- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
02-安全策略配置
本章節下載: 02-安全策略配置 (642.92 KB)
目 錄
安全策略是根據報文的屬性信息對報文進行轉發控製和DPI(Deep Packet Inspection,深度報文檢測)深度安全檢測的防控策略。
安全策略對報文的控製是通過安全策略規則實現的,規則中可以設置匹配報文的過濾條件,處理報文的動作和對於報文內容進行深度檢測等功能。
安全策略中的每條規則都由唯一的名稱和編號標識。名稱必須在創建規則時由用戶手工指定;而編號既可以手工指定,也可以由係統自動分配。
每條規則中均可以配置多種過濾條件,具體包括:源安全域、目的安全域、源IP地址、源MAC地址、目的IP地址、用戶、用戶組、應用、應用組、VPN和服務。每種過濾條件中(除VPN外)均可以配置多個匹配項,比如源安全域過濾條件中可以指定多個源安全域等。
規則基於會話對報文進行處理。規則允許報文通過後,設備會創建與此報文對應的會話表項,用於記錄有關此報文的相關信息。
安全策略規則觸發創建的會話,不僅可以根據報文的協議狀態或所屬的應用設置會話的老化時間,還可以基於規則設置會話的老化時間。規則中設置的會話老化時間優先級高於會話管理模塊設置的會話老化時間。有關會話的詳細介紹,請參見“安全配置指導”中的“會話管理”。
安全策略對報文的處理流程如圖1-1所示:
安全策略對報文的處理過程如下:
(1) 將報文的屬性信息與過濾條件中的匹配項進行匹配。每種過濾條件的多個匹配項之間是或的關係,即報文與某一個過濾條件中的任意一項匹配成功,則報文與此過濾條件匹配成功;若報文與某一個過濾條件中的所有項都匹配失敗,則報文與此過濾條件匹配失敗。
(2) 若報文與某條規則中的所有過濾條件都匹配成功(用戶與用戶組匹配一項即可,應用與應用組匹配一項即可,源IP地址與源MAC地址匹配一項即可),則報文與此條規則匹配成功。若有一個過濾條件不匹配,則報文與此條規則匹配失敗,報文繼續匹配下一條規則。以此類推,直到最後一條規則,若報文還未與規則匹配成功,則設備會丟棄此報文。
(3) 若報文與某條規則匹配成功,則結束此匹配過程,並對此報文執行規則中配置的動作。
¡ 若規則的動作為“丟棄”,則設備會丟棄此報文;
¡ 若規則的動作為“允許”,則設備繼續對報文做第4步處理;
(4) 若引用了DPI業務,則會對此報文進行DPI深度安全檢測;若未引用DPI業務,則直接允許此報文通過。
安全策略加速功能用來提高安全策略規則的匹配速度。當有大量用戶同時通過設備新建連接時,若安全策略內包含大量規則,此功能可以提高規則的匹配速度,保證網絡通暢;若安全策略加速功能失效,則匹配的過程將會很長,導致用戶建立連接的時間超長,同時也會占用係統大量的CPU資源。
安全策略組可以實現對安全策略規則的批量操作,例如批量啟用、禁用、刪除和移動安全策略規則。隻有當安全策略規則及其所屬的安全策略組均處於啟用狀態時,安全策略規則才能生效。
當其他設備與本設備的非管理接口連接,並需要訪問該設備(如對本設備進行Ping、Telnet、訪問Web頁麵或FTP服務等),或者由其他設備首先發起連接請求的各類協議報文交互(如動態路由協議、VPN隧道建立等)。則必須配置安全策略,放行訪問本設備的相應報文,否則將無法成功建立連接。如圖1-2所示。
以位於Trust安全域的PC(10.1.1.10)通過HTTPS協議訪問設備(10.1.1.1)的Web管理界麵為例,需要配置如下安全策略規則。
表1-1 允許PC訪問本設備Web的安全策略規則
|
規則名稱 |
源安全域 |
目的安全域 |
源IP地址 |
目的IP地址 |
服務 |
動作 |
|
httpslocalin |
Trust |
Local |
10.1.1.10 |
10.1.1.1 |
https |
pass |
關於本設備需要配置安全策略放行協議報文的更多介紹,請參見1.4 安全策略放行本機報文。
當本設備的非管理接口與其他設備連接,並需要主動訪問其他設備(如對其他設備進行Ping、Telnet、訪問FTP服務等),或者由本設備首先發起連接的各類協議交互(如動態路由協議、VPN隧道建立等)。則必須配置安全策略,放行本設備發出的相應報文,否則將無法成功建立連接。如圖1-3所示。
以本設備(10.1.1.1)訪問位於Trust安全域的FTP Server(10.1.1.20)的FTP服務為例,需要配置如下安全策略規則。
表1-2 允許本設備訪問FTP Server的安全策略規則
|
規則名稱 |
源安全域 |
目的安全域 |
源IP地址 |
目的IP地址 |
服務 |
動作 |
|
ftplocalout |
Local |
Trust |
10.1.1.1 |
10.1.1.20 |
ftp |
pass |
對於僅需要本設備進行轉發的流量,即經過本設備報文的源和目的均非設備本身,則必須配置安全策略,放行經過本設備的相應報文,否則將無法成功轉發報文。如圖1-4所示。
以位於Trust安全域的PC(10.1.1.10)通過HTTP協議訪問位於Untrust安全域的外網網站為例,需要配置如下安全策略規則。
表1-3 允許PC訪問外網網站的安全策略規則
|
規則名稱 |
源安全域 |
目的安全域 |
源IP地址 |
服務 |
動作 |
|
trust-untrust |
Trust |
Untrust |
10.1.1.10 |
http |
pass |
為了能配置最優的安全策略方案,建議在配置安全策略時遵守如下原則:
· 配置放行報文的安全策略規則時建議采用最小範圍開放原則,即在保證正常業務流量放行的情況下,配置最嚴謹的匹配條件。
· 配置安全策略規則時,請按照“深度優先”的原則(即控製範圍小的、條件細化的在前,範圍大的在後)進行配置。
· 若某個安全域既需要作為源安全域又需要作為目的安全域時,建議分別配置兩條安全策略規則,以保證嚴格控製相同安全域內不同接口之間的報文互訪。否則,此安全域內不同接口之間的流量可以互通。
· 建議將Local安全域相關的安全策略規則放在最前方,以保證本機業務報文能夠正常處理或發送。
當設備接收的報文需要本機處理或本機主動向外部發送報文時,需要配置安全策略放行相應安全域與Local安全域之間的報文互通。需要配置安全策略放行的常見業務(關於這部分業務的支持情況,請以設備實際情況為準)及其方法如表1-4所示。
|
業務名稱 |
Local安全域 |
|
OSPF/IS-IS/RIP/BGP |
作為源安全域和目的安全域分別配置安全策略規則 |
|
IPsec/SSL/L2TP/MPLS/GRE |
作為源安全域和目的安全域分別配置安全策略規則 |
|
DNS/DHCP/FTP(客戶端) |
僅作為源安全域配置安全策略規則 |
|
DNS/DHCP/FTP(服務器) |
僅作為目的安全域配置安全策略規則 |
|
SSH/Telnet/Ping/Tracet(本機發起) |
僅作為源安全域配置安全策略規則 |
|
SSH/Telnet/SNMP/HTTP/HTTPS(訪問本機) |
僅作為目的安全域配置安全策略規則 |
|
BFD |
作為源安全域和目的安全域分別配置安全策略規則 |
|
LB |
作為源安全域和目的安全域分別配置安全策略規則 |
安全域間目前支持通過兩種策略控製報文的轉發:包過濾策略、安全策略。兩種策略建議不要同時配置,否則可能會存在部分策略失效導致業務中斷。
配置安全策略前,請先檢查設備是否存在包過濾策略:由於安全策略對報文的處理在包過濾策略之前,當報文與安全策略規則匹配成功後,不再進行包過濾處理,可能會導致包過濾策略放行的業務中斷。建議先將包過濾策略轉換為安全策略,具體操作方法請參見1.9 將包過濾策略轉換為安全策略。
安全策略的基本配置思路如圖1-5所示,在配置安全策略之前需要完成的配置包括:創建安全域、配置接口並加入安全域、配置對象、配置DPI業務。
在配置安全策略之前,需完成以下任務:
· 配置時間段(請參見“ACL和QoS配置指導”中的“時間段”)。
· 配置IP地址對象組和服務對象組(請參見“安全配置指導”中的“對象組”)。
· 配置應用和應用組(請參見“安全配置指導”中的“APR”)。
· 配置用戶和用戶組(請參見“安全配置指導”中的“用戶身份識別與管理”)。
· 配置安全域(請參見“安全配置指導”中的“安全域”)。
· 配置DPI業務(請參見“DPI深度安全配置指導”中的各模塊)。
安全策略配置任務如下:
(1) (可選)將包過濾策略轉換為安全策略
(2) 開啟安全策略功能
(3) 配置IPv4安全策略規則
a. 創建安全策略規則
b. 配置規則過濾條件
c. 配置規則動作
d. (可選)配置規則生效時間
e. (可選)配置規則引用DPI應用profile
f. (可選)配置基於規則的會話老化時間
g. (可選)配置規則與Track項聯動
h. (可選)開啟規則記錄日誌功能
i. (可選)開啟規則匹配統計功能
(4) 配置IPv6安全策略規則
a. 創建安全策略規則
b. 配置規則過濾條件
c. 配置規則動作
d. (可選)配置規則生效時間
e. (可選)配置規則引用DPI應用profile
f. (可選)配置基於規則的會話老化時間
g. (可選)配置規則與Track項聯動
h. (可選)開啟規則記錄日誌功能
i. (可選)開啟規則匹配統計功能
(5) (可選)管理安全策略
a. 移動安全策略規則
b. 激活安全策略加速功能
c. 禁用安全策略規則
d. 重命名安全策略規則
(6) 配置安全策略組
a. 創建安全策略組
c. 移動安全策略組
d. 重命名安全策略組
(7) (可選)配置安全策略內容日誌的發送時間
當安全策略與包過濾策略同時配置時,報文將優先與安全策略規則匹配,匹配成功後不再進行包過濾處理。所以建議包過濾和安全策略不要同時配置,否則可能會導致包過濾策略放行的業務中斷。
若設備需要配置安全策略,建議先將包過濾策略全部轉換為安全策略。針對不同場景包過濾策略轉換為安全策略的推薦操作方法如下。
若當前設備上僅存在包過濾策略,需要將包過濾策略全部轉換為安全策略,則按照如下過程完成轉換:
(1) 執行security-policy disable命令關閉安全策略功能。
