- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
04-對象策略配置
本章節下載: 04-對象策略配置 (280.74 KB)
目 錄
對象策略基於全局進行配置,基於安全域間實例進行應用。在安全域間實例上應用對象策略可實現對報文流的檢查,並根據檢查結果允許或拒絕其通過。對象策略通過配置對象策略規則實現。有關安全域間實例的詳細介紹和配置,請參見“安全配置指導”中的“安全域”。
一個對象策略中可以包含多條對象策略規則。對象策略規則通過指定對象組來描述報文匹配條件的判斷語句,匹配條件可以是報文的源IP地址、目的IP地址、服務類型、應用和應用組等。設備依照這些規則匹配出特定的報文,並根據規則預先設定的動作對其進行處理。創建規則時可以不指定任何可選條件,則規則對任意報文生效。
一個對象策略中可包含多條規則,每條規則都擁有唯一的編號進行標示,此編號在創建規則時由用戶手工指定或由係統自動分配。在自動分配編號時,係統會將對應對象策略中已使用的最大編號加一作為新的編號,若新編號超出了編號上限(65534),則選擇當前未使用的最小編號作為新的編號。
當一個對象策略中包含多條規則時,報文會按照配置順序與這些規則進行匹配,一旦匹配上某條規則便結束匹配過程。對象策略規則的配置順序可在對象策略視圖下通過display this命令查看,配置順序與規則的創建順序有關,先創建的規則優先進行匹配。同時,也可以通過移動規則的位置來調整規則的配置順序。根據對象策略規則的匹配原理,為使設備上部署的對象策略對流經設備的報文達到更好、更精準的控製效果,需要在配置對象策略規則時遵循“深度優先”的原則,即控製對象精細的先配置,控製對象範圍大的後配置。創建規則時可以不指定任何可選條件,則規則對任意報文生效。
在對基於會話的業務報文(如ASPF等)進行規則匹配時,通常隻對首個報文進行匹配以加快報文的處理速度,但這有時並不足以解決報文匹配的效率問題。譬如,當有大量用戶同時與設備新建連接時,需要對每個新建連接都進行規則匹配,如果對象策略內包含有大量規則,那麼這個匹配過程將很長,這會導致用戶建立連接時間超長,從而影響設備新建連接的性能。
對象策略加速功能則可以解決上述問題,當對包含大量規則的對象策略使能了加速功能之後,其規則匹配速度將大大提高,從而提高了設備的轉發性能以及新建連接的性能。
· 如果配置對象策略規則時指定引用對象組,若該對象組不存在,則該規則將不匹配任何報文。如果配置對象策略規則時不指定引用的對象組,則該規則將匹配任意報文。有關對象組的詳細介紹請參見“安全配置指導”中的“對象組”。
· 在對象策略規則中引用應用和應用組時,請隻引用PBAR(Port Based Application Recognition,基於端口的應用層協議識別)類型的應用。若引用NBAR(Network Based Application Recognition,基於內容特征的應用層協議識別)類型的應用,則此規則不會與任何報文匹配成功。有關PBAR和NBAR的詳細介紹請參見“安全配置指導”中的“APR”。
· 安全域間實例上同種類型的對象策略隻能應用一個,即隻能同時應用一個IPv4對象策略和一個IPv6對象策略。如果安全域間實例已應用同種類型的其他對象策略,則會配置失敗。若要應用新的對象策略,需要先將已經應用的對象策略刪掉。
· 在安全域間實例應用對象策略前需配置zone-pair security命令創建安全域,關於安全域的詳細介紹,請參見“安全命令參考”中的“安全域”。
· 為使一條對象策略規則生效,必須保證所有引用對象的內容不能為空。
IPv4對象策略配置任務如下:
(1) 創建IPv4對象策略
(2) 配置IPv4對象策略規則
(3) 安全域間實例應用IPv4對象策略
(4) (可選)移動IPv4對象策略規則
(5) (可選)開啟IPv4對象策略加速功能
IPv6對象策略配置任務如下:
(1) 創建IPv6對象策略
(2) 配置IPv6對象策略規則
(3) 安全域間實例應用IPv6對象策略
(4) (可選)移動IPv6對象策略規則
(5) (可選)開啟IPv6對象策略加速功能
在配置對象策略規則之前,需完成以下任務:
· 配置時間段,具體請參見“ACL和QoS配置指導”中的“ACL”。
· 配置IP地址對象、IPv6地址對象和服務對象,具體請參見“安全配置指導”中的“對象組”。
(1) 進入係統視圖。
system-view
(2) 創建一個IPv4對象策略,並進入IPv4對象策略視圖。
object-policy ip object-policy-name
(3) (可選)配置對象策略的描述信息。
description text
缺省情況下,未配置對象策略的描述信息。
(1) 進入係統視圖。
system-view
(2) 進入IPv4對象策略視圖。
object-policy ip object-policy-name
(3) 配置對象策略規則。
rule [ rule-id ] { drop | pass | inspect app-profile-name } [ [ source-ip { object-group-name | any } ] [ destination-ip { object-group-name | any } ] [ service { object-group-name | any } ] [vrf vrf-name ] [ application application-name ] [ app-group app-group-name ] [ counting ] [ disable ] [ logging ] [ track [ negative ] track-entry-number ] [ time-range time-range-name ] ] *
(4) 為對象策略規則附加過濾條件。
