過五元組對報文進行控製,還可以基於用戶來區分不同部門的員工,使網絡管理更加靈活和可視。
· 可以有效區分協議(如HTTP協議)上承載的不同應用(如基於網頁的遊戲、視頻和購物),使網絡管理更加精細和準確。
· 可以通過在安全策略中引用DPI業務,實現對報文內容的深度檢測,有效阻止病毒和黑客的入侵。
· 安全策略功能與對象策略功能在設備上不能同時使用,首次進入安全策略視圖後,對象策略功能立即失效。
· 當安全策略與包過濾策略同時配置時,因為安全策略對報文的處理在包過濾之前,報文與安全策略規則匹配成功後,不再進行包過濾處理,所以請合理配置安全策略和包過濾策略,否則可能會導致配置的包過濾策略不生效。
安全域配置任務如下:
(1) 創建安全域
(2) 向安全域中添加成員
(3) 創建安全域間實例
(4) (可選)配置安全域內接口間報文處理的缺省動作
(5) (可選)配置非安全域接口間報文處理的缺省動作
(6) (可選)在安全域間實例上開啟SLB虛服務IP過濾功能
(1) 進入係統視圖。
system-view
(2) 創建安全域,並進入安全域視圖。
security-zone name zone-name
缺省情況下,存在安全域Local、Trust、DMZ、Management和Untrust。
創建安全域後,需要給安全域添加成員。安全域的成員類型包括:
· 三層接口,包括三層以太網接口、三層以太網子接口和其它三層邏輯接口。配置該成員後,該接口收發的所有報文將由安全域下配置的域間策略來處理。
· 二層接口和VLAN。配置該成員後,該接口收發的、攜帶了指定VLAN Tag的報文,將由安全域下配置的域間策略來處理。
· IPv4子網。配置該成員後,係統會判斷報文的源和目的IPv4地址是否屬於該子網範圍,如果屬於,則將交給安全域下配置的域間策略來處理。
· IPv6子網。配置該成員後,係統會判斷報文的源和目的IPv6地址是否屬於該子網範圍,如果屬於,則將交給安全域下配置的域間策略來處理。
· 服務鏈。配置該成員後,攜帶指定服務鏈的報文,將會安全域下配置的域間策略來處理。
當報文根據不同成員類型,匹配到不同安全域時,匹配優先順序從高到低依次為服務鏈->IP子網->接口及VLAN,匹配過程中,當匹配到某一成員類型後,將不再繼續往下匹配。
(1) 進入係統視圖。
system-view
(2) 進入安全域視圖。
security-zone name zone-name
(3) 向安全域中添加成員。請至少選擇其中一項進行配置。
¡ 向安全域中添加三層接口成員。
import interface layer3-interface-type layer3-interface-number
缺省情況下,安全域中不存在三層接口成員。
可以通過多次執行本命令,向安全域中添加多個三層接口成員。
¡ 向安全域中添加二層接口和VLAN成員。
import interface layer2-interface-type layer2-interface-number vlan vlan-list
缺省情況下,安全域中不存在二層接口和VLAN成員。
可以通過多次執行本命令,向安全域中添加多個二層接口和VLAN成員。
¡ 向安全域中添加IPv4子網成員。
import ip ip-address { mask-length | mask } [ vpn-instance vpn-instance-name ]
缺省情況下,安全域中不存在IPv4子網成員。
可以通過多次執行本命令,向安全域中添加多個IPv4子網成員。
¡ 向安全域中添加IPv6子網成員。
import ipv6 ipv6-address prefix-length [ vpn-instance vpn-instance-name ]
缺省情況下,安全域中不存在IPv6子網成員。
可以通過多次執行本命令,向安全域中添加多個IPv6子網成員。
¡ 向安全域中添加服務鏈成員。
import service-chain path path-id [ reversed ]
缺省情況下,安全域中不存在服務鏈成員。
可以通過多次執行命令,向安全域中添加多個服務鏈成員。需要區分服務鏈的正向報文與反向報文分別添加安全域。
安全域間實例用於指定域間策略(如包過濾策略、ASPF策略、對象策略等)需要檢測的業務流的源安全域和目的安全域,它們分別描述了經過網絡設備的業務流的首個數據包要進入的安全域和要離開的安全域。在安全域間實例上應用域間策略可實現對指定的業務流進行域間策略檢查。
有具體安全域的安全域間實例的匹配優先級高於any到any的安全域間實例。
Management和Local安全域間之間的報文缺省被允許。
Management和Local安全域間之間的報文隻能匹配Management與Local安全域之間的安全域間實例。
當安全域間實例上同時應用了對象策略和包過濾策略時,對象策略的優先級高於包過濾策略。
(1) 進入係統視圖。
system-view
(2) 創建安全域間實例,並進入安全域間實例視圖。
zone-pair security source { source-zone-name | any } destination { destination-zone-name | any }
對於同一安全域內接口間的報文,若設備上不存在當前域到當前域的域間策略,則設備缺省會將其丟棄,可以通過配置安全域內接口間報文處理的缺省動作允許或拒絕其通過。
(1) 進入係統視圖。
system-view
(2) 配置同一安全域內接口間報文處理的缺省動作。
¡ 配置缺省動作為允許。
