- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-安全域配置
本章節下載: 01-安全域配置 (287.58 KB)
管理員將安全需求相同的接口進行分類,並劃分到不同的安全域(Security Zone),能夠實現域間策略的統一管理。
安全域特性包括如下基本概念:
· 安全域:是一個邏輯概念,用於管理安全防護設備上安全需求相同的多個接口。
· 缺省安全域:當首次創建安全域或者域間策略時,係統會自動創建以下缺省安全域:Local、Trust、DMZ(Demilitarized Zone,隔離區)、Management和Untrust。缺省安全域不能被刪除。
· DMZ:指代一個邏輯上和物理上都與內部網絡和外部網絡分離的區域。通常部署網絡時,將那些需要被公共訪問的設備(如Web server、FTP server等)放置於此。
創建安全域後,設備上各接口的報文轉發遵循以下規則:
· 一個安全域中的接口與一個不屬於任何安全域的接口之間的報文,會被丟棄。
· 屬於同一個安全域的各接口之間的報文缺省會被丟棄。
· 安全域之間的報文由域間策略進行安全檢查,並根據檢查結果放行或丟棄。若域間策略不存在或不生效,則報文會被丟棄。
· 非安全域的接口之間的報文被放行。
· 目的地址或源地址為本機的報文,缺省會被丟棄,若該報文與域間策略匹配,則由域間策略進行安全檢查,並根據檢查結果放行或丟棄。
傳統防火牆的安全控製策略配置通常是基於報文入接口、出接口的,進入和離開接口的流量基於接口上指定方向的策略規則進行過濾。這種基於接口的策略配置方式需要為每一個接口配置安全控製策略,給網絡管理員帶來配置和維護上的負擔。隨著防火牆技術的發展,防火牆已經逐漸擺脫了隻連接外網和內網的角色,出現了內網/外網/DMZ的模式,並且向著提供高端口密度服務的方向發展。基於安全域來配置安全控製策略的方式可以解決上述問題。
如圖1-1所示,域間策略是一種基於安全域實現對報文流的檢查,並根據檢查結果對報文執行相應動作的安全控製策略。一個安全域中,可以包含多個成員。例如,可以將公司安全防護設備上連接到內網的接口作為成員加入安全域Trust,連接Internet的接口作為成員加入安全域Untrust,這樣管理員隻需要部署這兩個安全域之間的域間策略即可。如果後續網絡環境發生了變化,則隻需要調整相關安全域內的接口,而域間策略不需要修改。
域間策略包括:包過濾、ASPF和對象策略。管理員可以根據不同的應用場景,選擇不同的域間策略對報文進行轉發控製。包過濾、ASPF和對象策略基於安全域間實例進行配置。
包過濾功能是根據報文的五元組(源IP地址、源端口號、目的IP地址、目的端口號、傳輸層協議)實現對報文在不同安全域之間的轉發進行控製。有關包過濾功能的詳細介紹,請參見“ACL和QoS配置指導”中的“ACL”。
如圖1-2所示,若希望隻允許市場部員工可以訪問Internet網頁,而財務部的員工不可以訪問Internet網頁,則需要在邊界設備的Trust和Untrust安全域之間的兩個方向上均應用包過濾策略。策略中需要配置兩條規則rule-1和rule-2,保證市場部的員工可以訪問Internet網頁。默認策略可以禁止財務部員工訪問Internet網頁。
ASPF(Advanced Stateful Packet Filter,高級狀態包過濾)可以對已放行報文進行信息記錄,使已放行報文的回應報文在應用了包過濾策略的安全域之間可以正常通過。有關ASPF的詳細介紹,請參見“安全配置指導”中的“ASPF”。
如圖1-3所示,為了保護內部網絡,可以在邊界設備的Trust到Untrust安全域方向上應用包過濾策略和ASPF策略,隻允許市場部的員工訪問Internet網頁,同時拒絕Untrust網絡中的主機訪問Trust網絡。但是包過濾策略會將用戶發起連接後返回的報文過濾掉,導致連接無法正常建立。利用ASPF功能可以解決此問題。默認策略可以禁止財務部員工訪問Internet網頁。
圖1-3 ASPF示意圖
對象策略基於全局進行配置,基於安全域間實例進行應用。在安全域間實例上應用對象策略可實現對報文的檢查,並根據檢查結果允許或拒絕其通過。有關對象策略的詳細介紹,請參見“安全配置指導”中的“對象策略”。
如圖1-4所示,若希望隻允許市場部的員工可以訪問Internet網頁,但禁止其瀏覽淘寶網,則需要配置圖1-4中的對象策略,並將對象策略應用在Trust到Untrust安全域間實例上。默認策略可以禁止財務部員工訪問Internet網頁。
安全域配置任務如下:
(1) 創建安全域
(2) 向安全域中添加成員
(3) (可選)配置不受控協議
(4) 創建安全域間實例