rule rule-id append { application application-name | app-group app-group-name | destination-ip object-group-name | service object-group-name | source-ip object-group-name }
缺省情況下,不存在規則的附加條件。
(5) (可選)配置對象策略規則的描述信息。
rule rule-id comment text
缺省情況下,未配置對象策略規則的描述信息。
(1) 進入係統視圖。
system-view
(2) 進入安全域間實例視圖。
zone-pair security source source-zone-name destination destination-zone-name
有關此命令的詳細介紹,請參見“安全命令參考”中的“安全域”。
(3) 應用IPv4對象策略。
object-policy apply ip object-policy-name
缺省情況下,安全域間實例內未應用IPv4對象策略規則。
由於對象策略規則是按照配置先後順序進行匹配的,因此為了使用戶能夠靈活調整規則的匹配順序,可通過本配置來移動對象策略規則的位置。
(1) 進入係統視圖。
system-view
(2) 進入IPv4對象策略視圖。
object-policy ip object-policy-name
(3) 移動IPv4對象策略規則。
move rule rule-id before insert-rule-id
當設備的對象策略加速功能處於開啟狀態,設備會按照固定時間間隔進行周期性判斷是否需要對象策略加速,在一個時間間隔內若對象策略的過濾條件發生變化,則間隔時間到達後會進行對象策略加速,否則,不會進行加速。當每種類型對象策略規則小於等於100條時,此時間間隔為2秒;當每種類型對象策略規則大於100條時,此時間間隔為20秒。
對象策略使能加速,資源不足會導致對象策略加速失敗,但是匹配依然生效。
對象策略加速成功後,再去修改或添加新的規則,可能由於資源不足,會導致新的規則加速失敗,規則匹配不生效,但是不影響之前加速成功的規則。
若對象策略規則中指定的IP地址對象組中包含排除地址和通配符掩碼,則會導致此對象策略加速功能失效。
若對象策略規則中指定的IP地址對象組中包含用戶或用戶組,則設備不對該條規則進行加速,且也不會影響已加速成功的規則。
(1) 進入係統視圖。
system-view
(2) 進入IPv4對象策略視圖。
object-policy ip object-policy-name
(3) 開啟IPv4對象策略加速功能。
accelerate
缺省情況下,所有對象策略的加速功能均處於關開啟狀態。
設備上存在大量對象策略規則時,執行此命令可能導致設備提前進入門限狀態,不再進行正常業務處理。
(1) 進入係統視圖。
system-view
(2) 創建一個IPv6對象策略,並進入IPv6對象策略視圖。
object-policy ipv6 object-policy-name
(3) (可選)配置對象策略的描述信息。
description text
缺省情況下,未配置對象策略的描述信息。
(1) 進入係統視圖。
system-view
(2) 進入IPv6對象策略視圖。
object-policy ipv6 object-policy-name
(3) 配置對象策略規則。
rule [ rule-id ] { drop | pass | inspect app-profile-name } [ [ source-ip { object-group-name | any } ] [ destination-ip { object-group-name | any } ] [ service { object-group-name | any } ] [vrf vrf-name ] [ application application-name ] [ app-group app-group-name ] [ counting ] [ disable ] [ logging ] [ track [ negative ] track-entry-number ] [ time-range time-range-name ] ] *
(4) 為對象策略規則附加過濾條件。
rule rule-id append { application application-name | app-group app-group-name | destination-ip object-group-name | service object-group-name | source-ip object-group-name }
缺省情況下,不存在規則的附加條件。
(5) (可選)配置對象策略規則的描述信息。
rule rule-id comment text
缺省情況下,未配置對象策略規則的描述信息。
(1) 進入係統視圖。
system-view
(2) 進入安全域間實例視圖。
zone-pair security source source-zone-name destination destination-zone-name
有關此命令的詳細介紹,請參見“安全命令參考”中的“安全域”。
(3) 應用IPv6對象策略。
object-policy apply ipv6 object-policy-name
缺省情況下,安全域間實例內未應用IPv6對象策略規則。
由於對象策略規則是按照配置先後順序進行匹配的,因此為了使用戶能夠靈活調整規則的匹配順序,可通過本配置來移動對象策略規則的位置。
(1) 進入係統視圖。
system-view
(2) 進入IPv6對象策略視圖。
object-policy ipv6 object-policy-name
(3) 移動IPv6對象策略規則。
move rule rule-id before insert-rule-id
