- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
02-安全策略配置
本章節下載: 02-安全策略配置 (468.57 KB)
目 錄
安全策略是根據報文的屬性信息對報文進行轉發控製和DPI(Deep Packet Inspection,深度報文檢測)深度安全檢測的防控策略。
與包過濾、對象策略相比,安全策略具有如下優勢:
· 與包過濾相比,安全策略不僅可以通過五元組對報文進行控製,還可以有效區分協議(如HTTP協議)上承載的不同應用(如基於網頁的遊戲、視頻和購物),使網絡管理更加精細和準確。
· 與對象策略相比,安全策略可以基於用戶對報文進行控製,使網絡管理更加靈活和可視。
· 可以通過在安全策略中引用DPI業務,實現對報文內容的深度檢測,有效阻止病毒和黑客的入侵。
有關包過濾的詳細介紹,請參見“ACL和QoS配置指導”中的“ACL”;有關對象策略的詳細介紹,請參見“安全配置指導”中的“對象策略”。
安全策略對報文的控製是通過安全策略規則實現的,規則中可以設置匹配報文的過濾條件,處理報文的動作和對於報文內容進行深度檢測等功能。
安全策略中的每條規則都由唯一的名稱和編號標識。名稱必須在創建規則時由用戶手工指定;而編號既可以手工指定,也可以由係統自動分配。
每條規則中均可以配置多種過濾條件,具體包括:源安全域、目的安全域、源IP地址、源MAC地址、目的IP地址、用戶、用戶組、應用、應用組、VPN和服務。每種過濾條件中(除VPN外)均可以配置多個匹配項,比如源安全域過濾條件中可以指定多個源安全域等。
規則基於會話對報文進行處理。規則允許報文通過後,設備會創建與此報文對應的會話表項,用於記錄有關此報文的相關信息。
安全策略規則觸發創建的會話,不僅可以根據報文的協議狀態或所屬的應用設置會話的老化時間,還可以基於規則設置會話的老化時間。規則中設置的會話老化時間優先級高於會話管理模塊設置的會話老化時間。有關會話的詳細介紹,請參見“安全配置指導”中的“會話管理”。
安全策略對報文的處理流程如圖1-1所示:
安全策略對報文的處理過程如下:
(1) 將報文的屬性信息與過濾條件中的匹配項進行匹配。每種過濾條件的多個匹配項之間是或的關係,即報文與某一個過濾條件中的任意一項匹配成功,則報文與此過濾條件匹配成功;若報文與某一個過濾條件中的所有項都匹配失敗,則報文與此過濾條件匹配失敗。
(2) 若報文與某條規則中的所有過濾條件都匹配成功(用戶與用戶組匹配一項即可,應用與應用組匹配一項即可,源IP地址與源MAC地址匹配一項即可),則報文與此條規則匹配成功。若有一個過濾條件不匹配,則報文與此條規則匹配失敗,報文繼續匹配下一條規則。以此類推,直到最後一條規則,若報文還未與規則匹配成功,則設備會丟棄此報文。
(3) 若報文與某條規則匹配成功,則結束此匹配過程,並對此報文執行規則中配置的動作。
¡ 若規則的動作為“丟棄”,則設備會丟棄此報文;
¡ 若規則的動作為“允許”,則設備繼續對報文做第4步處理;
(4) 若引用了DPI業務,則會對此報文進行DPI深度安全檢測;若未引用DPI業務,則直接允許此報文通過。
安全策略加速功能用來提高安全策略規則的匹配速度。當有大量用戶同時通過設備新建連接時,若安全策略內包含大量規則,此功能可以提高規則的匹配速度,保證網絡通暢;若安全策略加速功能失效,則匹配的過程將會很長,導致用戶建立連接的時間超長,同時也會占用係統大量的CPU資源。
安全策略加速功能生效後,加速功能僅對此功能生效之前的規則生效,且報文僅匹配已加速成功的規則,不匹配未加速的規則。使用激活規則的加速功能可以使後續新增或修改規則的加速功能生效。激活規則的加速功能包括如下方式:
· 手動激活:是指新增或修改規則後,手動執行命令使這些規則立即加速。
· 自動激活:是指設備按照固定時間間隔進行周期性判斷是否需要安全策略加速,在一個時間間隔內若安全策略的過濾條件發生變化,則間隔時間到達後會進行安全策略加速,否則,不會進行加速。當每種類型安全策略規則小於等於100條時,此時間間隔為2秒;當每種類型安全策略規則大於100條時,此時間間隔為20秒。這種方式能夠避免出現因忘記手工激活規則,而導致新增或修改規則不生效的問題。
當其他設備與本設備的非管理接口連接,並需要訪問該設備(如對本設備進行Ping、Telnet、訪問Web頁麵或FTP服務等),或者由其他設備首先發起連接請求的各類協議報文交互(如動態路由協議、VPN隧道建立等)。則必須配置安全策略,放行訪問本設備的相應報文,否則將無法成功建立連接。如圖1-2所示。
以位於Trust安全域的PC(10.1.1.10)通過HTTPS協議訪問設備(10.1.1.1)的Web管理界麵為例,需要配置如下安全策略規則。
表1-1 允許PC訪問本設備Web的安全策略規則
|
規則名稱 |
源安全域 |
目的安全域 |
源IP地址 |
目的IP地址 |
服務 |
動作 |
|
httpslocalin |
Trust |
Local |
10.1.1.10 |
10.1.1.1 |
https |
pass |
關於本設備需要配置安全策略放行協議報文的更多介紹,請參見1.4 安全策略放行本機報文。
當本設備的非管理接口與其他設備連接,並需要主動訪問其他設備(如對其他設備進行Ping、Telnet、訪問FTP服務等),或者由本設備首先發起連接的各類協議交互(如動態路由協議、VPN隧道建立等)。則必須配置安全策略,放行本設備發出的相應報文,否則將無法成功建立連接。如圖1-3所示。
以本設備(10.1.1.1)訪問位於Trust安全域的FTP Server(10.1.1.20)的FTP服務為例,需要配置如下安全策略規則。
表1-2 允許本設備訪問FTP Server的安全策略規則
|
規則名稱 |
源安全域 |
目的安全域 |
源IP地址 |
目的IP地址 |
服務 |
動作 |
|
ftplocalout |
Local |
Trust |
10.1.1.1 |
10.1.1.20 |
ftp |
pass |
對於僅需要本設備進行轉發的流量,即經過本設備報文的源和目的均非設備本身,則必須配置安全策略,放行經過本設備的相應報文,否則將無法成功轉發報文。如圖1-4所示。
以位於Trust安全域的PC(10.1.1.10)通過HTTP協議訪問位於Untrust安全域的外網網站為例,需要配置如下安全策略規則。
表1-3 允許PC訪問外網網站的安全策略規則
|
規則名稱 |
源安全域 |
目的安全域 |
源IP地址 |
服務 |
動作 |
|
trust-untrust |
Trust |
Untrust |
10.1.1.10 |