(2) 進入安全策略視圖,按照設備上的包過濾策略配置對應安全策略規則的過濾條件及動作。
(3) 執行undo security-policy disable命令開啟安全策略功能,此時安全策略生效。
(4) (可選)刪除設備上的包過濾策略。
若當前設備上同時存在包過濾策略和安全策略,且均生效,需要將包過濾策略全部轉換為安全策略,推薦優先使用Web方式配置替換包過濾策略的安全策略(可避免包過濾放行的業務中斷)。若通過CLI方式,則按照如下過程完成轉換:
(1) 首先確保當前配置設備的連接不受包過濾策略控製,建議通過設備Console口或Management安全域接口對設備進行配置,避免配置設備的連接中斷,無法繼續配置設備。
(2) 進入安全策略視圖,按照設備上的包過濾策略配置對應安全策略規則的過濾條件及動作。
執行rule [ rule-id ] name rule-name命令創建安全策略規則後(尚未配置過濾條件或動作),新創建的規則會默認匹配所有報文並執行缺省丟棄動作,導致包過濾策略放行的業務中斷。所以需要立即配置規則的過濾條件和動作,以縮短業務中斷時間。並建議在業務較空閑的時間段配置安全策略。
(3) (可選)刪除設備上的包過濾策略。
隻有開啟安全策略功能後,配置的安全策略才能生效。
(1) 進入係統視圖。
system-view
(2) 開啟安全策略功能。
undo security-policy disable
缺省情況下,安全策略功能處於開啟狀態。
security-policy disable命令會直接關閉所有安全策略,可能導致網絡中斷。
缺省情況下安全策略中不存在規則,設備僅允許Management安全域和Local安全域之間的報文通過。因此需要在如下場景中配置安全策略規則:
· 使設備能夠正常處理各安全域之間的報文。
· 當設備接收的報文(如動態路由協議報文)需要本機處理時,需要配置安全策略規則保證相應安全域與Local安全域之間的報文互通。
(1) 進入係統視圖。
system-view
(2) 進入IPv4安全策略視圖。
security-policy ip
· undo security-policy { ip | ipv6 }命令會直接刪除所有安全策略配置,可能導致網絡中斷。
(3) (可選)配置安全策略的描述信息。
description text
缺省情況下,未配置安全策略的描述信息。
(4) 創建安全策略規則,並進入安全策略規則視圖。
rule [ rule-id ] name rule-name
(5) (可選)配置安全策略規則的描述信息。
description text
缺省情況下,未配置安全策略規則的描述信息。
當安全策略規則中未配置任何過濾條件時,則該規則將匹配所有報文。且由於缺省動作為丟棄,當規則未配置動作時,匹配到該規則的報文將會被丟棄。
若規則中已引用對象組的內容為空,則此規則將不能匹配任何報文。
Management和Local安全域間之間的報文隻能匹配Management與Local安全域之間的安全策略。
安全策略規則中不可配置包含用戶或用戶組的IP地址對象組作為過濾條件,如需過濾用戶,推薦直接在安全策略規則中配置用戶或用戶組作為過濾條件。
(1) 進入係統視圖。
system-view
(2) 進入IPv4安全策略視圖。
security-policy ip
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置源過濾條件。
¡ 配置作為安全策略規則過濾條件的源安全域。
source-zone source-zone-name
缺省情況下,未配置源安全域過濾條件。
¡ 配置作為安全策略規則過濾條件的源IPv4地址對象組。
source-ip object-group-name
缺省情況下,未配置源IPv4地址對象組過濾條件。
¡ 配置作為安全策略規則過濾條件的源IPv4主機地址。
source-ip-host ip-address
缺省情況下,未配置源IPv4主機地址過濾條件。
¡ 配置作為安全策略規則過濾條件的源IPv4子網地址。
source-ip-subnet ip-address { mask-length | mask }
缺省情況下,未配置源IPv4子網地址過濾條件。
¡ 配置作為安全策略規則過濾條件的源IPv4範圍地址。
source-ip-range ip-address1 ip-address2
缺省情況下,未配置源IPv4範圍地址過濾條件。
¡ 配置作為安全策略規則過濾條件的源MAC地址對象組。
source-mac object-group-name
缺省情況下,未配置源MAC地址對象組過濾條件。
(5) 配置目的過濾條件。
¡ 配置作為安全策略規則過濾條件的目的安全域。
destination-zone destination-zone-name
缺省情況下,未配置目的安全域過濾條件。
¡ 配置作為安全策略規則過濾條件的目的IPv4地址對象組。
destination-ip object-group-name
缺省情況下,未配置目的IPv4地址對象組過濾條件。
¡ 配置作為安全策略規則過濾條件的目的IPv4主機地址。
destination-ip-host ip-address
缺省情況下,未配置目的主機IPv4主機地址過濾條件。
¡ 配置作為安全策略規則過濾條件的目的IPv4子網地址。
destination-ip-subnet ip-address { mask-length | mask }
缺省情況下,未配置目的IPv4子網地址過濾條件。
¡ 配置作為安全策略規則過濾條件的目的IPv4範圍地址。
destination-ip-range ip-address1 ip-address2
缺省情況下,未配置目的IPv4範圍地址過濾條件。
(6) 配置作為安全策略規則過濾條件的服務對象組。
service { object-group-name | any }
缺省情況下,未配置服務對象組過濾條件。
(7) 配置作為安全策略規則過濾條件的服務端口。
service-port protocol [ { destination { { eq | lt | gt } port | range port1 port2 } | source { { eq | lt | gt } port | range port1 port2 } } * | icmp-type icmp-code | icmpv6-type icmpv6-code ]
缺省情況下,未配置服務端口過濾條件。
(8) 配置應用類過濾條件。
¡ 配置作為安全策略規則過濾條件的應用。
application application-name
缺省情況下,未配置應用過濾條件。
為使安全策略中配置的應用可以被識別,必須先放行應用所依賴的基礎協議報文。
¡ 配置作為安全策略規則過濾條件的應用組。
app-group app-group-name
缺省情況下,未配置應用組過濾條件。
(9) 配置用戶類過濾條件。
¡ 配置作為安全策略規則過濾條件的用戶。
user username [ domain domain-name ]
缺省情況下,未配置用戶過濾條件。
¡ 配置作為安全策略規則過濾條件的用戶組。
user-group user-group-name [ domain domain-name ]
缺省情況下,未配置用戶組過濾條件。
(10) 配置安全策略規則對入接口指定VPN多實例中的報文有效。
vrf vrf-name
缺省情況下,安全策略規則對公網的報文有效。
(1) 進入係統視圖。
system-view
(2) 進入IPv4安全策略視圖。
security-policy ip
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略規則的動作。
action { drop | pass }
缺省情況下,安全策略規則動作是丟棄。
(1) 進入係統視圖。
system-view
(2) 進入IPv4安全策略視圖。
security-policy ip
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略規則生效的時間段。
time-range time-range-name
缺省情況下,不限製安全策略規則生效的時間。
通過在安全策略規則中引用DPI應用profile可實現對符合安全策略過濾條件的報文進行DPI相關業務的處理。有關DPI各業務的詳細介紹,請參見“DPI深度安全配置指導”中的相關業務模塊。
此功能僅在安全策略規則動作為允許的情況下才生效。
(1) 進入係統視圖。
system-view
(2) 進入IPv4安全策略視圖。
security-policy ip
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略規則的動作為允許。
action pass
缺省情況下,安全策略規則動作是丟棄。
(5) 配置安全策略規則引用DPI應用profile。
profile app-profile-name
缺省情況下,安全策略規則中未引用DPI應用profile。
此功能用來為匹配某條安全策略規則而生成的穩態會話和長連接會話設置老化時間。此命令的配置不僅影響後續生成的會話,對已經生成的會話同樣生效。
此功能設置的會話老化時間優先級高於會話管理模塊設置的會話老化時間。有關會話管理模塊會話老化時間的詳細介紹,請參見“安全配置指導”中的“會話管理”。
長連接老化時間僅在TCP會話進入穩態(TCP-EST狀態)時生效。長連接會話老化時間優先級高於session aging-time命令配置的會話老化時間
(1) 進入係統視圖。
system-view
(2) 進入IPv4安全策略視圖。
security-policy ip
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置基於安全策略規則的會話老化時間。
session aging-time time-value
缺省情況下,未配置基於安全策略規則的會話老化時間。
(5) 配置基於安全策略規則的長連接會話老化時間。
