- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
14-安全策略典型配置舉例
本章節下載: 14-安全策略典型配置舉例 (448.25 KB)
本章包含如下內容:
· 簡介
· 配置前提
· 使用限製
安全策略是根據報文的屬性信息對報文進行轉發控製和DPI(Deep Packet Inspection,深度報文檢測)深度安全檢測的防控策略。
本文檔不嚴格與具體軟、硬件版本對應,如果使用過程中與產品實際情況有差異,請以設備實際情況為準。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文檔假設您已了解安全策略特性。
使用安全策略時,需要注意的是:當安全策略與包過濾策略同時配置時,因為安全策略對報文的處理在包過濾之前,報文與安全策略匹配成功後,不再進行包過濾處理,所以請合理配置安全策略和包過濾策略,否則可能會導致配置的包過濾策略不生效。
如圖-1所示,某公司內的各部門之間通過Device實現互連,該公司的工作時間為每周工作日的8點到18點。通過配置安全策略,實現如下需求:
· 允許總裁辦在任意時間、財務部在工作時間通過HTTP協議訪問財務數據庫服務器的Web服務。
· 禁止其它部門在任何時間、財務部在非工作時間通過HTTP協議訪問財務數據庫服務器的Web服務。
本舉例是在F1000-AI-55的R8860版本上進行配置和驗證的。
1. 配置安全域
# 選擇“網絡 > 安全域”,進入安全域配置頁麵,依次配置如下內容。
· 創建名為database的安全域,並將接口GigabitEthernet1/0/1加入該安全域中
· 創建名為president的安全域,並將接口GigabitEthernet1/0/2加入該安全域中
· 創建名為finance的安全域,並將接口GigabitEthernet1/0/3加入該安全域中
· 創建名為market的安全域,並將接口GigabitEthernet1/0/4加入該安全域中
2. 配置接口IP地址
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/1右側的<編輯>按鈕,配置如下。
· 選擇“IPv4地址”頁簽,配置IP地址/掩碼:192.168.0.1/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址的配置。
# 按照同樣的步驟配置接口GE1/0/2,配置如下。
· IP地址/掩碼:192.168.1.1/24
· 其他配置項使用缺省值
# 按照同樣的步驟配置接口GE1/0/3,配置如下。
· IP地址/掩碼:192.168.2.1/24
· 其他配置項使用缺省值
# 按照同樣的步驟配置接口GE1/0/4,配置如下。
· IP地址/掩碼:192.168.3.1/24
· 其他配置項使用缺省值
3. 配置時間段
# 創建名為work的時間段,其時間範圍為每周工作日的8點到18點。
# 選擇“對象 > 對象組 > 時間段”,進入時間段配置頁麵,配置如下。
· 名稱為work
· 周期時間段為每周工作日的8點到18點
4. 創建源安全域president到目的安全域database的安全策略,允許總裁辦在任意時間通過HTTP協議訪問財務數據庫服務器
# 選擇“策略 > 安全策略 > 安全策略”,進入安全策略配置頁麵。
# 單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵,配置如下。
圖-2 配置安全策略
# 其他配置項保持默認情況即可。
# 單擊<確定>按鈕,完成安全策略president-database的配置。
5. 創建源安全域finance到目的安全域database的安全策略,隻允許財務部在工作時間通過HTTP協議訪問財務數據庫服務器
# 選擇“策略 > 安全策略 > 安全策略”,進入安全策略配置頁麵。
# 單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵,配置如下。
圖-3 配置安全策略
# 其他配置項保持默認情況即可。
# 單擊<確定>按鈕,完成安全策略finance-database的配置。
6. 創建源安全域market到目的安全域database的安全策略,禁止市場部在任何時間通過HTTP協議訪問財務數據庫服務器
# 選擇“策略 > 安全策略 > 安全策略”,選擇新建策略,進入新建安全策略頁麵,進入安全策略配置頁麵。
# 單擊<新建>按鈕,配置如下。
圖-4 配置安全策略
# 其他配置項保持默認情況即可。
# 單擊<確定>按鈕,完成安全策略market-database的配置。
7. 激活安全策略加速
# 選擇“策略 > 安全策略 > 安全策略”,進入安全策略配置頁麵。
# 在安全策略頁麵,單擊<立即加速>按鈕,激活安全策略加速。
配置完成後,總裁辦可以在任意時間訪問財務數據庫服務器的Web服務,財務部僅可以在工作時間訪問財務數據庫服務器的Web服務,其他部門任何時間均不可以訪問財務數據庫服務器的Web服務。
如圖-5所示,某公司內的各部門之間通過Device實現互連,公司內網中部署了域名為www.abc.com的Web服務器用於公司財務管理,該域名已在內網DNS服務器中注冊。通過配置安全策略,實現如下需求:
· 允許財務部通過HTTP協議訪問財務管理Web服務器。
· 禁止市場部在任何時間通過HTTP協議訪問財務管理Web服務器。
本舉例是在F1000-AI-55的R8860版本上進行配置和驗證的。
1. 配置安全域
# 選擇“網絡 > 安全域”,進入安全域配置頁麵,依次配置如下內容。
· 創建名為web的安全域,並將接口GigabitEthernet1/0/1加入該安全域中
· 創建名為market的安全域,並將接口GigabitEthernet1/0/2加入該安全域中
· 創建名為finance的安全域,並將接口GigabitEthernet1/0/3加入該安全域中