http |
pass |
為了能配置最優的安全策略方案,建議在配置安全策略時遵守如下原則:
· 配置放行報文的安全策略規則時建議采用最小範圍開放原則,即在保證正常業務流量放行的情況下,配置最嚴謹的匹配條件。
· 配置安全策略規則時,請按照“深度優先”的原則(即控製範圍小的、條件細化的在前,範圍大的在後)進行配置。
· 若某個安全域既需要作為源安全域又需要作為目的安全域時,建議分別配置兩條安全策略規則,以保證嚴格控製相同安全域內不同接口之間的報文互訪。否則,此安全域內不同接口之間的流量可以互通。
· 建議將Local安全域相關的安全策略規則放在最前方,以保證本機業務報文能夠正常處理或發送。
當設備接收的報文需要本機處理或本機主動向外部發送報文時,需要配置安全策略放行相應安全域與Local安全域之間的報文互通。需要配置安全策略放行的常見業務(關於這部分業務的支持情況,請以設備實際情況為準)及其方法如表1-4所示。
|
業務名稱 |
Local安全域 |
|
OSPF/IS-IS/RIP/BGP |
作為源安全域和目的安全域分別配置安全策略規則 |
|
IPsec/SSL/L2TP/MPLS/GRE |
作為源安全域和目的安全域分別配置安全策略規則 |
|
DNS/DHCP/FTP(客戶端) |
僅作為源安全域配置安全策略規則 |
|
DNS/DHCP/FTP(服務器) |
僅作為目的安全域配置安全策略規則 |
|
SSH/Telnet/Ping/Tracet(本機發起) |
僅作為源安全域配置安全策略規則 |
|
SSH/Telnet/SNMP/HTTP/HTTPS(訪問本機) |
僅作為目的安全域配置安全策略規則 |
|
BFD |
作為源安全域和目的安全域分別配置安全策略規則 |
|
LB |
作為源安全域和目的安全域分別配置安全策略規則 |
安全域間目前支持通過三種策略控製報文的轉發:包過濾策略、對象策略、安全策略。三種策略建議不要同時配置,否則可能會存在部分策略失效導致業務中斷。
配置安全策略前,請先檢查設備是否存在包過濾策略或對象策略:
(1) 存在包過濾策略:由於安全策略對報文的處理在包過濾策略之前,當報文與安全策略規則匹配成功後,不再進行包過濾處理,可能會導致包過濾策略放行的業務中斷。建議先將包過濾策略轉換為安全策略,具體操作方法請參見1.9 將包過濾策略轉換為安全策略。
· 存在對象策略:由於首次進入安全策略視圖後對象策略功能立即失效,導致對象策略放行的業務中斷。建議先將對象策略轉換為安全策略,具體操作方法請參見1.10 將對象策略轉換為安全策略。
安全策略的基本配置思路如圖1-5所示,在配置安全策略之前需要完成的配置包括:創建安全域、配置接口並加入安全域、配置對象、配置DPI業務。
在配置安全策略之前,需完成以下任務:
· 配置時間段(請參見“ACL和QoS配置指導”中的“時間段”)。
· 配置IP地址對象組和服務對象組(請參見“安全配置指導”中的“對象組”)。
· 配置應用和應用組(請參見“安全配置指導”中的“APR”)。
· 配置用戶和用戶組(請參見“安全配置指導”中的“用戶身份識別與管理”)。
· 配置安全域(請參見“安全配置指導”中的“安全域”)。
· 配置DPI業務(請參見“DPI深度安全配置指導”中的各模塊)。
安全策略配置任務如下:
(1) (可選)將包過濾策略轉換為安全策略
(2) (可選)將對象策略轉換為安全策略
(3) 開啟安全策略功能
(4) 配置安全策略規則
a. 創建安全策略規則
b. 配置規則過濾條件
c. 配置規則動作
d. (可選)配置規則生效時間
e. (可選)配置規則引用DPI應用profile
f. (可選)配置基於規則的會話老化時間
g. (可選)配置規則與Track項聯動
h. (可選)開啟規則記錄日誌功能
i. (可選)開啟規則匹配統計功能
(5) (可選)管理安全策略
a. 移動安全策略規則
b. 激活安全策略加速功能
c. 禁用安全策略規則
當安全策略與包過濾策略同時配置時,報文將優先與安全策略規則匹配,匹配成功後不再進行包過濾處理。所以建議包過濾和安全策略不要同時配置,否則可能會導致包過濾策略放行的業務中斷。
若設備需要配置安全策略,建議先將包過濾策略全部轉換為安全策略。針對不同場景包過濾策略轉換為安全策略的推薦操作方法如下。
若當前設備上僅存在包過濾策略,需要將包過濾策略全部轉換為安全策略,則按照如下過程完成轉換:
(1) 執行security-policy disable命令關閉安全策略功能。
(2) 進入安全策略視圖,按照設備上的包過濾策略配置對應安全策略規則的過濾條件及動作。
(3) 執行undo security-policy disable命令開啟安全策略功能,此時安全策略生效。
(4) (可選)刪除設備上的包過濾策略。
若當前設備上同時存在包過濾策略和安全策略,且均生效,需要將包過濾策略全部轉換為安全策略,推薦優先使用Web方式配置替換包過濾策略的安全策略(可避免包過濾放行的業務中斷)。若通過CLI方式,則按照如下過程完成轉換:
(1) 首先確保當前配置設備的連接不受包過濾策略控製,建議通過設備Console口或Management安全域接口對設備進行配置,避免配置設備的連接中斷,無法繼續配置設備。
(2) 進入安全策略視圖,按照設備上的包過濾策略配置對應安全策略規則的過濾條件及動作。
執行rule [ rule-id ] name rule-name命令創建安全策略規則後(尚未配置過濾條件或動作),新創建的規則會默認匹配所有報文並執行缺省丟棄動作,導致包過濾策略放行的業務中斷。所以需要立即配置規則的過濾條件和動作,以縮短業務中斷時間。並建議在業務較空閑的時間段配置安全策略。
(3) (可選)刪除設備上的包過濾策略。
安全策略與對象策略不能同時生效,當設備配置安全策略時,對象策略會立即失效導致業務中斷,所以首次配置安全策略前,請務必先將對象策略轉換為安全策略。此功能可以將指定配置文件中的所有對象策略規則批量轉換為對應的安全策略規則,從而實現將對象策略快速切換為安全策略的目的,切換後設備對流量的控製效果與切換前保持一致。配置轉換完成後對象策略會被刪除,其與安全域間實例之間的引用關係也會被取消,未被安全域間實例引用的對象策略中的規則,被轉換為安全策略規則後將被置為失效狀態。
· 手動轉換前,請先執行undo security-policy disable命令開啟安全策略功能,並保存配置。
· 手動轉換前,請勿配置安全策略,否則無法進行配置轉換。
· 自動轉換功能僅支持在從不支持安全策略功能的軟件版本升級到支持安全策略的軟件版本的應用場景中使用。