(5) (可選)配置安全域內接口間報文處理的缺省動作
(6) (可選)在安全域間實例上開啟SLB虛服務IP過濾功能
(1) 進入係統視圖。
system-view
(2) 創建安全域,並進入安全域視圖。
security-zone name zone-name
缺省情況下,存在安全域Local、Trust、DMZ、Management和Untrust。
創建安全域後,需要給安全域添加成員。安全域的成員類型包括:
· 三層接口,包括三層以太網接口、三層以太網子接口和其它三層邏輯接口。配置該成員後,該接口收發的所有報文將由安全域下配置的域間策略來處理。
· 二層接口和VLAN。配置該成員後,該接口收發的、攜帶了指定VLAN Tag的報文,將由安全域下配置的域間策略來處理。
(1) 進入係統視圖。
system-view
(2) 進入安全域視圖。
security-zone name zone-name
(3) 向安全域中添加成員。請至少選擇其中一項進行配置。
¡ 向安全域中添加三層接口成員。
import interface layer3-interface-type layer3-interface-number
缺省情況下,安全域中不存在三層接口成員。
可以通過多次執行本命令,向安全域中添加多個三層接口成員。
¡ 向安全域中添加二層接口和VLAN成員。
import interface layer2-interface-type layer2-interface-number vlan vlan-list
缺省情況下,安全域中不存在二層接口和VLAN成員。
可以通過多次執行本命令,向安全域中添加多個二層接口和VLAN成員。
缺省情況下,設備僅允許Local安全域和Management安全域之間的報文通過,Local安全域和其他安全域之間的報文會被丟棄。若需通過其他安全域成員接口對設備進行管理,可通過配置域間策略放行Local安全域和其他安全域指定協議的報文,也可在對應接口視圖下配置本機與其他設備交互的不受控協議。
當設備的某接口配置了允許通過指定協議和其他設備進行交互,則和該接口相連設備交互的指定協議報文將直接放行,不再被安全策略或帶寬管理策略控製。
可以通過多次執行本命令,配置多個本機和其他設備交互的不受控協議。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置允許和其他設備交互的協議,指定協議的報文不受策略控製。
manage { { http | https | ping | ssh | telnet } { inbound | outbound } | { netconf-http | netconf-https | netconf-ssh | snmp } inbound }
缺省情況下,僅允許和Management安全域接口相連的其他設備進行報文交互。
安全域間實例用於指定域間策略(如包過濾策略、ASPF策略、對象策略等)需要檢測的業務流的源安全域和目的安全域,它們分別描述了經過網絡設備的業務流的首個數據包要進入的安全域和要離開的安全域。在安全域間實例上應用域間策略可實現對指定的業務流進行域間策略檢查。
有具體安全域的安全域間實例的匹配優先級高於any到any的安全域間實例。
Management和Local安全域間之間的報文缺省被允許。
Management和Local安全域間之間的報文隻能匹配Management與Local安全域之間的安全域間實例。
當安全域間實例上同時應用了對象策略和包過濾策略時,對象策略的優先級高於包過濾策略。
(1) 進入係統視圖。
system-view
(2) 創建安全域間實例,並進入安全域間實例視圖。
zone-pair security source { source-zone-name | any } destination { destination-zone-name | any }
對於同一安全域內接口間的報文,若設備上不存在當前域到當前域的域間策略,則設備缺省會將其丟棄,可以通過配置安全域內接口間報文處理的缺省動作允許或拒絕其通過。
(1) 進入係統視圖。
system-view
(2) 配置同一安全域內接口間報文處理的缺省動作。
¡ 配置缺省動作為允許。
security-zone intra-zone default permit
¡ 配置缺省動作為拒絕。
undo security-zone intra-zone default permit
缺省情況下,同一安全域內報文過濾的缺省動作為允許。
在SLB(Server Load Balance,服務器負載均衡)與安全域間實例包過濾功能配合使用的場景中,對於外部網絡訪問內部網絡的流量,設備收到報文後,會先進行報文目的地址轉換,即將報文中的虛服務IP轉換為實服務器IP,再根據包過濾策略對報文進行處理。
