- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
15-通過安全策略控製和阻斷應用流量的典型配置舉例
本章節下載: 15-通過安全策略控製和阻斷應用流量的典型配置舉例 (610.71 KB)
本章包含如下內容:
· 簡介
· 配置前提
· 使用限製
安全策略是根據報文的屬性信息對報文進行轉發控製和DPI(Deep Packet Inspection,深度報文檢測)深度安全檢測的防控策略。
本文檔不嚴格與具體軟、硬件版本對應,如果使用過程中與產品實際情況有差異,請以設備實際情況為準。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文檔假設您已了解APR(Application Recognition,應用層協議識別)和安全策略特性。
使用安全策略時,需要注意的是:當安全策略與包過濾策略同時配置時,因為安全策略對報文的處理在包過濾之前,報文與安全策略匹配成功後,不再進行包過濾處理,所以請合理配置安全策略和包過濾策略,否則可能會導致配置的包過濾策略不生效。
為了網絡更加安全建議采用《基於應用的嚴謹型安全策略典型配置舉例》。
如圖-1所示,某公司共包括President、Market和Finance三個部門,各部門之間通過Device實現互連,同時也通過Device作為網關連接Internet,該公司的工作時間為每周工作日的8點到18點。通過配置安全策略,實現如下需求:
· 允許President在任意時間訪問所有網絡資源,比如Internet、Finance網絡和Market網絡等。
· 允許Finance部門的員工僅能訪問本部門內部網絡資源,不能訪問其他任何網絡資源。
· 允許Market部門的員工僅能在工作時間訪問Internet上的部分資源,訪問Internet的具體限製如下:
○ 不能玩遊戲、不能訪問流媒體類型、P2P類型和網絡社區類型的資源,但是允許訪問優酷的資源。
○ 即時通訊類型的資源僅允許使用微信。
○ 雖然拒絕此部門員工訪問網絡社區類型的資源,但是又需要允許使用MSN、釘釘和安防論壇資源。
○ 除了以上幾條具體限製需求之外的資源都允許訪問。
· President區域不允許任何人主動訪問,Finance區域和Market區域也不能相互訪問。
請將應用識別特征庫及時升級到最新版本。
為使安全策略中配置的應用可以被識別,必須先放行應用所依賴的基礎協議報文。
安全策略配置思路及其數據規劃如下表所示:
表-1 安全策略配置思路
|
項目 |
數據 |
說明 |
|
President部門的安全策略 |
· 名稱:president_permit · 源安全區域:president · 目的安全區域:untrust;finance;market · 源IP/MAC地址:president · 動作:允許 · 記錄日誌:開啟 |
此策略允許President部門的員工自由訪問任何網絡資源 此策略和下麵的策略引用的都是源IP地址對象組 |
|
Finance部門的安全策略 |
· 名稱:finance_permit · 源安全區域:finance · 目的安全區域:finance · 動作:允許 · 記錄日誌:開啟 |
此策略可以實現Finance部門內員工之間的相互訪問 |
|
Market部門的安全策略1 |
· 名稱:market_permit1 · 源安全區域:market · 目的安全區域:untrust · 源IP/MAC地址:market · 應用:微信;MSN;釘釘;安防論壇;優酷 · 時間段:work · 動作:允許 · 記錄日誌:開啟 |
安全策略默認規則可實現禁止Market部門員工使用即時通訊工具。market_deny1策略禁止員工訪問網絡社區類型和流媒體類型的資源 但是此策略可以允許Market部門員工在上班時間使用微信、MSN、釘釘、優酷和安防論壇網絡資源 根據安全策略處理報文的優先級原則,需要將此策略放在market_deny1策略前麵,否則網絡社區類型(MSN、釘釘、安防論壇、優酷)的應用將會被拒絕。 |
|
Market部門的安全策略2 |
· 名稱:market_deny1 · 源安全區域:market · 目的安全區域:untrust · 源IP/MAC地址:market · 應用:遊戲組;P2P組;網絡社區組;流媒體組 · 時間段:work · 動作:拒絕 · 記錄日誌:開啟 |
此策略可以禁止Market部門員工在上班時間玩遊戲、觀看視頻和逛社區網站等 此策略的應用過濾條件中包含了遊戲組、P2P組、流媒體組和網絡社區組應用組,每個應用組中都包含了很多具體的應用 |
|
Market部門的安全策略3 |
· 名稱:market_permit2 · 源安全區域:market · 目的安全區域:untrust · 源IP/MAC地址:market · 應用:permit-others · 時間段:work · 動作:允許 · 記錄日誌:開啟 |
