- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
08-安全域配置
本章節下載: 08-安全域配置 (172.74 KB)
管理員將安全需求相同的接口進行分類,並劃分到不同的安全域(Security Zone),能夠實現域間策略的統一管理。
安全域特性包括如下基本概念:
· 安全域:是一個邏輯概念,用於管理安全防護設備上安全需求相同的多個接口。
· 缺省安全域:當首次創建安全域或者域間策略時,係統會自動創建以下缺省安全域:Local、Trust、DMZ、Management和Untrust。缺省安全域不能被刪除。
· DMZ:指代一個邏輯上和物理上都與內部網絡和外部網絡分離的區域。通常部署網絡時,將那些需要被公共訪問的設備(如Web server、FTP server等)放置於此。
創建安全域後,設備上各接口的報文轉發遵循以下規則:
· 一個安全域中的接口與一個不屬於任何安全域的接口之間的報文,會被丟棄。
· 屬於同一個安全域的各接口之間的報文缺省會被丟棄。
· 安全域之間的報文由域間策略進行安全檢查,並根據檢查結果放行或丟棄。若域間策略不存在或不生效,則報文會被丟棄。
· 目的地址或源地址為本機的報文,缺省會被丟棄,若該報文與域間策略匹配,則由域間策略進行安全檢查,並根據檢查結果放行或丟棄。
傳統防火牆的安全控製策略配置通常是基於報文入接口、出接口的,進入和離開接口的流量基於接口上指定方向的策略規則進行過濾。這種基於接口的策略配置方式需要為每一個接口配置安全控製策略,給網絡管理員帶來配置和維護上的負擔。隨著防火牆技術的發展,防火牆已經逐漸擺脫了隻連接外網和內網的角色,出現了內網/外網/DMZ的模式,並且向著提供高端口密度服務的方向發展。基於安全域來配置安全控製策略的方式可以解決上述問題。
安全域配置任務如下:
(1) 創建安全域
(2) 向安全域中添加成員
(3) (可選)配置安全域內接口間報文處理的缺省動作
(1) 進入係統視圖。
system-view
(2) 創建安全域,並進入安全域視圖。
security-zone name zone-name
缺省情況下,存在安全域Local、Trust、DMZ、Management和Untrust。
創建安全域後,需要給安全域添加成員。安全域的成員類型包括:
· 三層接口,包括三層以太網接口、三層以太網子接口和其它三層邏輯接口。配置該成員後,該接口收發的所有報文將由安全域下配置的域間策略來處理。
· 二層接口和VLAN。配置該成員後,該接口收發的、攜帶了指定VLAN Tag的報文,將由安全域下配置的域間策略來處理。
· VLAN。配置該成員後,攜帶了指定VLAN Tag的報文,將由安全域下配置的域間策略來處理。此種方式隻適用於Bridge轉發,有關Bridge轉發的詳細介紹,請參見“二層技術-以太網交換”中的“Bridge轉發”。
· IPv4子網。配置該成員後,係統會判斷報文的源和目的IPv4地址是否屬於該子網範圍,如果屬於,則將交給安全域下配置的域間策略來處理。
· IPv6子網。配置該成員後,係統會判斷報文的源和目的IPv6地址是否屬於該子網範圍,如果屬於,則將交給安全域下配置的域間策略來處理。
· 服務鏈。配置該成員後,攜帶指定服務鏈的報文,將會安全域下配置的域間策略來處理。
當報文根據不同成員類型,匹配到不同安全域時,匹配優先順序從高到低依次為服務鏈->IP子網->接口及VLAN,匹配過程中,當匹配到某一成員類型後,將不再繼續往下匹配。
(1) 進入係統視圖。
system-view
(2) 進入安全域視圖。
security-zone name zone-name
(3) 向安全域中添加成員。請至少選擇其中一項進行配置。
¡ 向安全域中添加三層接口成員。
import interface layer3-interface-type layer3-interface-number
缺省情況下,安全域中不存在三層接口成員。
可以通過多次執行本命令,向安全域中添加多個三層接口成員。
¡ 向安全域中添加二層接口和VLAN成員。
import interface layer2-interface-type layer2-interface-number vlan vlan-list
缺省情況下,安全域中不存在二層接口和VLAN成員。
可以通過多次執行本命令,向安全域中添加多個二層接口和VLAN成員。
¡ 向安全域中添加VLAN成員。
import vlan vlan-list
缺省情況下,安全域中不存在VLAN成員。
可以通過多次執行本命令,向安全域中添加多個VLAN成員。
¡ 向安全域中添加IPv4子網成員。
import ip ip-address { mask-length | mask } [ vpn-instance vpn-instance-name ]
缺省情況下,安全域中不存在IPv4子網成員。
可以通過多次執行本命令,向安全域中添加多個IPv4子網成員。
¡ 向安全域中添加IPv6子網成員。
import ipv6 ipv6-address prefix-length [ vpn-instance vpn-instance-name ]
缺省情況下,安全域中不存在IPv6子網成員。
可以通過多次執行本命令,向安全域中添加多個IPv6子網成員。
¡ 向安全域中添加服務鏈成員。
import service-chain path path-id [ reversed ]
缺省情況下,安全域中不存在服務鏈成員。
可以通過多次執行命令,向安全域中添加多個服務鏈成員。需要區分服務鏈的正向報文與反向報文分別添加安全域。
對於同一安全域內接口間的報文,若設備上不存在當前域到當前域的域間策略,則設備缺省會將其丟棄,可以通過配置安全域內接口間報文處理的缺省動作允許或拒絕其通過。
(1) 進入係統視圖。
system-view
(2) 配置同一安全域內接口間報文處理的缺省動作。
¡ 配置缺省動作為允許。
security-zone intra-zone default permit
¡ 配置缺省動作為拒絕。
undo security-zone intra-zone default permit
缺省情況下,同一安全域內報文過濾的缺省動作為拒絕。
可在任意視圖下執行以下命令,顯示安全域信息,包括預定義的和自定義的安全域信息。
display security-zone [ name zone-name ]
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