session persistent aging-time time-value
缺省情況下,未配置基於安全策略規則的長連接會話老化時間。
若長連接會話老化時間配置過長,設備會話數量可能會激增,從而導致設備內存使用率過高。
在安全策略中可以配置規則與Track項進行聯動,規則與Track項聯動後,規則的狀態由Track的狀態決定。有關Track的詳細配置請參見“網絡管理和監控配置指導”中的“Track”。
配置安全策略規則與Track項的Negative狀態關聯後,當安全策略規則收到Negative狀態的Track通知時,將此規則置為有效狀態(Active),當安全策略規則收到Positive狀態的Track通知時,將此規則置為失效狀態(Inactive)。
配置安全策略規則與Track項的Positive狀態關聯後,當安全策略規則收到Positive狀態的Track通知時,將此規則置為有效狀態(Active),當安全策略規則收到Negative狀態的Track通知時,將此規則置為失效狀態(Inactive)。
(1) 進入係統視圖。
system-view
(2) 進入IPv4安全策略視圖。
security-policy ip
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略規則與Track項聯動。
track { negative | positive } track-entry-number
缺省情況下,安全策略規則未與Track項聯動。
開啟此功能後,設備對匹配規則的報文生成安全策略日誌信息,此日誌信息將會被交給信息中心模塊處理或快速日誌輸出模塊,信息中心模塊或快速日誌輸出模塊的配置將決定日誌信息的發送規則和發送方向。有關信息中心的詳細描述,請參見“網絡管理和監控配置指導”中的“信息中心”。有關快速日誌輸出的詳細描述,請參見“網絡管理和監控配置指導”中的“快速日誌輸出”。
(1) 進入係統視圖。
system-view
(2) 進入IPv4安全策略視圖。
security-policy ip
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 開啟對符合過濾條件的報文記錄日誌信息的功能。
logging enable
缺省情況下,對符合過濾條件的報文記錄日誌信息的功能處於關閉狀態。
此功能用來對匹配規則的報文進行統計,可通過執行display security-policy statistics命令來查看相關報文的統計信息。
開啟安全策略規則匹配統計功能時,若指定了period參數,則當到達指定時長後,係統會自動關閉該功能,並刪除該配置;若沒有指定period參數,則永久開啟統計功能,隻有執行undo命令後才可以關閉該功能。
在跨VLAN模式Bridge轉發的應用場景中,此功能僅統計安全策略和DPI業務丟棄的報文,不統計安全策略和DPI業務允許通過的報文。有關跨VLAN模式Bridge轉發的詳細介紹,請參見“二層技術-以太網交換配置指導”中的“二層轉發”。
(1) 進入係統視圖。
system-view
(2) 進入IPv4安全策略視圖。
security-policy ip
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 開啟安全策略規則匹配統計功能。
counting enable [ period value ]
缺省情況下,安全策略規則匹配統計功能處於關閉狀態。
缺省情況下安全策略中不存在規則,設備僅允許Management安全域和Local安全域之間的報文通過。因此需要在如下場景中配置安全策略規則:
· 使設備能夠正常處理各安全域之間的報文。
· 當設備接收的報文(如動態路由協議報文、隧道報文和VPN報文等)需要本機處理時,需要配置安全策略規則保證相應安全域與Local安全域之間的報文互通。
(1) 進入係統視圖。
system-view
(2) 進入IPv6安全策略視圖。
security-policy ipv6
· undo security-policy { ip | ipv6 }命令會直接刪除所有安全策略配置,可能導致網絡中斷。
(3) (可選)配置安全策略的描述信息。
description text
缺省情況下,未配置安全策略的描述信息。
(4) 創建安全策略規則,並進入安全策略規則視圖。
rule [ rule-id ] name rule-name
(5) (可選)配置安全策略規則的描述信息。
description text
缺省情況下,未配置安全策略規則的描述信息。
當安全策略規則中未配置任何過濾條件時,則該規則將匹配所有報文。且由於缺省動作為丟棄,當規則未配置動作時,匹配到該規則的報文將會被丟棄。
若規則中已引用對象組的內容為空,則此規則將不能匹配任何報文。
Management和Local安全域間之間的報文隻能匹配Management與Local安全域之間的安全策略
安全策略規則中不可配置包含用戶或用戶組的IP地址對象組作為過濾條件,如需過濾用戶,推薦直接在安全策略規則中配置用戶或用戶組作為過濾條件。
(1) 進入係統視圖。
system-view
(2) 進入IPv6安全策略視圖。
security-policy ipv6
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置源過濾條件。
¡ 配置作為安全策略規則過濾條件的源安全域。
source-zone source-zone-name
缺省情況下,未配置源安全域過濾條件。
¡ 配置作為安全策略規則過濾條件的源IPv6地址對象組。
source-ip object-group-name
缺省情況下,未配置源IPv6地址對象組過濾條件。
¡ 配置作為安全策略規則過濾條件的源IPv6主機地址。
source-ip-host ipv6-address
缺省情況下,未配置源IPv6主機地址過濾條件。
¡ 配置作為安全策略規則過濾條件的源IPv6子網地址。
source-ip-subnet ipv6-address prefix-length
缺省情況下,未配置源IPv6子網地址過濾條件。
¡ 配置作為安全策略規則過濾條件的源IPv6範圍地址。
source-ip-range ipv6-address1 ipv6-address2
缺省情況下,未配置源IPv6範圍地址過濾條件。
(5) 配置目的過濾條件。
¡ 配置作為安全策略規則過濾條件的目的安全域。
destination-zone destination-zone-name
缺省情況下,未配置目的安全域過濾條件。
¡ 配置作為安全策略規則過濾條件的目的IPv6地址對象組。
destination-ip object-group-name
缺省情況下,未配置目的IPv6地址對象組過濾條件。
¡ 配置作為安全策略規則過濾條件的目的IPv6主機地址。
destination-ip-host ipv6-address
缺省情況下,未配置目的主機IPv6主機地址過濾條件。
¡ 配置作為安全策略規則過濾條件的目的IPv6子網地址。
destination-ip-subnet ipv6-address prefix-length
缺省情況下,未配置目的IPv6子網地址過濾條件。
¡ 配置作為安全策略規則過濾條件的目的IPv6範圍地址。
destination-ip-range ipv6-address1 ipv6-address2
缺省情況下,未配置目的IPv6範圍地址過濾條件。
(6) 配置作為安全策略規則過濾條件的服務對象組。
service { object-group-name | any }
缺省情況下,未配置服務對象組過濾條件。
(7) 配置作為安全策略規則過濾條件的服務端口。
service-port protocol [ { destination { { eq | lt | gt } port | range port1 port2 } | source { { eq | lt | gt } port | range port1 port2 } } * | icmp-type icmp-code | icmpv6-type icmpv6-code ]
缺省情況下,未配置服務端口過濾條件。
(8) 配置應用類過濾條件。
¡ 配置作為安全策略規則過濾條件的應用。
application application-name
缺省情況下,未配置應用過濾條件。
為使安全策略中配置的應用可以被識別,必須先放行應用所依賴的基礎協議報文。
¡ 配置作為安全策略規則過濾條件的應用組。
app-group app-group-name
缺省情況下,未配置應用組過濾條件。
(9) 配置用戶類過濾條件。
¡ 配置作為安全策略規則過濾條件的用戶。
user username [ domain domain-name ]
缺省情況下,未配置用戶過濾條件。
¡ 配置作為安全策略規則過濾條件的用戶組。
user-group user-group-name [ domain domain-name ]
缺省情況下,未配置用戶組過濾條件。
(10) 配置安全策略規則對入接口指定VPN多實例中的報文有效。
vrf vrf-name
缺省情況下,安全策略規則對公網的報文有效。
(1) 進入係統視圖。
system-view
(2) 進入IPv6安全策略視圖。
security-policy ipv6
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略規則的動作。
action { drop | pass }
缺省情況下,安全策略規則動作是丟棄。
(1) 進入係統視圖。
system-view
(2) 進入IPv6安全策略視圖。
security-policy ipv6
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略規則生效的時間段。
time-range time-range-name
缺省情況下,不限製安全策略規則生效的時間。
通過在安全策略規則中引用DPI應用profile可實現對符合安全策略過濾條件的報文進行DPI相關業務的處理。有關DPI各業務的詳細介紹,請參見“DPI深度安全配置指導”中的相關業務模塊。