此策略允許Market部門員工在上班時間訪問一些定義不太準確的資源。 此策略中的應用組permit-others裏麵,可以加入一些辦公類、郵件類、網絡協議類等不太容易區分清楚的應用。 若管理員已明確知道需要拒絕某個應用,則可以將此應用從允許通過的應用組中刪除。或著新建一條安全策略拒絕此應用流量通過 |
|
放行常用基礎協議的安全策略 |
· 名稱:market_permit3 · 源安全區域:market · 目的安全區域:untrust · 源IP/MAC地址:market · 應用:protocol-permit · 動作:允許 · 記錄日誌:開啟 |
此策略允許常用的基礎協議通過,否則APR模塊將不能準備地識別應用 常用的基礎協議一般包括:TCP、UDP、DNS、HTTP、HTTPS、SMTP、IMAP和POP3,將這些協議加入應用組protocol-permit 雖然安全策略market_permit2中允許的應用中可能包含這些基礎協議,但是為了避免安全策略market_permit2發生變化後不影響APR對報文的識別,所以建議單獨配置一條安全策略放行這些常用的基礎協議 |
|
安全策略的默認規則 |
安全策略的默認規則可以實現此目的:President區域不允許任何人主動訪問,Finance區域和Market區域也不能相互訪問。 |
安全策略的默認規則是拒絕所有報文通過 |
根據以上的分析,再結合安全策略越靠前優先級越高的原則,我們合理創建安全策略的先後順序依次為:president_permit、finance_permit、market_permit1、market_deny1、market_permit2、market_permit3。
本舉例是在F1000-AI-55的R8860版本上進行配置和驗證的。
1. 配置安全域
# 選擇“網絡 > 安全域”,進入安全域配置頁麵,依次配置如下內容。
· 進入名為Untrust的安全域,並將接口GigabitEthernet1/0/1加入該安全域中
· 創建名為president的安全域,並將接口GigabitEthernet1/0/2加入該安全域中
· 創建名為finance的安全域,並將接口GigabitEthernet1/0/3加入該安全域中
· 創建名為market的安全域,並將接口GigabitEthernet1/0/4加入該安全域中
2. 配置接口IP地址
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/1右側的<編輯>按鈕,配置如下。
· 選擇“IPv4地址”頁簽,配置IP地址/掩碼:2.2.2.1/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址的配置。
# 按照同樣的步驟配置接口GE1/0/2,配置如下。
· IP地址/掩碼:10.0.12.1/24
· 其他配置項使用缺省值
# 按照同樣的步驟配置接口GE1/0/3,配置如下。
· IP地址/掩碼:10.0.11.1/24
· 其他配置項使用缺省值
# 按照同樣的步驟配置接口GE1/0/4,配置如下。
· IP地址/掩碼:10.0.10.1/24
· 其他配置項使用缺省值
3. 配置時間段
創建名為work的時間段,其時間範圍為每周工作日的8點到18點。
# 選擇“對象 > 對象組 > 時間段”,進入時間段配置頁麵,配置如下。
· 名稱為work
· 周期時間段為每周工作日的8點到18點
4. 配置應用組
創建名為遊戲組的應用組,將遊戲類別種的所有應用加入此應用組。
# 選擇“對象> 應用安全 > 應用識別 > 應用組”,進入應用組配置頁麵。
# 單擊<新建>按鈕,配置如下:
圖-2 新建應用組
# 將遊戲類別中的所有應用全部加入到右側的已選應用中。
# 單擊<確定>按鈕,完成此應用組的創建。
按照如上步驟,依次創建如下應用組:
· P2P組:創建名為P2P組的應用組,並將P2P類別中的所有應用加入此應用組
· 流媒體組:創建名為流媒體組的應用組,並將流媒體類別中的所有應用加入此應用組
· 網絡社區組:創建名為網絡社區組的應用組,並將網絡社區類別中的所有應用加入此應用組
· permit-others:創建名permit-others的應用組,並將一些辦公類、郵件類、網絡協議類等不太容易區分清楚的應用加入此應用組
· protocol-permit:創建名protocol-permit的應用組,並將常用的基礎協議(一般包括:TCP、UDP、DNS、HTTP、HTTPS SMTP、IMAP和POP3等)加入此應用組
5. 創建名為president_permit的安全策略
# 選擇“策略 > 安全策略 > 安全策略”,進入安全策略配置頁麵。
# 單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵,配置如下。
圖-3 新建安全策略