當設備的對象策略加速功能處於開啟狀態,設備會按照固定時間間隔進行周期性判斷是否需要對象策略加速,在一個時間間隔內若對象策略的過濾條件發生變化,則間隔時間到達後會進行對象策略加速,否則,不會進行加速。當每種類型對象策略規則小於等於100條時,此時間間隔為2秒;當每種類型對象策略規則大於100條時,此時間間隔為20秒。
對象策略使能加速,資源不足會導致對象策略加速失敗,但是匹配依然生效。
對象策略加速成功後,再去修改或添加新的規則,可能由於資源不足,導致新的規則加速失敗,規則匹配不生效,但是不影響之前加速成功的規則。
若對象策略規則中指定的IP地址對象組中包含排除地址和通配符掩碼,則會導致此對象策略加速功能失效。
若對象策略規則中指定的IP地址對象組中包含用戶或用戶組,則設備不對該條規則進行加速,且也不會影響已加速成功的規則。
(1) 進入係統視圖。
system-view
(2) 進入IPv6對象策略視圖。
object-policy ipv6 object-policy-name
(3) 開啟IPv6對象策略加速功能。
accelerate
缺省情況下,所有對象策略的加速功能均處於開啟狀態。
設備上存在大量對象策略規則時,執行此命令可能導致設備提前進入門限狀態,不再進行正常業務處理。
在完成上述配置後,在任意視圖下執行display命令可以顯示對象策略的配置信息,通過查看顯示信息驗證配置的效果。
|
配置 |
命令 |
|
顯示對象策略的加速狀態 |
(獨立運行模式) display object-policy accelerate { summary { ip | ipv6 } | verbose { ip object-policy-name | ipv6 object-policy-name } slot slot-number [ cpu cpu-number ] } (IRF模式) display object-policy accelerate { summary { ip | ipv6 } | verbose { ip object-policy-name | ipv6 object-policy-name } chassis chassis-number slot slot-number [ cpu cpu-number ] } |
|
顯示IPv4對象策略的配置信息 |
display object-policy ip [ object-policy-name ] |
|
顯示IPv6對象策略的配置信息 |
display object-policy ipv6 [ object-policy-name ] |
|
顯示指定安全域間實例應用對象策略的配置信息 |
display object-policy zone-pair security [ source source-zone-name destination destination-zone-name ] |
|
顯示指定安全域間實例的統計信息 |
display object-policy statistics zone-pair security source source-zone-name destination destination-zone-name [ ip | ipv6 ] |
· 某公司內的各部門之間通過Device實現互連,該公司的工作時間為每周工作日的8點到18點。
· 通過配置對象策略規則,允許總裁辦在任意時間、財務部在工作時間通過HTTP協議訪問財務數據庫服務器的Web服務,禁止其它部門在任何時間、財務部在非工作時間通過HTTP協議訪問該服務器的Web服務。
圖1-1 對象策略基本組網配置組網圖
(1) 配置接口IP地址、路由保證網絡可達,具體配置步驟略
(2) 配置時間段
# 創建名為work的時間段,其時間範圍為每周工作日的8點到18點。
<Device> system-view
[Device] time-range work 08:00 to 18:00 working-day
(3) 配置安全域
# 創建名為president的安全域,並將接口GigabitEthernet1/0/2加入該安全域中。
[Device] security-zone name president
[Device-security-zone-president] import interface gigabitethernet 1/0/2
[Device-security-zone-president] quit
# 創建名為finance的安全域,並將接口GigabitEthernet1/0/3加入該安全域中。
[Device] security-zone name finance
[Device-security-zone-finance] import interface gigabitethernet 1/0/3
[Device-security-zone-finance] quit
# 創建名為market的安全域,並將接口GigabitEthernet1/0/4加入該安全域中。
[Device] security-zone name market
[Device-security-zone-market] import interface gigabitethernet 1/0/4
[Device-security-zone-market] quit
# 創建名為database的安全域,並將接口GigabitEthernet1/0/1加入該安全域中。
[Device] security-zone name database
[Device-security-zone-database] import interface gigabitethernet 1/0/1
[Device-security-zone-database] quit
(4) 配置對象
# 創建名為president的IP地址對象組,並定義其子網地址為192.168.1.0/24。
[Device] object-group ip address president