· 在對象策略未進行加速的情況下,若源IP地址或目的IP地址應用的對象組中引用了用戶或用戶組,則轉換為安全策略後,此源IP地址或目的IP地址作為過濾條件會失效。
· 配置轉換時,需要在設備的固定存儲介質(如Flash等)上進行,請勿在設備的非固定存儲介質上(如硬盤等)進行。
在轉換配置前,需要在對象策略配置中做好如下準備:
(1) 請檢查每個對象策略中所有規則的排列順序是否都遵循了“深度優先”的原則。若未遵循,則需按照“深度優先”的原則對這些規則進行重新排序;
(2) 請檢查源安全域是any或目的安全域是any的安全域間實例上是否已引用對象策略。若已引用,則需合理修改對象策略後,刪除這些安全域間實例的配置;
(3) 請檢查每個對象策略是否都已開啟加速功能。若均未開啟,則需開啟所有對象策略的加速功能;
(4) 請檢查配置文件加密功能是否處於開啟狀態。若已開啟,則需關閉配置文件加密功能。
(1) 進入係統視圖。
system-view
(2) 將對象策略配置轉換為安全策略配置。
security-policy switch-from object-policy object-filename security-filename
隻有開啟安全策略功能後,配置的安全策略才能生效。
設備啟動時,如果配置文件中僅存在對象策略,則設備會自動執行security-policy disable命令關閉安全策略功能;如果配置文件中對象策略和安全策略均不存在或存在安全策略,則設備自動開啟安全策略功能。
安全策略功能與對象策略功能在設備上不能同時使用,當安全策略功能處於開啟狀態時,首次進入安全策略視圖後,對象策略功能立即失效。因此在管理員手工逐條將對象策略切換為安全策略時,為避免切換過程中造成業務長期中斷,建議管理員在對象策略切換完成後再開啟安全策略功能。
配置回滾後,如果需要對象策略生效,配置回滾完成後,則建議用戶手工執行security-policy disable命令將安全策略功能關閉。
(1) 進入係統視圖。
system-view
(2) 開啟安全策略功能。
undo security-policy disable
缺省情況下,安全策略功能處於開啟狀態。
security-policy disable命令會直接關閉所有安全策略,可能導致網絡中斷。
缺省情況下安全策略中不存在規則,設備僅允許Management安全域和Local安全域之間的報文通過。因此需要在如下場景中配置安全策略規則:
· 使設備能夠正常處理各安全域之間的報文。
· 當設備接收的報文(如動態路由協議報文、隧道報文和VPN報文等)需要本機處理時,需要配置安全策略規則保證相應安全域與Local安全域之間的報文互通。
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
· undo security-policy { ip | ipv6 }命令會直接刪除所有安全策略配置,可能導致網絡中斷。
· 安全策略功能與對象策略功能在設備上不能同時使用,當對象策略處於生效狀態時,進入安全策略視圖,對象策略功能會立即失效,可能導致網絡中斷。
(3) (可選)配置安全策略的描述信息。
description text
缺省情況下,未配置安全策略的描述信息。
(4) 創建安全策略規則,並進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(5) (可選)配置安全策略規則的描述信息。
description text
缺省情況下,未配置安全策略規則的描述信息。
當安全策略規則中未配置任何過濾條件時,則該規則將匹配所有報文。且由於缺省動作為丟棄,當規則未配置動作時,匹配到該規則的報文將會被丟棄。
若規則中已引用對象組的內容為空,則此規則將不能匹配任何報文。
Management和Local安全域間之間的報文隻能匹配Management與Local安全域之間的安全策略。
安全策略規則中不可配置包含用戶或用戶組的IP地址對象組作為過濾條件,如需過濾用戶,推薦直接在安全策略規則中配置用戶或用戶組作為過濾條件。
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置源過濾條件。
¡ 配置作為安全策略規則過濾條件的源安全域。
source-zone source-zone-name
缺省情況下,未配置源安全域過濾條件。
¡ 配置作為安全策略規則過濾條件的源IP地址對象組。
source-ip object-group-name
缺省情況下,未配置源IP地址對象組過濾條件。
¡ 配置作為安全策略規則過濾條件的源IPv4主機地址。
source-ip-host ip-address
缺省情況下,未配置源IPv4主機地址過濾條件。
¡ 配置作為安全策略規則過濾條件的源IPv4子網地址。
source-ip-subnet ip-address { mask-length | mask }
缺省情況下,未配置源IPv4子網地址過濾條件。
¡ 配置作為安全策略規則過濾條件的源IPv4範圍地址。
source-ip-range ip-address1 ip-address2
缺省情況下,未配置源IPv4範圍地址過濾條件。
¡ 配置作為安全策略規則過濾條件的源MAC地址對象組。
source-mac object-group-name
缺省情況下,未配置源MAC地址對象組過濾條件。
(5) 配置目的過濾條件。
¡ 配置作為安全策略規則過濾條件的目的安全域。
destination-zone destination-zone-name
缺省情況下,未配置目的安全域過濾條件。
¡ 配置作為安全策略規則過濾條件的目的IP地址對象組。
destination-ip object-group-name
缺省情況下,未配置目的IP地址對象組過濾條件。
¡ 配置作為安全策略規則過濾條件的目的IPv4主機地址。
destination-ip-host ip-address
缺省情況下,未配置目的主機IPv4主機地址過濾條件。
¡ 配置作為安全策略規則過濾條件的目的IPv4子網地址。
destination-ip-subnet ip-address { mask-length | mask }
缺省情況下,未配置目的IPv4子網地址過濾條件。
¡ 配置作為安全策略規則過濾條件的目的IPv4範圍地址。
destination-ip-range ip-address1 ip-address2
缺省情況下,未配置目的IPv4範圍地址過濾條件。
(6) 配置作為安全策略規則過濾條件的服務對象組。
service { object-group-name | any }