# 其他配置項保持默認情況即可。
# 單擊<確定>按鈕,完成此安全策略的創建。
6. 創建名為finance_permit的安全策略
# 選擇“策略 > 安全策略 > 安全策略”,進入安全策略配置頁麵。
# 單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵,配置如下。
圖-4 創建安全策略
# 其他配置項保持默認情況即可。
# 單擊<確定>按鈕,完成此安全策略的創建。
7. 創建名為market_permit1的安全策略
# 選擇“策略 > 安全策略 > 安全策略”,進入安全策略配置頁麵。
# 單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵,配置如下。
圖-5 創建安全策略
# 其他配置項保持默認情況即可。
# 單擊<確定>按鈕,完成此安全策略的創建。
8. 創建名為market_deny1的安全策略
# 選擇“策略 > 安全策略 > 安全策略”,進入安全策略配置頁麵。
# 單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵,配置如下。
圖-6 創建安全策略
# 其他配置項保持默認情況即可。
# 單擊<確定>按鈕,完成此安全策略的創建。
9. 創建名為market_permit2的安全策略
# 選擇“策略 > 安全策略 > 安全策略”,進入安全策略配置頁麵。
# 單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵,配置如下。
圖-7 創建安全策略
# 其他配置項保持默認情況即可。
# 單擊<確定>按鈕,完成此安全策略的創建。
10. 創建名為market_permit3的安全策略
# 選擇“策略 > 安全策略 > 安全策略”,進入安全策略配置頁麵。
# 單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵,配置如下。
圖-8 創建安全策略
# 其他配置項保持默認情況即可。
# 單擊<確定>按鈕,完成此安全策略的創建。
1. President部門的員工自由可以訪問任何網絡資源。
2. Finance部門內員工之間可以相互訪問。
3. Market部門的員工僅能在工作時間訪問Internet上的部分資源,訪問Internet的具體限製如下:
○ 不能玩遊戲、不能訪問流媒體類型、P2P類型和網絡社區類型的資源,但是允許訪問優酷的資源。
○ 即時通訊類型的資源僅允許使用微信。
○ 雖然拒絕此部門員工訪問網絡社區類型的資源,但是又需要允許使用MSN、釘釘和安防論壇資源。
○ 除了以上幾條具體限製需求之外的資源都允許訪問。
4. President區域不允許任何人主動訪問,Finance區域和Market區域也不能相互訪問。
5. 選擇“監控 > 安全日誌 > 安全策略日誌”,分別查看各個部門的訪問流量是否命中正確的安全策略,舉例如下。
圖-9 拒絕迅雷看看
圖-10 允許優酷
圖-11 允許微信通過
圖-12 拒絕QQ通過
如圖-13所示,某公司共包括President、Market和Finance三個部門,各部門之間通過Device實現互連,同時也通過Device作為網關連接Internet,該公司的工作時間為每周工作日的8點到18點。通過配置安全策略,實現如下需求:
· 允許President在任意時間訪問所有網絡資源,比如Internet、Finance網絡和Market網絡等。
· 允許Finance部門的員工僅能訪問本部門內部網絡資源,不能訪問其他任何網絡資源。
· 允許Market部門的員工在工作時間訪問除了視頻類、遊戲類之外的所有網絡資源,非工作時間可以看視頻和玩遊戲。
請將應用識別特征庫及時升級到最新版本。
為使安全策略中配置的應用可以被識別,必須先放行應用所依賴的基礎協議報文。
安全策略配置思路及其數據規劃如下表所示:
表-2 安全策略配置思路
|
項目 |
數據 |
說明 |
|
Finance部門的安全策略 |
· 名稱:finance_permit · 源安全區域:finance · 目的安全區域:finance · 動作:允許 · 記錄日誌:開啟 |
此策略可以實現Finance部門內員工之間的相互訪問 |
|
Market部門的安全策略 |
· 名稱:market_deny1 · 源安全區域:market · 目的安全區域:untrust · 源IP/MAC地址:market · 應用:遊戲組;P2P組;流媒體組;網絡社區組 · 時間段:work · 動作:拒絕 · 記錄日誌:開啟 |
此策略可以禁止Market部門員工在上班時間玩遊戲、觀看視頻等 此策略的應用過濾條件中包含了遊戲組、P2P組、網絡社區組和流媒體組應用組,每個應用組中都包含了很多具體的應用 |
|
放行President和Market部門的安全策略 |