此功能僅在安全策略規則動作為允許的情況下才生效。
(1) 進入係統視圖。
system-view
(2) 進入IPv6安全策略視圖。
security-policy ipv6
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略規則的動作為允許。
action pass
缺省情況下,安全策略規則動作是丟棄。
(5) 配置安全策略規則引用DPI應用profile。
profile app-profile-name
缺省情況下,安全策略規則中未引用DPI應用profile。
此功能用來為匹配某條安全策略規則而生成的穩態會話和長連接會話設置老化時間。此命令的配置不僅影響後續生成的會話,對已經生成的會話同樣生效。
此功能設置的會話老化時間優先級高於會話管理模塊設置的會話老化時間。有關會話管理模塊會話老化時間的詳細介紹,請參見“安全配置指導”中的“會話管理”。
長連接老化時間僅在TCP會話進入穩態(TCP-EST狀態)時生效。長連接會話老化時間優先級高於session aging-time命令配置的會話老化時間
(1) 進入係統視圖。
system-view
(2) 進入IPv6安全策略視圖。
security-policy ipv6
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置基於安全策略規則的會話老化時間。
session aging-time time-value
缺省情況下,未配置基於安全策略規則的會話老化時間。
(5) 配置基於安全策略規則的長連接會話老化時間。
session persistent aging-time time-value
缺省情況下,未配置基於安全策略規則的長連接會話老化時間。
若長連接會話老化時間配置過長,設備會話數量可能會激增,從而導致設備內存使用率過高。
在安全策略中可以配置規則與Track項進行聯動,規則與Track項聯動後,規則的狀態由Track的狀態決定。有關Track的詳細配置請參見“網絡管理和監控配置指導”中的“Track”。
配置安全策略規則與Track項的Negative狀態關聯後,當安全策略規則收到Negative狀態的Track通知時,將此規則置為有效狀態(Active),當安全策略規則收到Positive狀態的Track通知時,將此規則置為失效狀態(Inactive)。
配置安全策略規則與Track項的Positive狀態關聯後,當安全策略規則收到Positive狀態的Track通知時,將此規則置為有效狀態(Active),當安全策略規則收到Negative狀態的Track通知時,將此規則置為失效狀態(Inactive)。
(1) 進入係統視圖。
system-view
(2) 進入IPv6安全策略視圖。
security-policy ipv6
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略規則與Track項聯動。
track { negative | positive } track-entry-number
缺省情況下,安全策略規則未與Track項聯動。
開啟此功能後,設備對匹配規則的報文生成安全策略日誌信息,此日誌信息將會被交給信息中心模塊處理或快速日誌輸出模塊,信息中心模塊或快速日誌輸出模塊的配置將決定日誌信息的發送規則和發送方向。有關信息中心的詳細描述,請參見“網絡管理和監控配置指導”中的“信息中心”。有關快速日誌輸出的詳細描述,請參見“網絡管理和監控配置指導”中的“快速日誌輸出”。
(1) 進入係統視圖。
system-view
(2) 進入IPv6安全策略視圖。
security-policy ipv6
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 開啟對符合過濾條件的報文記錄日誌信息的功能。
logging enable
缺省情況下,對符合過濾條件的報文記錄日誌信息的功能處於關閉狀態。
此功能用來對匹配規則的報文進行統計,可通過執行display security-policy statistics命令來查看相關報文的統計信息。
開啟安全策略規則匹配統計功能時,若指定了period參數,則當到達指定時長後,係統會自動關閉該功能,並刪除該配置;若沒有指定period參數,則永久開啟統計功能,隻有執行undo命令後才可以關閉該功能。
在跨VLAN模式Bridge轉發的應用場景中,此功能僅統計安全策略和DPI業務丟棄的報文,不統計安全策略和DPI業務允許通過的報文。有關跨VLAN模式Bridge轉發的詳細介紹,請參見“二層技術-以太網交換配置指導”中的“二層轉發”。
(1) 進入係統視圖。
system-view
(2) 進入IPv6安全策略視圖。
security-policy ipv6
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 開啟安全策略規則匹配統計功能。
counting enable [ period value ]
缺省情況下,安全策略規則匹配統計功能處於關閉狀態。
由於安全策略規則缺省按照其被創建的先後順序進行匹配,因此為了使用戶能夠靈活調整規則的匹配順序,可通過本功能來移動規則的位置,從而改變規則的匹配順序。
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
(3) 移動安全策略規則。
¡ 通過安全策略規則ID移動規則。
move rule rule-id1 { { after | before } rule-id2 | bottom | down | top | up }
¡ 通過安全策略規則名稱移動規則。
move rule name rule-name1 { { after | before } name rule-name2 | bottom | down | top | up }
缺省情況下,係統按照固定時間間隔判斷是否需要激活安全策略規則的加速功能,並對本周期內發生變化(新增、刪除、修改或移動)的安全策略規則進行加速。當安全策略規則小於等於100條時,係統判斷是否需要激活的時間間隔為2秒;當安全策略規則大於100條時,此時間間隔為20秒。如果希望對發生變化的安全策略規則立即進行加速,可執行accelerate enhanced enable命令手工激活安全策略規則加速功能。
激活加速功能後,若係統判定安全策略規則發生了變化(新增、刪除、修改或移動),則會對當前所有的安全策略規則進行重新加速,否則,不會重新加速。
激活安全策略規則加速功能時,內存資源不足會導致安全策略規則加速失敗。加速失敗後,本間隔內發生變化的安全策略規則未進行加速,從而導致變化的安全策略規則不生效,之前已經加速成功的規則不受影響。在下一個時間間隔到達後,係統會再次嚐試對安全策略規則進行加速。
安全策略規則中指定的IP地址對象組中包含通配符掩碼時,會影響安全策略的匹配速度。
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
(3) 激活安全策略規則的加速功能。
accelerate enhanced enable
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 禁用安全策略規則。
disable
缺省情況下,安全策略規則處於啟用狀態。
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
(3) 重命名安全策略規則。
rule rename old-name new-name
將安全策略規則加入安全策略組時,會將指定範圍內若幹連續的安全策略規則加入同一個安全策略組。
執行undo命令行時的具體功能如下:
· undo group name group-name命令用來僅刪除安全策略組,但不刪除策略組中的規則。
· undo group name group-name description命令用來僅刪除安全策略組的描述信息。
· undo group name group-name include-member命令用來刪除安全策略組及其策略組中的所有規則。
將安全策略規則加入安全策略組時,起始規則要在結束規則前麵,並且起始規則和結束規則之間的規則不能屬於其他安全策略組。
同一個安全策略組中的安全策略規則類型必須相同。
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
(3) 創建安全策略組,並將指定的安全策略規則加入此安全策略組。
group name group-name [ from rule-name1 to rule-name2 ] [ description description-text ] [ disable | enable ]
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略規則所屬的安全策略組。
parent-group group-name
通過移動安全策略組可以批量改變安全策略規則的優先級。
如果目標安全策略規則已經屬於其他安全策略組,按照其在安全策略組中的位置,受如下原則的約束。
· 如果規則位於策略組中間位置,則不能移動。
· 如果規則位於策略組開始位置,隻可以移動到目標規則之前。
· 如果規則位於策略組結束位置,隻可以移動到目標規則之後。
僅能在相同類型的安全策略規則或安全策略組之間移動安全策略組。
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
(3) 移動安全策略組。
group move group-name1 { after | before } { group group-name2 | rule rule-name }
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
(3) 重命名安全策略組。
group rename old-name new-name