缺省情況下,未配置服務對象組過濾條件。
(7) 配置作為安全策略規則過濾條件的服務端口。
service-port protocol [ { destination { { eq | lt | gt } port | range port1 port2 } | source { { eq | lt | gt } port | range port1 port2 } } * | icmp-type icmp-code ]
缺省情況下,未配置服務端口過濾條件。
(8) 配置應用類過濾條件。
¡ 配置作為安全策略規則過濾條件的應用。
application application-name
缺省情況下,未配置應用過濾條件。
為使安全策略中配置的應用可以被識別,必須先放行應用所依賴的基礎協議報文。
¡ 配置作為安全策略規則過濾條件的應用組。
app-group app-group-name
缺省情況下,未配置應用組過濾條件。
(9) 配置用戶類過濾條件。
¡ 配置作為安全策略規則過濾條件的用戶。
user username [ domain domain-name ]
缺省情況下,未配置用戶過濾條件。
¡ 配置作為安全策略規則過濾條件的用戶組。
user-group user-group-name [ domain domain-name ]
缺省情況下,未配置用戶組過濾條件。
(10) 配置安全策略規則對入接口指定VPN多實例中的報文有效。
vrf vrf-name
缺省情況下,安全策略規則對公網的報文有效。
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略規則的動作。
action { drop | pass }
缺省情況下,安全策略規則動作是丟棄。
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略規則生效的時間段。
time-range time-range-name
缺省情況下,不限製安全策略規則生效的時間。
通過在安全策略規則中引用DPI應用profile可實現對符合安全策略過濾條件的報文進行DPI相關業務的處理。有關DPI各業務的詳細介紹,請參見“DPI深度安全配置指導”中的相關業務模塊。
此功能僅在安全策略規則動作為允許的情況下才生效。
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略規則的動作為允許。
action pass
缺省情況下,安全策略規則動作是丟棄。
(5) 配置安全策略規則引用DPI應用profile。
profile app-profile-name
缺省情況下,安全策略規則中未引用DPI應用profile。
此功能用來為匹配某條安全策略規則而生成的穩態會話和長連接會話設置老化時間。且此命令的配置僅影響後續生成的會話,對於已經生效的會話不產生作用。
此功能設置的會話老化時間優先級高於會話管理模塊設置的會話老化時間。有關會話管理模塊會話老化時間的詳細介紹,請參見“安全配置指導”中的“會話管理”。
長連接老化時間僅在TCP會話進入穩態(TCP-EST狀態)時生效。長連接會話老化時間優先級高於session aging-time命令配置的會話老化時間
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置基於安全策略規則的會話老化時間。
session aging-time time-value
缺省情況下,未配置基於安全策略規則的會話老化時間。
(5) 配置基於安全策略規則的長連接會話老化時間。
session persistent aging-time time-value
缺省情況下,未配置基於安全策略規則的長連接會話老化時間。
在安全策略中可以配置規則與Track項進行聯動,規則與Track項聯動後,規則的狀態由Track的狀態決定。有關Track的詳細配置請參見“可靠性配置指導”中的“Track”。
配置安全策略規則與Track項的Negative狀態關聯後,當安全策略規則收到Negative狀態的Track通知時,將此規則置為有效狀態(Active),當安全策略規則收到Positive狀態的Track通知時,將此規則置為失效狀態(Inactive)。
配置安全策略規則與Track項的Positive狀態關聯後,當安全策略規則收到Positive狀態的Track通知時,將此規則置為有效狀態(Active),當安全策略規則收到Negative狀態的Track通知時,將此規則置為失效狀態(Inactive)。
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略規則與Track項聯動。
track { negative | positive } track-entry-number
缺省情況下,安全策略規則未與Track項聯動。
開啟此功能後,設備對匹配規則的報文生成安全策略日誌信息,此日誌信息將會被交給信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。有關信息中心的詳細描述,請參見“網絡管理和監控配置指導”中的“信息中心”。
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 開啟對符合過濾條件的報文記錄日誌信息的功能。
logging enable
缺省情況下,對符合過濾條件的報文記錄日誌信息的功能處於關閉狀態。
此功能用來對匹配規則的報文進行統計,可通過執行display security-policy statistics命令來查看相關報文的統計信息。
在跨VLAN模式Bridge轉發的應用場景中,此功能僅統計安全策略和DPI業務丟棄的報文,不統計安全策略和DPI業務允許通過的報文。有關跨VLAN模式Bridge轉發的詳細介紹,請參見“二層技術-以太網交換配置指導”中的“二層轉發”。
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 開啟安全策略規則匹配統計功能。
counting enable
缺省情況下,安全策略規則匹配統計功能處於關閉狀態。
由於安全策略規則缺省按照其被創建的先後順序進行匹配,因此為了使用戶能夠靈活調整規則的匹配順序,可通過本功能來移動規則的位置,從而改變規則的匹配順序。
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
(3) 移動安全策略規則。
