- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
03-共享上網管理配置
本章節下載: 03-共享上網管理配置 (283.75 KB)
共享上網是指多個終端通過NAT或代理等技術使用同一個IP地址進行網絡訪問。共享上網管理功能可對共享上網行為進行檢測和管理。
共享上網管理通過如下方式對報文的源IP地址是否存在共享上網行為進行檢測:
· 應用檢測方式:設備通過在APR(Application Recognition,應用層協議識別)的基礎上分析應用層的相關特征來檢測終端的共享上網行為。有關APR的詳細介紹,請參見“安全配置指導”中的“APR”。
· IPID軌跡檢測方式:設備通過對報文IPID字段(報文首部的標識字段)的變化情況進行分析來檢測終端的共享上網行為。
共享上網管理策略中包含如下內容:
· 過濾條件
· 檢測方式
· 每個IP地址可被共享的最大終端數
· 動作
當設備檢測到某IP地址下的共享終端數大於策略所允許的最大終端數時,將對該IP地址執行策略中的動作。
共享上網管理對報文的處理流程如圖1-1所示。
共享上網管理對報文的處理過程如下:
(1) 設備收到報文後,如果未啟用共享策略,則允許報文通過;如果共享策略處於啟用狀態,則進入步驟(2)處理。
(2) 判斷報文的源IP地址是否已經處於凍結狀態。如果已凍結,則丟棄報文;如果未凍結,則進入步驟(3)處理。
(3) 報文與共享策略中的過濾條件進行匹配。如果匹配失敗,則允許報文通過;如果匹配成功,則進行共享上網檢測。
(4) 如果未檢測到報文的源IP地址存在共享行為,則允許報文通過;如果檢測到報文的源IP地址存在共享行為,則將該IP地址下共享的終端數量與共享上網管理策略中配置的每個IP地址可被共享的最大終端數進行比較:
¡ 如果未超過,則允許報文通過。
¡ 如果超過配置的最大終端數,則對報文執行共享上網管理策略中配置的動作。
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
F1000-L係列 |
F1003-L、F1005-L、F1010-L |
支持 |
|
F1003-L-C、F1003-L-S |
不支持 |
|
|
F10X0係列 |
F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
F1003-C、F1003-M、F1003-S |
不支持 |
|
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9110、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190、F1000-AK9210 |
支持 |
|
F1000-AK9109、F1000-AK9120 |
不支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
共享上網管理配置任務如下:
(1) 創建共享上網管理策略
(2) 配置共享上網管理策略過濾條件
(3) 配置共享上網檢測方式
(5) 配置共享上網管理策略動作
(6) 激活共享上網管理策略配置
(7) (可選)禁用共享上網管理策略
(8) (可選)手工凍結和解凍源IP地址
在配置共享上網管理策略之前,需完成以下任務:
· 升級APR特征庫到最新版本。
· 配置IP地址對象組(請參見“安全配置指導/對象組”)。
· 配置用戶和用戶組(請參見“安全配置指導/用戶身份識別與管理”)。
· 配置安全域(請參見“安全配置指導/安全域”)。
目前,僅支持創建一個共享上網管理策略。
(1) 進入係統視圖。
system-view
(2) 進入共享上網管理視圖。
netshare-control
(3) 創建共享上網管理策略,並進入共享上網管理策略視圖。
policy name policy-name
(4) 配置策略的描述(可選)。
description text
缺省情況下,未配置共享上網管理策略的描述信息。
共享上網管理策略支持配置多種過濾條件,每種過濾條件支持配置多個匹配項,且多個匹配項之間是或的關係,即如果報文與某一個過濾條件中的任意一項匹配成功,則報文與此條過濾條件匹配成功;若報文與某一個過濾條件中的所有項都匹配失敗,則報文與此條過濾條件匹配失敗。
如果報文與某條策略中的所有過濾條件都匹配成功(用戶與用戶組匹配一項即可),則報文與此條策略匹配成功。如果有一個過濾條件匹配失敗,則報文與此條策略匹配失敗。
(1) 進入係統視圖。
system-view
(2) 進入共享上網管理視圖。
netshare-control
(3) 進入共享上網管理策略視圖。
policy name policy-name
(4) 配置作為共享上網管理策略過濾條件的安全域。
¡ 配置作為共享上網管理策略過濾條件的源安全域。
source-zone source-zone-name
缺省情況下,未配置作為共享上網管理策略過濾條件的源安全域。
¡ 配置作為共享上網管理策略過濾條件的目的安全域。
destination-zone destination-zone-name
缺省情況下,未配置作為共享上網管理策略過濾條件的目的安全域。
(5) 配置作為共享上網管理策略過濾條件的地址對象組。
¡ 配置作為共享上網管理策略過濾條件的源IP地址。
source-address { ipv4 | ipv6 } object-group-name