security-zone intra-zone default permit
¡ 配置缺省動作為拒絕。
undo security-zone intra-zone default permit
缺省情況下,同一安全域內報文過濾的缺省動作為拒絕。
(1) 進入係統視圖。
system-view
(2) 配置非安全域接口間報文處理的缺省動作。
security-zone no-zone default { deny | permit }
非安全域接口間報文處理的缺省動作與設備的型號有關,具體請參見命令參考。
在SLB(Server Load Balance,服務器負載均衡)與安全域間實例包過濾功能配合使用的場景中,對於外部網絡訪問內部網絡的流量,設備收到報文後,會先進行報文目的地址轉換,即將報文中的虛服務IP轉換為實服務器IP,再根據包過濾策略對報文進行處理。
缺省情況下,包過濾功能使用實服務器IP進行報文目的地址匹配,當需要通過虛服務IP進行報文目的地址匹配時,則需要開啟虛服務IP過濾功能。關於包過濾功能的相關配置,請參考“ACL和QoS配置指導”中的“ACL”。
(1) 進入係統視圖。
system-view
(2) 在安全域間實例上開啟SLB虛服務IP過濾功能。
zone-pair vsip-filter enable
缺省情況下,安全域間實例SLB虛服務地址過濾功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後安全域的相關信息,通過查看顯示信息驗證配置的效果。
|
操作 |
命令 |
|
顯示安全域信息,包括預定義的和自定義的安全域信息 |
display security-zone [ name zone-name ] |
|
顯示已創建的所有安全域間實例的信息 |
display zone-pair security |
某公司以Device作為網絡邊界安全防護設備,連接公司內部網絡和Internet。公司隻對內部提供Web服務,不對外提供這些服務。現需要在設備上部署安全域,並基於以下安全需求進行域間策略的配置。
· 與接口GigabitEthernet1/0/1相連的公司內部網絡屬於可信任網絡,部署在Trust安全域,可以自由訪問Web服務器和外部網絡。
· 與接口GigabitEthernet1/0/3相連的外部網絡屬於不可信任網絡,部署在Untrust安全域,不能訪問公司內部網絡和Web服務器。
· 與接口GigabitEthernet1/0/2相連的Web server、FTP server部署在DMZ安全域,可以被Trust安全域的主機自由訪問,但不允許訪問處於Trust域的公司內部網絡。
圖1-6 安全域基本組網配置組網圖
(1) 配置接口IP地址、路由保證網絡可達,具體配置步驟略。
(2) 將接口加入安全域
# 向安全域Trust中添加接口GigabitEthernet1/0/1。
<Device> system-view
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
# 向安全域DMZ中添加接口GigabitEthernet1/0/2。
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/2
[Device-security-zone-DMZ] quit
# 向安全域Untrust中添加接口GigabitEthernet1/0/3。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/3
[Device-security-zone-Untrust] quit
(3) 配置ACL
# 配置ACL 3500,定義規則:允許IP流量。
[Device] acl advanced 3500
[Device-acl-ipv4-adv-3500] rule permit ip
[Device-acl-ipv4-adv-3500] quit
(4) 配置域間策略
# 創建源安全域Trust到目的安全域Untrust的安全域間實例,並在該安全域間實例上應用包過濾,可以拒絕Untrust域用戶對Trust的訪問,但Trust域用戶訪問Untrust域以及返回的報文可以通過。
[Device] zone-pair security source trust destination untrust
[Device-zone-pair-security-Trust-Untrust] packet-filter 3500
[Device-zone-pair-security-Trust-Untrust] quit
# 創建源安全域Trust到目的安全域DMZ的安全域間實例,並在該安全域間實例上應用包過濾,可以拒絕DMZ域用戶對Trust的訪問,但Trust域用戶訪問DMZ域以及返回的報文可以通過。
[Device] zone-pair security source trust destination dmz
[Device-zone-pair-security-Trust-DMZ] packet-filter 3500
[Device-zone-pair-security-Trust-DMZ] quit
以上配置完成後,內網主機可訪問外部網絡以及DMZ安全域內的Web服務器資源。外部網絡向內部網絡和DMZ安全域主動發起的連接請求將被拒絕。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