move rule rule-id before insert-rule-id
設備上的安全策略加速功能默認開啟,且不能手動關閉。但是激活安全策略規則加速功能時,內存資源不足會導致安全策略加速失效。
安全策略加速失效後,設備無法對報文進行快速匹配,但是仍然可以進行原始的慢速匹配。
安全策略規則中引用對象組的內容發生變化後,也需要重新激活該規則的加速功能。
安全策略規則中指定的IP地址對象組中包含通配符掩碼時,會影響安全策略的匹配速度。
若安全策略規則中指定的IP地址對象組中包含用戶或用戶組,則此條安全策略規則失效,將無法匹配任何報文。
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
(3) 激活安全策略規則的加速功能。
accelerate enhanced enable
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 禁用安全策略規則。
disable
缺省情況下,安全策略規則處於啟用狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示安全策略的配置信息,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除安全策略的統計信息。
|
操作 |
命令 |
|
顯示安全策略的配置信息 |
display security-policy { ip | ipv6 } |
|
顯示安全策略的統計信息 |
display security-policy statistics { ip | ipv6 } [ rule rule-name ] |
|
顯示對象策略轉換為安全策略的轉換結果 |
display security-policy switch-result |
|
清除安全策略的統計信息 |
reset security-policy statistics [ ip | ipv6 ] [ rule rule-name ] |
· 某公司內的各部門之間通過Device實現互連,該公司的工作時間為每周工作日的8點到18點。
· 通過配置安全策略規則,允許總裁辦在任意時間、財務部在工作時間通過HTTP協議訪問財務數據庫服務器的Web服務,禁止其它部門在任何時間、財務部在非工作時間通過HTTP協議訪問該服務器的Web服務。
圖1-6 基於IP地址的安全策略配置組網圖
(1) 配置接口IP地址、路由保證網絡可達,具體配置步驟略
(2) 配置時間段
# 創建名為work的時間段,其時間範圍為每周工作日的8點到18點。
<Device> system-view
[Device] time-range work 08:00 to 18:00 working-day
(3) 配置安全域
# 創建名為database的安全域,並將接口GigabitEthernet1/0/1加入該安全域中。
[Device] security-zone name database
[Device-security-zone-database] import interface gigabitethernet 1/0/1
[Device-security-zone-database] quit
# 創建名為president的安全域,並將接口GigabitEthernet1/0/2加入該安全域中。
[Device] security-zone name president
[Device-security-zone-president] import interface gigabitethernet 1/0/2
[Device-security-zone-president] quit
# 創建名為finance的安全域,並將接口GigabitEthernet1/0/3加入該安全域中。
[Device] security-zone name finance
[Device-security-zone-finance] import interface gigabitethernet 1/0/3
[Device-security-zone-finance] quit
# 創建名為market的安全域,並將接口GigabitEthernet1/0/4加入該安全域中。
[Device] security-zone name market
[Device-security-zone-market] import interface gigabitethernet 1/0/4
[Device-security-zone-market] quit
(4) 配置對象
# 創建名為database的IP地址對象組,並定義其子網地址為192.168.0.0/24。
[Device] object-group ip address database
[Device-obj-grp-ip-database] network subnet 192.168.0.0 24
[Device-obj-grp-ip-database] quit
# 創建名為president的IP地址對象組,並定義其子網地址為192.168.1.0/24。
[Device] object-group ip address president
[Device-obj-grp-ip-president] network subnet 192.168.1.0 24
[Device-obj-grp-ip-president] quit
# 創建名為finance的IP地址對象組,並定義其子網地址為192.168.2.0/24。
[Device] object-group ip address finance
[Device-obj-grp-ip-finance] network subnet 192.168.2.0 24
[Device-obj-grp-ip-finance] quit
# 創建名為market的IP地址對象組,並定義其子網地址為192.168.3.0/24。
[Device] object-group ip address market
[Device-obj-grp-ip-market] network subnet 192.168.3.0 24
[Device-obj-grp-ip-market] quit
# 創建名為web的服務對象組,並定義其支持的服務為HTTP。
[Device] object-group service web
[Device-obj-grp-service-web] service 6 destination eq 80