在快速日誌輸出模塊中開啟生成安全策略國家電網日誌功能後(即執行customlog format security-policy sgcc命令),設備會在每天指定的時間以國家電網日誌的格式發送此時所有處於生效狀態安全策略規則的配置信息。有關快速日誌輸出的詳細介紹,請參見“網絡管理和監控配置指導”中的“快速日誌輸出”。
(1) 進入係統視圖。
system-view
(2) 配置每天發送安全策略內容日誌的時間。
security-policy config-logging send-time time
缺省情況下,發送安全策略內容日誌的時間為每天的零點。
在完成上述配置後,在任意視圖下執行display命令可以顯示安全策略的配置信息,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除安全策略的統計信息。
|
操作 |
命令 |
|
顯示安全策略的配置信息 |
display security-policy { ip | ipv6 } |
|
顯示安全策略的統計信息 |
display security-policy statistics { ip | ipv6 } [ rule rule-name ] |
|
清除安全策略的統計信息 |
reset security-policy statistics [ ip | ipv6 ] [ rule rule-name ] |
· 某公司內的各部門之間通過Device實現互連,該公司的工作時間為每周工作日的8點到18點。
· 通過配置安全策略規則,允許總裁辦在任意時間、財務部在工作時間通過HTTP協議訪問財務數據庫服務器的Web服務,禁止其它部門在任何時間、財務部在非工作時間通過HTTP協議訪問該服務器的Web服務。
圖1-6 基於IP地址的安全策略配置組網圖
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.0.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置接口加入安全域
# 請根據組網圖中規劃的信息,創建安全域,並將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name database
[Device-security-zone-database] import interface gigabitethernet 1/0/1
[Device-security-zone-database] quit
[Device] security-zone name president
[Device-security-zone-president] import interface gigabitethernet 1/0/2
[Device-security-zone-president] quit
[Device] security-zone name finance
[Device-security-zone-finance] import interface gigabitethernet 1/0/3
[Device-security-zone-finance] quit
[Device] security-zone name market
[Device-security-zone-market] import interface gigabitethernet 1/0/4
[Device-security-zone-market] quit
(3) 配置時間段
# 創建名為work的時間段,其時間範圍為每周工作日的8點到18點,具體配置步驟如下。
[Device] time-range work 08:00 to 18:00 working-day
(4) 配置安全策略
# 配置名稱為president-database的安全策略規則,允許總裁辦在任意時間通過HTTP協議訪問財務數據庫服務器,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name president-database
[Device-security-policy-ip-0-president-database] source-zone president
[Device-security-policy-ip-0-president-database] destination-zone database
[Device-security-policy-ip-0-president-database] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-0-president-database] destination-ip-subnet 192.168.0.0 24
[Device-security-policy-ip-0-president-database] service http
[Device-security-policy-ip-0-president-database] action pass
[Device-security-policy-ip-0-president-database] quit
# 配置名稱為finance-database的安全策略規則,隻允許財務部在工作時間通過HTTP協議訪問財務數據庫服務器,具體配置步驟如下。
[Device-security-policy-ip] rule name finance-database
[Device-security-policy-ip-1-finance-database] source-zone finance
[Device-security-policy-ip-1-finance-database] destination-zone database
[Device-security-policy-ip-1-finance-database] source-ip-subnet 192.168.2.0 24
[Device-security-policy-ip-1-finance-database] destination-ip-subnet 192.168.0.0 24
[Device-security-policy-ip-1-finance-database] service-port tcp destination eq 80
[Device-security-policy-ip-1-finance-database] action pass
[Device-security-policy-ip-1-finance-database] time-range work
[Device-security-policy-ip-1-finance-database] quit
# 配置名稱為market-database的安全策略規則,禁止市場部在任何時間通過HTTP協議訪問財務數據庫服務器,具體配置步驟如下。
[Device-security-policy-ip] rule name market-database
[Device-security-policy-ip-2-market-database] source-zone market
[Device-security-policy-ip-2-market-database] destination-zone database
[Device-security-policy-ip-2-market-database] source-ip-subnet 192.168.3.0 24
[Device-security-policy-ip-2-market-database] destination-ip-subnet 192.168.0.0 24
[Device-security-policy-ip-2-market-database] service http
[Device-security-policy-ip-2-market-database] action drop
[Device-security-policy-ip-2-market-database] quit
# 激活安全策略規則的加速功能,具體配置步驟如下。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
配置完成後,總裁辦可以在任意時間訪問財務數據庫服務器的Web服務,財務部僅可以在工作時間訪問財務數據庫服務器的Web服務,其他部門任何時間均不可以訪問財務數據庫服務器的Web服務。
某公司內的各部門之間通過Device實現互連,公司內網中部署了域名為www.example.com的Web服務器用於公司財務管理,該域名已在內網DNS服務器中注冊。通過配置安全策略,實現如下需求:
· 允許財務部通過HTTP協議訪問財務管理Web服務器。
· 禁止市場部在任何時間通過HTTP協議訪問財務管理Web服務器。
圖1-7 基於域名的安全策略配置組網圖
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 10.0.13.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置接口加入安全域
# 請根據組網圖中規劃的信息,創建安全域,並將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name web
[Device-security-zone-web] import interface gigabitethernet 1/0/1
[Device-security-zone-web] quit
[Device] security-zone name market
[Device-security-zone-market] import interface gigabitethernet 1/0/2
[Device-security-zone-market] quit