缺省情況下,未配置作為共享上網管理策略過濾條件的源IP地址。
¡ 配置作為共享上網管理策略過濾條件的目的IP地址。
destination-address { ipv4 | ipv6 } object-group-name
缺省情況下,未配置作為共享上網管理策略過濾條件的目的IP地址。
(6) 配置作為共享上網管理策略過濾條件的用戶和用戶組。
¡ 配置作為共享上網管理策略過濾條件的用戶。
user username [ domain domain-name ]
缺省情況下,未配置作為共享上網管理策略過濾條件的用戶。
¡ 配置作為共享上網管理策略過濾條件的用戶組。
user-group user-group-name [ domain domain-name ]
缺省情況下,未配置作為共享上網管理策略過濾條件的用戶組。
開啟本功能後,設備將對特定應用的共享上網狀態進行檢測。
應用檢測功能與IPID軌跡檢測功能互不影響,可同時使用兩種方式對共享上網行為進行檢測。請管理員根據實際場景進行配置。
本功能僅對特征庫中的特定應用有效(包括QQ、微信、58同城和美團),建議在沒有特定應用的場景下關閉本功能。
如果應用本身進行了加密處理,則應用檢測功能無法對其進行共享上網行為檢測。
開啟本功能後,將對設備業務處理性能產生影響,請管理員根據設備實際情況進行配置。
(1) 進入係統視圖。
system-view
(2) 進入共享上網管理視圖。
netshare-control
(3) 進入共享上網管理策略視圖。
policy name policy-name
(4) 開啟共享上網管理策略的應用檢測功能。
application-inspect enable
缺省情況下,應用檢測功能處於開啟狀態。
缺省情況下,設備使用應用檢測功能對共享上網狀態進行檢測,但是,該功能隻對特征庫中的特定應用有效。為了滿足更多場景的需求,可使用IPID軌跡檢測功能對共享上網狀態進行檢測。
開啟本功能後,設備將通過對報文IPID字段(報文首部的標識字段)的變化情況進行分析來檢測終端的共享上網行為。
應用檢測功能與IPID軌跡檢測功能互不影響,可同時使用兩種方式對共享上網行為進行檢測。請管理員根據實際場景進行配置。
開啟此功能後,將對設備業務處理性能產生影響,請管理員根據設備實際情況進行配置。
本功能僅支持檢測Windows係統的終端,且報文IPID呈規律性變化。
本功能僅支持檢測IPv4類型地址。
本功能不支持對移動終端進行共享上網行為檢測。
(1) 進入係統視圖。
system-view
(2) 進入共享上網管理視圖。
netshare-control
(3) 進入共享上網管理策略視圖。
policy name policy-name
(4) 開啟共享上網管理策略的IPID軌跡檢測功能。
ipid-trail enable
缺省情況下,IPID軌跡檢測功能處於關閉狀態。
本命令用於限製可以同時使用相同IP地址進行共享上網的終端數量。當設備檢測到某IP地址下的共享終端數大於配置的最大終端數時,將對該IP地址執行共享上網管理策略中配置的動作;如果檢測到的終端數小於配置的最大終端數,則允許此共享行為。
(1) 進入係統視圖。
system-view
(2) 進入共享上網管理視圖。
netshare-control
(3) 進入共享上網管理策略視圖。
policy name policy-name
(4) 配置每個IP地址可被共享的最大終端數。
per-ip-shared max-terminals number
缺省情況下,不限製每個IP地址可被共享的終端數。
設備將根據本功能配置的動作對命中策略的源IP地址執行相應的操作:
當動作為凍結時,設備將自動凍結該IP地址,後續來自該IP地址的報文將被丟棄。當達到凍結時間後,被凍結的IP地址將自動解凍。
當動作為允許時,設備將允許該IP地址的共享上網行為。
若動作配置為logging,生成的日誌信息不會輸出到控製台和監視終端。如需獲取該日誌,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“信息中心”。
(1) 進入係統視圖。
system-view
(2) 進入共享上網管理視圖。
netshare-control
(3) 進入共享上網管理策略視圖。
policy name policy-name
(4) 配置共享上網管理策略的動作。
action { freeze freeze-time | permit } [ logging ]
缺省情況下,動作為允許。
當共享上網管理策略被創建和刪除後,需要配置此功能使其生效。
配置此功能會暫時中斷DPI業務的處理,為避免重複配置此功能對DPI業務造成影響,請完成部署DPI各業務模塊的策略和規則後統一配置此功能。
有關此功能的詳細介紹請參見“DPI深度安全配置指導”中的“應用層檢測引擎”。
(1) 進入係統視圖。
system-view
(2) 激活共享上網管理策略配置。
inspect activate
缺省情況下,共享上網管理策略被創建和刪除時不生效。
如果在某些組網環境中暫時不需要啟用共享上網管理策略,可以配置本功能禁用該策略。
目前設備僅支持同時配置一個共享上網管理策略,禁用該策略後,共享上網管理功能將失效。
(1) 進入係統視圖。
system-view
(2) 進入共享上網管理視圖。
netshare-control
(3) 進入共享上網管理策略視圖。