[Device-obj-grp-service-web] quit
(5) 配置安全策略及規則
# 進入IPv4安全策略視圖。
[Device] security-policy ip
# 製訂允許總裁辦在任意時間通過HTTP協議訪問財務數據庫服務器的安全策略規則,其規則名稱為president-database。
[Device-security-policy-ip] rule 0 name president-database
[Device-security-policy-ip-0-president-database] source-zone president
[Device-security-policy-ip-0-president-database] destination-zone database
[Device-security-policy-ip-0-president-database] source-ip president
[Device-security-policy-ip-0-president-database] destination-ip database
[Device-security-policy-ip-0-president-database] service web
[Device-security-policy-ip-0-president-database] action pass
[Device-security-policy-ip-0-president-database] quit
# 製訂隻允許財務部在工作時間通過HTTP協議訪問財務數據庫服務器的安全策略規則,其規則名稱為finance-database。
[Device-security-policy-ip] rule 1 name finance-database
[Device-security-policy-ip-1-finance-database] source-zone finance
[Device-security-policy-ip-1-finance-database] destination-zone database
[Device-security-policy-ip-1-finance-database] source-ip finance
[Device-security-policy-ip-1-finance-database] destination-ip database
[Device-security-policy-ip-1-finance-database] service web
[Device-security-policy-ip-1-finance-database] action pass
[Device-security-policy-ip-1-finance-database] time-range work
[Device-security-policy-ip-1-finance-database] quit
# 製訂禁止市場部在任何時間通過HTTP協議訪問財務數據庫服務器的安全策略規則,其規則名稱為market-database。
[Device-security-policy-ip] rule 2 name market-database
[Device-security-policy-ip-2-market-database] source-zone market
[Device-security-policy-ip-2-market-database] destination-zone database
[Device-security-policy-ip-2-market-database] source-ip market
[Device-security-policy-ip-2-market-database] destination-ip database
[Device-security-policy-ip-2-market-database] service web
[Device-security-policy-ip-2-market-database] action drop
[Device-security-policy-ip-2-market-database] quit
# 激活安全策略規則的加速功能。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
配置完成後,總裁辦可以在任意時間訪問財務數據庫服務器的Web服務,財務部僅可以在工作時間訪問財務數據庫服務器的Web服務,其他部門任何時間均不可以訪問財務數據庫服務器的Web服務。
某公司由於業務的快速發展,網絡環境也隨之發生了很大變化。為了適用網絡環境的變化,公司需要將設備的軟件版本升級到支持安全策略的軟件版本,同時也需要使用安全策略功能替換原來的對象策略功能。
但是由於設備上已配置大量的對象策略規則,無論將這些對象策略規則一條一條的手動切換為安全策略規則,還是重新設計和配置安全策略規則,這都將是一項非常複雜且耗時耗力的工作。為解決以上問題,可以使用設備提供的對象策略切換功能,將對象策略配置快速切換到對應的安全策略配置。
圖1-7 將對象策略轉換為安全策略配置組網圖
(1) 在將對象策略配置轉換為安全策略配置前,請先按照1.10.3 配置準備中的檢查項,在待轉換的配置文件中逐一排查和更正後,再進行下一步操作
(2) 將設備的軟件版本升級到支持安全策略的軟件版本
(3) 進行配置轉換
# 進入係統視圖。
<Device> system-view
# 將對象策略配置轉換為安全策略配置,待轉換配置文件的名稱為startup.cfg(此處配置文件的名稱僅為舉例,請以實際情況為準)。
[Device] security-policy switch-from object-policy startup.cfg startup_secp.cfg
Configuration switching begins...
Object policies in the specified configuration file have been switched to securi
ty policies.
This command will reboot the device. Continus? [Y/N]:y
[Device]
System is starting...
Press Ctrl+D to access BASIC-BOOTWARE MENU...