[Device] security-zone name finance
[Device-security-zone-finance] import interface gigabitethernet 1/0/3
[Device-security-zone-finance] quit
[Device] security-zone name dns
[Device-security-zone-dns] import interface gigabitethernet 1/0/4
[Device-security-zone-dns] quit
(3) 配置對象
# 創建名為web的IP地址對象組,並定義其主機名稱為www.example.com,具體配置步驟如下。
[Device] object-group ip address web
[Device-obj-grp-ip-web] network host name www.example.com
[Device-obj-grp-ip-web] quit
(4) 配置DNS服務器地址
# 指定DNS服務器的IP地址為10.10.10.10,確保Device可以獲取到主機名對應的IP地址,具體配置步驟如下。
[Device] dns server 10.10.10.10
(5) 配置安全策略
# 配置名稱為dnslocalout的安全策略規則,允許Device訪問DNS服務器,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name dnslocalout
[Device-security-policy-ip-0-dnslocalout] source-zone local
[Device-security-policy-ip-0-dnslocalout] destination-zone dns
[Device-security-policy-ip-0-dnslocalout] destination-ip-host 10.10.10.10
[Device-security-policy-ip-0-dnslocalout] action pass
[Device-security-policy-ip-0-dnslocalout] quit
# 配置名稱為host-dns的安全策略規則,允許內網主機訪問DNS服務器,具體配置步驟如下。
[Device-security-policy-ip] rule name host-dns
[Device-security-policy-ip-1-host-dns] source-zone finance
[Device-security-policy-ip-1-host-dns] source-zone market
[Device-security-policy-ip-1-host-dns] destination-zone dns
[Device-security-policy-ip-1-host-dns] source-ip-subnet 10.0.11.0 24
[Device-security-policy-ip-1-host-dns] source-ip-subnet 10.0.12.0 24
[Device-security-policy-ip-1-host-dns] destination-ip-host 10.10.10.10
[Device-security-policy-ip-1-host-dns] service dns-udp
[Device-security-policy-ip-1-host-dns] action pass
[Device-security-policy-ip-1-host-dns] quit
# 配置名稱為finance-web的安全策略規則,允許財務部通過HTTP協議訪問財務管理Web服務器,具體配置步驟如下。
[Device-security-policy-ip] rule name finance-web
[Device-security-policy-ip-2-finance-web] source-zone finance
[Device-security-policy-ip-2-finance-web] destination-zone web
[Device-security-policy-ip-2-finance-web] source-ip-subnet 10.0.11.0 24
[Device-security-policy-ip-2-finance-web] destination-ip web
[Device-security-policy-ip-2-finance-web] service http
[Device-security-policy-ip-2-finance-web] action pass
[Device-security-policy-ip-2-finance-web] quit
# 配置名稱為market-web的安全策略規則,禁止市場部在任何時間通過HTTP協議訪問財務管理Web服務器,具體配置步驟如下。
[Device-security-policy-ip] rule name market-web
[Device-security-policy-ip-3-market-web] source-zone market
[Device-security-policy-ip-3-market-web] destination-zone web
[Device-security-policy-ip-3-market-web] source-ip-subnet 10.0.12.0 24
[Device-security-policy-ip-3-market-web] destination-ip web
[Device-security-policy-ip-3-market-web] service http
[Device-security-policy-ip-3-market-web] action drop
[Device-security-policy-ip-3-market-web] quit
# 激活安全策略規則的加速功能,具體配置步驟如下。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
配置完成後,財務部可以訪問財務管理服務器的Web服務,市場部任何時間均不可以訪問財務管理服務器的Web服務。
某公司內的各部門之間通過Device實現互連,公司內網中部署了域名為www.example.com、finance.example.com、bbs.example.com等多個Web服務器,這些域名已在內網DNS服務器中注冊。通過配置安全策略,實現如下需求:
· 基於模糊域名允許財務部通過HTTP協議訪問所有Web服務器。
· 基於精確域名允許市場部通過HTTP協議訪問bbs.example.com服務器。
圖1-8 基於模糊域名的安全策略配置組網圖
(1) 配置內網主機的DNS服務器地址為Device的IP地址
(2) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 10.0.13.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(3) 配置接口加入安全域
# 請根據組網圖中規劃的信息,創建安全域,並將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name web
[Device-security-zone-web] import interface gigabitethernet 1/0/1
[Device-security-zone-web] quit
[Device] security-zone name market
[Device-security-zone-market] import interface gigabitethernet 1/0/2
[Device-security-zone-market] quit
[Device] security-zone name finance
[Device-security-zone-finance] import interface gigabitethernet 1/0/3
[Device-security-zone-finance] quit
[Device] security-zone name dns
[Device-security-zone-dns] import interface gigabitethernet 1/0/4
[Device-security-zone-dns] quit
(4) 配置對象組
# 創建名為web的IP地址對象組,並定義其主機名稱為*.example.com,即匹配所有包含“.example.com”的域名地址。具體配置步驟如下。
[Device] object-group ip address web
[Device-obj-grp-ip-web] network host name *.example.com
[Device-obj-grp-ip-web] quit
# 創建名為bbs的IP地址對象組,並定義其主機名稱為bbs.example.com。具體配置步驟如下。
[Device] object-group ip address bbs
[Device-obj-grp-ip-bbs] network host name bbs.example.com
[Device-obj-grp-ip-bbs] quit
(5) 配置DNS
# 開啟DNS代理功能。
[Device] dns proxy enable
# 指定DNS服務器的IP地址為10.10.10.10,確保Device可以獲取到主機名對應的IP地址,具體配置步驟如下。
[Device] dns server 10.10.10.10
(6) 配置安全策略