· 創建名為dns的安全域,並將接口GigabitEthernet1/0/4加入該安全域中
2. 配置接口IP地址
# 單擊接口GE1/0/1右側的<編輯>按鈕,配置如下。
· 選擇“IPv4地址”頁簽,配置IP地址/掩碼:10.0.0.1/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址的配置。
# 按照同樣的步驟配置接口GE1/0/2,配置如下。
· IP地址/掩碼:10.0.12.1/24
· 其他配置項使用缺省值
# 按照同樣的步驟配置接口GE1/0/3,配置如下。
· IP地址/掩碼:10.0.11.1/24
· 其他配置項使用缺省值
# 按照同樣的步驟配置接口GE1/0/4,配置如下。
· IP地址/掩碼:10.0.10.1/24
· 其他配置項使用缺省值
3. 配置地址對象組
# 選擇“對象> 對象組 > IPv4地址對象組”,進入IPv4地址對象組配置頁麵,創建名為web的IPv4地址對象組,並定義其主機名為www.abc.com。
4. 配置DNS服務器地址
# 選擇“網絡 > DNS > DNS客戶端”,進入DNS客戶端配置頁麵。
# 輸入域名服務器的IP地址為10.10.10.10,單擊右側<添加>按鈕完成添加。
5. 創建源安全域local到目的安全域dns的安全策略,允許Device訪問DNS服務器用於解析主機名
# 選擇“策略 > 安全策略 > 安全策略”,進入安全策略配置頁麵。
# 單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵,配置如下。
圖-6 配置安全策略
# 其他配置項保持默認情況即可。
# 單擊<確定>按鈕,完成安全策略local-dns的配置。
6. 創建源安全域market、finance到目的安全域dns的安全策略,允許內網主機訪問DNS服務器用於解析主機名
# 選擇“策略 > 安全策略 > 安全策略”,進入安全策略配置頁麵。
# 單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵,配置如下。
圖-7 配置安全策略
# 其他配置項保持默認情況即可。
# 單擊<確定>按鈕,完成安全策略host-dns的配置。
7. 創建源安全域finance到目的安全域web的安全策略,允許財務部通過HTTP協議訪問財務管理Web服務器
# 選擇“策略 > 安全策略 > 安全策略”,進入安全策略配置頁麵。
# 單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵,配置如下。
圖-8 配置安全策略
# 其他配置項保持默認情況即可。
# 單擊<確定>按鈕,完成安全策略finance-web的配置。
8. 創建源安全域market到目的安全域web的安全策略,禁止市場部在任何時間通過HTTP協議訪問財務管理Web服務器
# 選擇“策略 > 安全策略 > 安全策略”,選擇新建策略,進入新建安全策略頁麵,進入安全策略配置頁麵。
# 單擊<新建>按鈕,配置如下。
圖-9 配置安全策略
# 其他配置項保持默認情況即可。
# 單擊<確定>按鈕,完成安全策略market-web的配置。
9. 激活安全策略加速
# 選擇“策略 > 安全策略 > 安全策略”,進入安全策略配置頁麵。
# 在安全策略頁麵,單擊<立即加速>按鈕,激活安全策略加速。
配置完成後,財務部可以訪問財務管理服務器的Web服務,市場部任何時間均不可以訪問財務管理服務器的Web服務。
如圖-10所示,內網用戶通過Device連接Internet。通過配置防病毒功能,實現如下需求:
· 對內網用戶數據報文進行防病毒檢測和防禦,若檢測到病毒,則阻斷此報文。
· 將編號為90321的預定義病毒特征設置為病毒例外。
· 將名稱為人民網的應用設置為應用例外,當訪問人民網時若檢測到病毒,則允許此報文通過並進行日誌告警。
圖-10 安全策略應用DPI配置組網圖
本舉例是在F1000-AI-55的R8860版本上進行配置和驗證的。
1. 配置各接口IP地址,並將接口加入安全域
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/1右側的<編輯>按鈕,參數配置如下:
· 安全域:Trust
· 選擇“IPv4地址”頁簽,配置IPv4地址/掩碼:10.1.1.1/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 按照同樣的步驟配置接口GE1/0/2,配置如下:
· 加入到安全域:Untrust
· IP地址/掩碼:20.1.1.1/24
· 其他的配置項保持默認情況即可
2. 配置防病毒配置文件
# 選擇“對象 > 應用安全 > 防病毒 > 配置文件”,單擊<新建>按鈕,進入新建防病毒配置文件頁麵。創建名為antivirus的防病毒配置文件。配置如下。
圖-11 配置防病毒配置文件
# 協議中保持默認配置即可。
# 單擊<確定>按鈕,完成防病毒配置文件antivirus的配置。
3. 配置安全策略
# 選擇“策略 > 安全策略 > 安全策略”,單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵,添加安全策略。配置如下圖所示:
圖-12 在安全策略中引用防病毒策略(1)
圖-13 在安全策略中引用防病毒策略(2)
# 其他配置項保持默認情況即可。
# 單擊<確定>按鈕,完成配置。
4. 激活安全策略加速
# 選擇“策略 > 安全策略 > 安全策略”,進入安全策略配置頁麵。
# 在安全策略頁麵,單擊<立即加速>按鈕,激活安全策略加速。
5. 提交內容安全變更使其立即生效。
# 選擇“策略 > 安全策略 > 安全策略”,進入安全策略配置頁麵。
# 在安全策略頁麵,單擊<提交>按鈕,激活內容安全。
配置完成後,當內網用戶訪問外網受到病毒攻擊時,可有效防止已知病毒對內網用戶的攻擊。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