Press Ctrl+T to start heavy memory test
# 轉換前的對象策略對流量實現的控製效果為:允許總裁辦在任意時間、財務部在工作時間通過HTTP協議訪問財務數據庫服務器的Web服務,禁止其它部門在任何時間、財務部在非工作時間通過HTTP協議訪問該服務器的Web服務。
· 對象策略的相關配置
# 有關對象策略的配置內容如下:
#
object-group ip address database
0 network subnet 192.168.0.0 255.255.255.0
#
object-group ip address finance
0 network subnet 192.168.2.0 255.255.255.0
#
object-group ip address market
0 network subnet 192.168.3.0 255.255.255.0
#
object-group ip address president
0 network subnet 192.168.1.0 255.255.255.0
#
object-group service web
0 service tcp destination eq 80
#
object-policy ip finance-database
rule 0 pass source-ip finance destination-ip database service web time-range wo
rk
#
object-policy ip market-database
rule 0 drop source-ip market destination-ip database service web
#
object-policy ip president-database
rule 0 pass source-ip president destination-ip database service web
#
security-zone name Local
#
security-zone name Trust
#
security-zone name DMZ
#
security-zone name Untrust
#
security-zone name database
import interface GigabitEthernet1/0/1
#
security-zone name finance
import interface GigabitEthernet1/0/3
#
security-zone name market
import interface GigabitEthernet1/0/4
#
security-zone name president
import interface GigabitEthernet1/0/2
#
zone-pair security source finance destination database
object-policy apply ip finance-database
#
zone-pair security source market destination database
object-policy apply ip market-database
#
zone-pair security source president destination database
object-policy apply ip president-database
#
· 安全策略的相關配置
# 轉換後的安全策略對流量的控製,同樣可以達到原對象策略所控製的效果。
# 轉換完成後安全策略配置內容如下:
#
object-group ip address database
0 network subnet 192.168.0.0 255.255.255.0
#
object-group ip address finance
0 network subnet 192.168.2.0 255.255.255.0
#
object-group ip address market
0 network subnet 192.168.3.0 255.255.255.0
#
object-group ip address president
0 network subnet 192.168.1.0 255.255.255.0
#
object-group service web
0 service tcp destination eq 80
#
security-zone name Local
#
security-zone name Trust
#
security-zone name DMZ
#
security-zone name Untrust
#
security-zone name database
import interface GigabitEthernet1/0/1
#
security-zone name finance
import interface GigabitEthernet1/0/3
#
security-zone name market
import interface GigabitEthernet1/0/4
#
security-zone name president
import interface GigabitEthernet1/0/2
#
zone-pair security source finance destination database
#
zone-pair security source market destination database
#
zone-pair security source president destination database
#
security-policy ip
rule 0 name finance-database-0
action pass
time-range work
source-zone finance
destination-zone database
source-ip finance
destination-ip database
service web
rule 1 name market-database-1
source-zone market
destination-zone database
source-ip market
destination-ip database
service web
rule 2 name president-database-2
action pass
source-zone president
destination-zone database
source-ip president
destination-ip database
service web
#
· 所有的設備都運行OSPF,並將整個自治係統劃分為3個區域。
· 其中Device A和Device B作為ABR來轉發區域之間的路由。
· 配置完成後,每台路由器都應學到AS內的到所有網段的路由。
圖1-8 安全策略保證OSPF鄰接關係建立配置組網圖
(1) 配置各接口的IP地址(略)
(2) 將接口加入安全域
# 進入Untrust安全域,並將接口GigabitEthernet1/0/1加入該安全域中。
<DeviceA> system-view
[DeviceA] security-zone name untrust
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Untrust] quit
# 進入Trust安全域,並將接口GigabitEthernet1/0/2加入該安全域中。
[DeviceA] security-zone name trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-Trust] quit
(3) 配置安全策略
# 進入IPv4安全策略視圖。
[DeviceA] security-policy ip
# 配置名稱為untrust-local的安全策略,使Untrust安全域到Local安全域的報文可通,以保證兩個設備之間可以建立OSPF鄰接關係。
[DeviceA-security-policy-ip] rule 0 name untrust-local
[DeviceA-security-policy-ip-0-untrust-local] source-zone untrust
[DeviceA-security-policy-ip-0-untrust-local] destination-zone local
[DeviceA-security-policy-ip-0-untrust-local] action pass
[DeviceA-security-policy-ip-0-untrust-local] quit
# 配置名稱為local-untrust的安全策略,使Local安全域到Untrust安全域的報文可通,以保證兩個設備之間可以建立OSPF鄰接關係。
[DeviceA-security-policy-ip] rule 1 name local-untrust
[DeviceA-security-policy-ip-1-untrust-local] source-zone local
[DeviceA-security-policy-ip-1-untrust-local] destination-zone untrust
[DeviceA-security-policy-ip-1-untrust-local] action pass