缺省情況下,包過濾功能使用實服務器IP進行報文目的地址匹配,當需要通過虛服務IP進行報文目的地址匹配時,則需要開啟虛服務IP過濾功能。關於包過濾功能的相關配置,請參考“ACL和QoS配置指導”中的“ACL”。
(1) 進入係統視圖。
system-view
(2) 在安全域間實例上開啟SLB虛服務IP過濾功能。
zone-pair vsip-filter enable
缺省情況下,安全域間實例SLB虛服務地址過濾功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後安全域的相關信息,通過查看顯示信息驗證配置的效果。
|
操作 |
命令 |
|
顯示安全域信息,包括預定義的和自定義的安全域信息 |
display security-zone [ name zone-name ] |
|
顯示已創建的所有安全域間實例的信息 |
display zone-pair security |
某公司以Device作為網絡邊界安全防護設備,連接公司內部網絡和Internet。公司隻對內網提供Web服務,不對外提供這些服務。現需要在設備上部署安全域,並基於以下安全需求進行域間策略的配置。
· 與接口GigabitEthernet1/0/1相連的公司內部網絡屬於可信任網絡,部署在Trust安全域,可以自由訪問Web服務器和外部網絡。
· 與接口GigabitEthernet1/0/3相連的外部網絡屬於不可信任網絡,部署在Untrust安全域,不能訪問公司內部網絡和Web服務器。
· 與接口GigabitEthernet1/0/2相連的Web server部署在DMZ安全域,可以被Trust安全域內的主機自由訪問,但不能訪問處於Trust安全域的公司內部網絡。
(1) 配置接口IP地址、路由保證網絡可達,具體配置步驟略。
(2) 將接口加入安全域
# 向安全域Trust中添加接口GigabitEthernet1/0/1。
<Device> system-view
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
# 向安全域DMZ中添加接口GigabitEthernet1/0/2。
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/2
[Device-security-zone-DMZ] quit
# 向安全域Untrust中添加接口GigabitEthernet1/0/3。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/3
[Device-security-zone-Untrust] quit
(3) 配置ACL
# 配置ACL 3500,定義規則:允許IP流量。
[Device] acl advanced 3500
[Device-acl-ipv4-adv-3500] rule permit ip
[Device-acl-ipv4-adv-3500] quit
(4) 配置域間策略
# 創建源安全域Trust到目的安全域Untrust的安全域間實例,並在該域間實例上應用包過濾策略,可以拒絕Untrust域用戶對Trust的訪問,但Trust域用戶訪問Untrust域以及返回的報文可以通過。
[Device] zone-pair security source trust destination untrust
[Device-zone-pair-security-Trust-Untrust] packet-filter 3500
[Device-zone-pair-security-Trust-Untrust] quit
# 創建源安全域Trust到目的安全域DMZ的安全域間實例,並在該域間實例上應用包過濾策略,可以拒絕DMZ域用戶對Trust的訪問,但Trust域用戶訪問DMZ域以及返回的報文可以通過。
[Device] zone-pair security source trust destination dmz
[Device-zone-pair-security-Trust-DMZ] packet-filter 3500
[Device-zone-pair-security-Trust-DMZ] quit
以上配置完成後,內網主機可訪問外部網絡以及DMZ安全域內的Web服務器資源。外部網絡向內部網絡和DMZ安全域主動發起的連接請求將被拒絕。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