# 配置名稱為local-dns的安全策略規則,允許Device訪問DNS服務器,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name local-dns
[Device-security-policy-ip-0-local-dns] source-zone local
[Device-security-policy-ip-0-local-dns] destination-zone dns
[Device-security-policy-ip-0-local-dns] destination-ip-host 10.10.10.10
[Device-security-policy-ip-0-local-dns] service dns-udp
[Device-security-policy-ip-0-local-dns] service dns-tcp
[Device-security-policy-ip-0-local-dns] action pass
[Device-security-policy-ip-0-local-dns] quit
# 配置名稱為host-localdns的安全策略規則,允許內網主機訪問設備DNS代理,具體配置步驟如下。
[Device-security-policy-ip] rule name host-localdns
[Device-security-policy-ip-1-host-localdns] source-zone finance
[Device-security-policy-ip-1-host-localdns] source-zone market
[Device-security-policy-ip-1-host-localdns] destination-zone local
[Device-security-policy-ip-1-host-localdns] source-ip-subnet 10.0.11.0 24
[Device-security-policy-ip-1-host-localdns] source-ip-subnet 10.0.12.0 24
[Device-security-policy-ip-1-host-localdns] service dns-udp
[Device-security-policy-ip-1-host-localdns] service dns-tcp
[Device-security-policy-ip-1-host-localdns] action pass
[Device-security-policy-ip-1-host-dns] quit
# 配置名稱為finance-web的安全策略規則,允許財務部通過HTTP協議訪問所有Web服務器,具體配置步驟如下。
[Device-security-policy-ip] rule name finance-web
[Device-security-policy-ip-2-finance-web] source-zone finance
[Device-security-policy-ip-2-finance-web] destination-zone web
[Device-security-policy-ip-2-finance-web] source-ip-subnet 10.0.11.0 24
[Device-security-policy-ip-2-finance-web] destination-ip web
[Device-security-policy-ip-2-finance-web] service http
[Device-security-policy-ip-2-finance-web] action pass
[Device-security-policy-ip-2-finance-web] quit
# 配置名稱為market-web的安全策略規則,允許市場部通過HTTP協議訪問bbs.example.com服務器,具體配置步驟如下。
[Device-security-policy-ip] rule name market-web
[Device-security-policy-ip-3-market-web] source-zone market
[Device-security-policy-ip-3-market-web] destination-zone web
[Device-security-policy-ip-3-market-web] source-ip-subnet 10.0.12.0 24
[Device-security-policy-ip-3-market-web] destination-ip bbs
[Device-security-policy-ip-3-market-web] service http
[Device-security-policy-ip-3-market-web] action pass
[Device-security-policy-ip-3-market-web] quit
# 激活安全策略規則的加速功能,具體配置步驟如下。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
配置完成後,財務部可以通過HTTP協議訪問所有Web服務器,市場部僅可以通過HTTP協議訪問bbs.example.com服務器。
關於基於用戶的安全策略典型配置舉例,請參見“安全配置指導”中的“用戶身份識別與管理”。
· 所有的設備都運行OSPF,並將整個自治係統劃分為3個區域。
· 其中Device A和Device B作為ABR來轉發區域之間的路由。
· 配置完成後,每台路由器都應學到AS內的到所有網段的路由。
圖1-9 安全策略保證OSPF鄰接關係建立配置組網圖
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ip address 1.1.1.1 255.255.255.0
[DeviceA-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceA] security-zone name untrust
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-Trust] quit
(3) 配置安全策略
a. 配置安全策略放行Untrust與Local安全域之間的流量,用於設備之間可以建立OSPF鄰居關係。
# 配置名稱為ospflocalin的安全策略規則,使Device A可以接收Device B發送的OSPF協議報文,具體配置步驟如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name ospflocalin
[DeviceA-security-policy-ip-0-ospflocalin] source-zone untrust
[DeviceA-security-policy-ip-0-ospflocalin] destination-zone local
[DeviceA-security-policy-ip-0-ospflocalin] service ospf
[DeviceA-security-policy-ip-0-ospflocalin] action pass
[DeviceA-security-policy-ip-0-ospflocalin] quit
# 配置名稱為ospflocalout的安全策略規則,使Device A可以向Device B發送OSPF協議報文,具體配置步驟如下。
[DeviceA-security-policy-ip] rule name ospflocalout
[DeviceA-security-policy-ip-1-ospflocalout] source-zone local
[DeviceA-security-policy-ip-1-ospflocalout] destination-zone untrust
[DeviceA-security-policy-ip-1-ospflocalout] service ospf
[DeviceA-security-policy-ip-1-ospflocalout] action pass
[DeviceA-security-policy-ip-1-ospflocalout] quit
b. 配置安全策略放行Untrust與Trust安全域之間的流量,放行Area1與Area2之間的流量。
# 配置名稱為trust-untrust的安全策略規則,使Trust安全域到Untrust安全域的報文可通,具體配置步驟如下。
[DeviceA-security-policy-ip] rule name trust-untrust
[DeviceA-security-policy-ip-2-trust-untrust] source-zone trust
[DeviceA-security-policy-ip-2-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ip-2-trust-untrust] source-ip-subnet 2.2.2.0 24
[DeviceA-security-policy-ip-2-trust-untrust] destination-ip-subnet 3.3.3.0 24
[DeviceA-security-policy-ip-2-trust-untrust] action pass
[DeviceA-security-policy-ip-2-trust-untrust] quit
# 配置名稱為untrust-trust的安全策略規則,使Untrust安全域到Trust安全域的報文可通,具體配置步驟如下。
[DeviceA-security-policy-ip] rule name untrust-trust
[DeviceA-security-policy-ip-3-untrust-trust] source-zone untrust