· 名稱:president_market_permit · 源安全區域:president;market · 動作:允許 · 記錄日誌:開啟 |
此策略也可以實現如下需求: · 允許President在任意時間訪問所有網絡資源,比如Internet、Finance網絡和Market網絡等。 · 允許Market部門的員工在工作時間訪問除了視頻類、遊戲類之外的所有網絡資源,非工作時間可以看視頻和玩遊戲。 |
根據以上的分析,再結合安全策略越靠前優先級越高的原則,我們合理創建安全策略的先後順序依次為:finance_permit、market_deny1、president_market_permit。
本舉例是在F1000-AI-55的R8860版本上進行配置和驗證的。
1. 配置安全域
# 選擇“網絡 > 安全域”,進入安全域配置頁麵,依次配置如下內容。
· 進入名為Untrust的安全域,並將接口GigabitEthernet1/0/1加入該安全域中
· 創建名為president的安全域,並將接口GigabitEthernet1/0/2加入該安全域中
· 創建名為finance的安全域,並將接口GigabitEthernet1/0/3加入該安全域中
· 創建名為market的安全域,並將接口GigabitEthernet1/0/4加入該安全域中
2. 配置接口IP地址
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/1右側的<編輯>按鈕,配置如下。
· 選擇“IPv4地址”頁簽,配置IP地址/掩碼:2.2.2.1/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址的配置。
# 按照同樣的步驟配置接口GE1/0/2,配置如下。
· IP地址/掩碼:10.0.12.1/24
· 其他配置項使用缺省值
# 按照同樣的步驟配置接口GE1/0/3,配置如下。
· IP地址/掩碼:10.0.11.1/24
· 其他配置項使用缺省值
# 按照同樣的步驟配置接口GE1/0/4,配置如下。
· IP地址/掩碼:10.0.10.1/24
· 其他配置項使用缺省值
3. 配置時間段
創建名為work的時間段,其時間範圍為每周工作日的8點到18點。
# 選擇“對象 > 對象組 > 時間段”,進入時間段配置頁麵,配置如下。
· 名稱為work
· 周期時間段為每周工作日的8點到18點
4. 配置應用組
創建名為遊戲組的應用組,將遊戲類別種的所有應用加入此應用組。
# 選擇“對象> 應用安全 > 應用識別 > 應用組”,進入應用組配置頁麵。
# 單擊<新建>按鈕,配置如下:
圖-14 新建應用組
# 將遊戲類別中的所有應用全部加入到右側的已選應用中。
# 單擊<確定>按鈕,完成此應用組的創建。
按照如上步驟,依次創建如下應用組:
· P2P組:創建名為P2P組的應用組,並將P2P類別中的所有應用加入此應用組
· 流媒體組:創建名為流媒體組的應用組,並將流媒體類別中的所有應用加入此應用組
· 網絡社區組:創建名為網絡社區組的應用組,並將網絡社區類別中的所有應用加入此應用組
5. 創建名為finance_permit的安全策略
# 選擇“策略 > 安全策略 > 安全策略”,進入安全策略配置頁麵。
# 單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵,配置如下。
圖-15 創建安全策略
# 其他配置項保持默認情況即可。
# 單擊<確定>按鈕,完成此安全策略的創建。
6. 創建名為market_deny1的安全策略
# 選擇“策略 > 安全策略 > 安全策略”,進入安全策略配置頁麵。
# 單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵,配置如下。
圖-16 創建安全策略
# 其他配置項保持默認情況即可。
# 單擊<確定>按鈕,完成此安全策略的創建。
7. 創建名為president_market_permit的安全策略
# 選擇“策略 > 安全策略 > 安全策略”,進入安全策略配置頁麵。
# 單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵,配置如下。
圖-17 創建安全策略
# 其他配置項保持默認情況即可。
# 單擊<確定>按鈕,完成此安全策略的創建。
1. President部門的員工自由可以訪問任何網絡資源。
2. Finance部門內員工之間可以相互訪問。
3. 允許Market部門的員工在工作時間訪問除了視頻類、遊戲類之外的所有網絡資源,非工作時間可以看視頻和玩遊戲。
4. 選擇“監控 > 安全日誌 > 安全策略日誌”,分別查看各個部門的訪問流量是否命中正確的安全策略,舉例如下。
圖-18 拒絕迅雷看看
圖-19 允許微信通過
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