policy name policy-name
(4) 禁用共享上網管理策略。
disable
缺省情況下,共享上網管理策略處於開啟狀態。
本功能適用於如下情況:
· 當某IP地址處於凍結狀態且未達到配置的凍結時間時,可通過本功能進行手工解凍。
· 當某IP地址處於未凍結狀態時,可通過本功能進行手工凍結。
(1) 進入係統視圖。
system-view
(2) 進入共享上網管理視圖。
netshare-control
(3) 手工凍結IP地址。
freeze { ipv4 | ipv6 } ip-address [ vpn-instance vpn-instance-name ] time freeze-time
(4) 手工解凍IP地址。
unfreeze { ipv4 | ipv6 } ip-address [ vpn-instance vpn-instance-name ]
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後共享上網管理的運行情況。
表1-1 共享上網管理顯示和維護
|
操作 |
命令 |
|
顯示共享上網狀態信息 |
display netshare-control [ { ipv4 | ipv6 } ip-address | status { frozen | unfrozen } ] [ slot slot-number ] |
如下圖所示,Device分別通過Trust安全域和Untrust安全域與局域網和Internet相連。現有以下組網需求:
某公司內的各部門通過Device與Internet連接,管理員發現有員工在主機上開啟代理軟件,將上網權限共享給其他沒有權限的員工。現在需要通過配置共享上網管理功能策略,禁止共享上網行為。如果檢測到存在共享上網行為,則將源IP地址凍結1小時並記錄日誌。
圖1-2 共享上網管理配置組網圖
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由。本舉例假設設備Device到達外網服務器5.5.5.5/24的下一跳為2.2.2.2,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ip route-static 5.5.5.5 24 2.2.2.2
(3) 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置安全策略
配置安全策略放行內網訪問外網的流量,用於內網主機訪問外網Internet。
# 配置名稱為trust-untrust的安全策略規則,使內網Host訪問外網Internet的報文可通,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-1-trust-untrust] source-zone trust
[Device-security-policy-ip-1-trust-untrust] destination-zone untrust
[Device-security-policy-ip-1-trust-untrust] source-ip-host 192.168.1.2
[Device-security-policy-ip-1-trust-untrust] source-ip-host 192.168.1.3
[Device-security-policy-ip-1-trust-untrust] source-ip-host 192.168.1.4
[Device-security-policy-ip-1-trust-untrust] action pass
[Device-security-policy-ip-1-trust-untrust] quit
[Device-security-policy-ip] quit
(5) 配置共享上網管理策略
# 創建一個名稱為a的共享上網管理策略,配置每個IP地址可被共享的最大終端數為1。若每個IP地址上實際共享終端數量超過配置限製後,凍結該IP地址1小時並記錄日誌。
[Device] netshare-control
[Device-netshare-control] policy name a
[Device-netshare-control-policy-a] source-zone trust
[Device-netshare-control-policy-a] destination-zone untrust
[Device-netshare-control-policy-a] per-ip-shared max-terminals 1
[Device-netshare-control-policy-a] action freeze 60 logging
[Device-netshare-control-policy-a] quit
[Device-netshare-control] quit
(6) 激活共享上網管理策略配置。
[Device] inspect activate
以上配置完成後,如果內網有主機通過代理軟件上網(例如,有3個以上的QQ賬號通過一個IP地址進行登錄),就能檢測到該主機的IP地址存在共享上網行為,並凍結該IP地址1小時並記錄日誌。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