[DeviceA-security-policy-ip-3-untrust-trust] destination-zone trust
[DeviceA-security-policy-ip-3-untrust-trust] source-ip-subnet 3.3.3.0 24
[DeviceA-security-policy-ip-3-untrust-trust] destination-ip-subnet 2.2.2.0 24
[DeviceA-security-policy-ip-3-untrust-trust] action pass
[DeviceA-security-policy-ip-3-untrust-trust] quit
[DeviceA-security-policy-ip] quit
(4) 配置OSPF基本功能
[DeviceA] router id 2.2.2.1
[DeviceA] ospf
[DeviceA-ospf-1] area 0
[DeviceA-ospf-1-area-0.0.0.0] network 1.1.1.0 0.0.0.255
[DeviceA-ospf-1-area-0.0.0.0] quit
[DeviceA-ospf-1] area 1
[DeviceA-ospf-1-area-0.0.0.1] network 2.2.2.0 0.0.0.255
[DeviceA-ospf-1-area-0.0.0.1] quit
[DeviceA-ospf-1] quit
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ip address 1.1.1.2 255.255.255.0
[DeviceB-GigabitEthernet1/0/1] quit
[DeviceB] interface GigabitEthernet1/0/2
[DeviceB-GigabitEthernet1/0/2] ip address 3.3.3.1 255.255.255.0
[DeviceB-GigabitEthernet1/0/2] quit
(2) 配置接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceB] security-zone name untrust
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceB-security-zone-Trust] quit
(3) 配置安全策略
a. 配置安全策略放行Untrust與Local安全域之間的流量,用於設備之間可以建立OSPF鄰居關係。
# 配置名稱為ospflocalin的安全策略規則,使Device B可以接收Device A發送的OSPF協議報文,具體配置步驟如下。
[DeviceB] security-policy ip
[DeviceB-security-policy-ip] rule name ospflocalin
[DeviceB-security-policy-ip-0-ospflocalin] source-zone untrust
[DeviceB-security-policy-ip-0-ospflocalin] destination-zone local
[DeviceB-security-policy-ip-0-ospflocalin] service ospf
[DeviceB-security-policy-ip-0-ospflocalin] action pass
[DeviceB-security-policy-ip-0-ospflocalin] quit
# 配置名稱為ospflocalout的安全策略規則,使Device B可以向Device A發送OSPF協議報文,具體配置步驟如下。
[DeviceB-security-policy-ip] rule name ospflocalout
[DeviceB-security-policy-ip-1-ospflocalout] source-zone local
[DeviceB-security-policy-ip-1-ospflocalout] destination-zone untrust
[DeviceB-security-policy-ip-1-ospflocalout] service ospf
[DeviceB-security-policy-ip-1-ospflocalout] action pass
[DeviceB-security-policy-ip-1-ospflocalout] quit
b. 配置安全策略放行Untrust與Trust安全域之間的流量,放行Area1與Area2之間的流量。
# 配置名稱為trust-untrust的安全策略規則,使Trust安全域和Untrust安全域之間的報文互通,具體配置步驟如下。
[DeviceB-security-policy-ip] rule name trust-untrust
[DeviceB-security-policy-ip-2-trust-untrust] source-zone trust
[DeviceB-security-policy-ip-2-trust-untrust] destination-zone untrust
[DeviceB-security-policy-ip-2-trust-untrust] source-ip-subnet 3.3.3.0 24
[DeviceB-security-policy-ip-2-trust-untrust] destination-ip-subnet 2.2.2.0 24
[DeviceB-security-policy-ip-2-trust-untrust] action pass
[DeviceB-security-policy-ip-2-trust-untrust] quit
# 配置名稱為untrust-trust的安全策略規則,使Untrust安全域到Trust安全域的報文可通,具體配置步驟如下。
[DeviceB-security-policy-ip] rule name untrust-trust
[DeviceB-security-policy-ip-3-untrust-trust] source-zone untrust
[DeviceB-security-policy-ip-3-untrust-trust] destination-zone trust
[DeviceB-security-policy-ip-3-untrust-trust] source-ip-subnet 2.2.2.0 24
[DeviceB-security-policy-ip-3-untrust-trust] destination-ip-subnet 3.3.3.0 24
[DeviceB-security-policy-ip-3-untrust-trust] action pass
[DeviceB-security-policy-ip-3-untrust-trust] quit
[DeviceB-security-policy-ip] quit
(4) 配置OSPF基本功能
[DeviceB] router id 3.3.3.1
[DeviceB] ospf
[DeviceB-ospf-1] area 0
[DeviceB-ospf-1-area-0.0.0.0] network 1.1.1.0 0.0.0.255
[DeviceB-ospf-1-area-0.0.0.0] quit
[DeviceB-ospf-1] area 2
[DeviceB-ospf-1-area-0.0.0.2] network 3.3.3.0 0.0.0.255
[DeviceB-ospf-1-area-0.0.0.2] quit
[DeviceB-ospf-1] quit
# 查看Device A的OSPF鄰居詳細信息。
[DeviceA] display ospf peer verbose
OSPF Process 1 with Router ID 2.2.2.1
Neighbors
Area 0.0.0.0 interface 1.1.1.1(GigabitEthernet1/0/1)'s neighbors
Router ID: 3.3.3.1 Address: 1.1.1.2 GR State: Normal
State: Full Mode: Nbr is master Priority: 1
DR: 1.1.1.1 BDR: 1.1.1.2 MTU: 0
Options is 0x42 (-|O|-|-|-|-|E|-)
Dead timer due in 32 sec
Neighbor is up for 00:07:08
Authentication Sequence: [ 0 ]
Neighbor state change count: 5
BFD status: Disabled
# 查看Device A的OSPF路由信息。
[DeviceA] display ospf routing
OSPF Process 1 with Router ID 2.2.2.1
Routing Table
Routing for network
Destination Cost Type NextHop AdvRouter Area
3.3.3.0/24 2 Inter 1.1.1.2 3.3.3.1 0.0.0.0
2.2.2.0/24 1 Stub 0.0.0.0 2.2.2.1 0.0.0.1
1.1.1.0/24 1 Transit 0.0.0.0 2.2.2.1 0.0.0.0
Total nets: 3
Intra area: 2 Inter area: 1 ASE: 0 NSSA: 0
# Area 1中的主機與Area 2中的主機可以互相Ping通。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