[Device-obj-grp-ip-president] network subnet 192.168.1.0 24
[Device-obj-grp-ip-president] quit
# 創建名為finance的IP地址對象組,並定義其子網地址為192.168.2.0/24。
[Device] object-group ip address finance
[Device-obj-grp-ip-finance] network subnet 192.168.2.0 24
[Device-obj-grp-ip-finance] quit
# 創建名為market的IP地址對象組,並定義其子網地址為192.168.3.0/24。
[Device] object-group ip address market
[Device-obj-grp-ip-market] network subnet 192.168.3.0 24
[Device-obj-grp-ip-market] quit
# 創建名為database的IP地址對象組,並定義其子網地址為192.168.0.0/24。
[Device] object-group ip address database
[Device-obj-grp-ip-database] network subnet 192.168.0.0 24
[Device-obj-grp-ip-database] quit
# 創建名為web的服務對象組,並定義其支持的服務為HTTP。
[Device] object-group service web
[Device-obj-grp-service-web] service 6 destination eq 80
[Device-obj-grp-service-web] quit
(5) 配置對象策略及規則
# 製訂允許總裁辦在任意時間通過HTTP協議訪問財務數據庫服務器的對象策略及規則。
[Device] object-policy ip president-database
[Device-object-policy-ip-president-database] rule pass source-ip president destination-ip database service web
[Device-object-policy-ip-president-database] quit
# 製訂隻允許財務部在工作時間通過HTTP協議訪問財務數據庫服務器的對象策略及規則。
[Device] object-policy ip finance-database
[Device-object-policy-ip-finance-database] rule pass source-ip finance destination-ip database service web time-range work
[Device-object-policy-ip-finance-database] quit
# 製訂禁止市場部在任何時間通過HTTP協議訪問財務數據庫服務器的對象策略及規則。
[Device] object-policy ip market-database
[Device-object-policy-ip-market-database] rule drop source-ip market destination-ip database service web
[Device-object-policy-ip-market-database] quit
(6) 配置安全域間實例並應用對象策略
# 創建源安全域president到目的安全域database的安全域間實例,並應用允許總裁辦在任意時間通過HTTP協議訪問財務數據庫服務器的對象策略。
[Device] zone-pair security source president destination database
[Device-zone-pair-security-president-database] object-policy apply ip president-database
[Device-zone-pair-security-president-database] quit
# 創建源安全域finance到目的安全域database的安全域間實例,並應用隻允許財務部在工作時間通過HTTP協議訪問財務數據庫服務器的對象策略。
[Device] zone-pair security source finance destination database
[Device-zone-pair-security-finance-database] object-policy apply ip finance-database
[Device-zone-pair-security-finance-database] quit
# 創建源安全域market到目的安全域database的安全域間實例,並應用禁止市場部在任何時間通過HTTP協議訪問財務數據庫服務器的對象策略。
[Device] zone-pair security source market destination database
[Device-zone-pair-security-market-database] object-policy apply ip market-database
[Device-zone-pair-security-market-database] quit
配置完成後,總裁辦可以在任意時間訪問財務數據庫服務器的Web服務,財務部僅可以在工作時間訪問財務數據庫服務器的Web服務,其他部門任何時間均不可以訪問財務數據庫服務器的Web服務。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