[DeviceA-security-policy-ip-1-untrust-local] quit
# 配置名稱為trust-untrust的安全策略,使Trust安全域到Untrust安全域的報文可通。
[DeviceA-security-policy-ip] rule 2 name trust-untrust
[DeviceA-security-policy-ip-2-trust-untrust] source-zone trust
[DeviceA-security-policy-ip-2-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ip-2-trust-untrust] action pass
[DeviceA-security-policy-ip-2-trust-untrust] quit
# 配置名稱為untrust-trust的安全策略,使Untrust安全域到Trust安全域的報文可通。
[DeviceA-security-policy-ip] rule 3 name untrust-trust
[DeviceA-security-policy-ip-3-untrust-trust] source-zone untrust
[DeviceA-security-policy-ip-3-untrust-trust] destination-zone trust
[DeviceA-security-policy-ip-3-untrust-trust] action pass
[DeviceA-security-policy-ip-3-untrust-trust] quit
[DeviceA-security-policy-ip] quit
(4) 配置OSPF基本功能
[DeviceA] router id 2.2.2.1
[DeviceA] ospf
[DeviceA-ospf-1] area 0
[DeviceA-ospf-1-area-0.0.0.0] network 1.1.1.0 0.0.0.255
[DeviceA-ospf-1-area-0.0.0.0] quit
[DeviceA-ospf-1] area 1
[DeviceA-ospf-1-area-0.0.0.1] network 2.2.2.0 0.0.0.255
[DeviceA-ospf-1-area-0.0.0.1] quit
[DeviceA-ospf-1] quit
(1) 配置各接口的IP地址(略)
(2) 將接口加入安全域
# 進入Untrust安全域,並將接口GigabitEthernet1/0/1加入該安全域中。
<DeviceB> system-view
[DeviceB] security-zone name untrust
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Untrust] quit
# 進入Trust安全域,並將接口GigabitEthernet1/0/2加入該安全域中。
[DeviceB] security-zone name trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceB-security-zone-Trust] quit
(3) 配置安全策略
# 進入IPv4安全策略視圖。
[DeviceB] security-policy ip
# 配置名稱為untrust-local的安全策略,使Untrust安全域到Local安全域的報文可通,以保證兩個設備之間可以建立OSPF鄰接關係。
[DeviceB-security-policy-ip] rule 0 name untrust-local
[DeviceB-security-policy-ip-0-untrust-local] source-zone untrust
[DeviceB-security-policy-ip-0-untrust-local] destination-zone local
[DeviceB-security-policy-ip-0-untrust-local] action pass
[DeviceB-security-policy-ip-0-untrust-local] quit
# 配置名稱為local-untrust的安全策略,使Local安全域到Untrust安全域的報文可通,以保證兩個設備之間可以建立OSPF鄰接關係。
[DeviceB-security-policy-ip] rule 1 name local-untrust
[DeviceB-security-policy-ip-1-untrust-local] source-zone local
[DeviceB-security-policy-ip-1-untrust-local] destination-zone untrust
[DeviceB-security-policy-ip-1-untrust-local] action pass
[DeviceB-security-policy-ip-1-untrust-local] quit
# 配置名稱為trust-untrust的安全策略,使Trust安全域和Untrust安全域之間的報文互通。
[DeviceB-security-policy-ip] rule 2 name trust-untrust
[DeviceB-security-policy-ip-2-trust-untrust] source-zone trust
[DeviceB-security-policy-ip-2-trust-untrust] destination-zone untrust
[DeviceB-security-policy-ip-2-trust-untrust] action pass
[DeviceB-security-policy-ip-2-trust-untrust] quit
# 配置名稱為untrust-trust的安全策略,使Untrust安全域到Trust安全域的報文可通。
[DeviceB-security-policy-ip] rule 3 name untrust-trust
[DeviceB-security-policy-ip-3-untrust-trust] source-zone untrust
[DeviceB-security-policy-ip-3-untrust-trust] destination-zone trust
[DeviceB-security-policy-ip-3-untrust-trust] action pass
[DeviceB-security-policy-ip-3-untrust-trust] quit
[DeviceB-security-policy-ip] quit
(4) 配置OSPF基本功能
[DeviceB] router id 3.3.3.1
[DeviceB] ospf
[DeviceB-ospf-1] area 0
[DeviceB-ospf-1-area-0.0.0.0] network 1.1.1.0 0.0.0.255
[DeviceB-ospf-1-area-0.0.0.0] quit
[DeviceB-ospf-1] area 2
[DeviceB-ospf-1-area-0.0.0.2] network 3.3.3.0 0.0.0.255
[DeviceB-ospf-1-area-0.0.0.2] quit
[DeviceB-ospf-1] quit
# 查看Device A的OSPF鄰居詳細信息。
[DeviceA] display ospf peer verbose
OSPF Process 1 with Router ID 2.2.2.1
Neighbors
Area 0.0.0.0 interface 1.1.1.1(GigabitEthernet1/0/1)'s neighbors
Router ID: 3.3.3.1 Address: 1.1.1.2 GR State: Normal
State: Full Mode: Nbr is master Priority: 1
DR: 1.1.1.1 BDR: 1.1.1.2 MTU: 0
Options is 0x42 (-|O|-|-|-|-|E|-)
Dead timer due in 32 sec
Neighbor is up for 00:07:08
Authentication Sequence: [ 0 ]
Neighbor state change count: 5
BFD status: Disabled
# 查看Device A的OSPF路由信息。
[DeviceA] display ospf routing
OSPF Process 1 with Router ID 2.2.2.1
Routing Table
Routing for network
Destination Cost Type NextHop AdvRouter Area
3.3.3.0/24 2 Inter 1.1.1.2 3.3.3.1 0.0.0.0
2.2.2.0/24 1 Stub 0.0.0.0 2.2.2.1 0.0.0.1
1.1.1.0/24 1 Transit 0.0.0.0 2.2.2.1 0.0.0.0
Total nets: 3
Intra area: 2 Inter area: 1 ASE: 0 NSSA: 0
# Area 1中的主機與Area 2中的主機可以互相Ping通。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
