• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 Web配置指导(E6401 E6451)-6W112

18-安全策略

本章节下载 18-安全策略  (261.29 KB)

18-安全策略


1 安全策略

1.1  安全策略概述

安全策略对通过设备的源接口、目的接口、源IP、目的IP、服务、用户以及应用七元组进行访问控制。

1.2  安全策略配置

在导航栏中选择“上网行为管理 > 策略配置 > IPv4策略”,进入IPv4策略显示界面,如图1-1所示。

图1-1 IPv4策略显示界面

 

IPv4策略的含义如表1-1所示:

表1-1 IPv4显示信息描述表

标题项

说明

状态

策略的状态:

·     说明: http://192.168.4.63/webui/images/default/icons/icon_enable.gif表示策略启用

·     http://192.168.4.63/webui/images/default/icons/icon_disable.gif表示策略禁用

ID

策略的ID

源接口

匹配安全策略的源接口

目的接口

匹配安全策略的目的接口

源地址

匹配安全策略的源地址

目的地址

匹配安全策略的目的地址

服务

匹配安全策略匹配的服务对象

应用

匹配安全策略匹配的应用对象

用户

匹配安全策略的用户对象

匹配次数

匹配安全策略的次数

应用安全

如果显示图标上网行为策略,表示已经匹配了应用审计或URL审计规则

时间

匹配安全策略匹配的时间对象

日志

安全策略是否记录日志

老化时间

基于策略的老化时间,缺省情况下,老化时间为0,表示使用各个协议默认的老化时间

操作

可对该策略进行的操作,包括修改和删除

 

单击<新建>按钮,进入安全策略配置页面,如图1-2所示。

图1-2 IPv4策略配置界面

 

IPv4策略详细配置说明,如表1-2所示。

表1-2 IPv4策略详细配置

标题项

说明

动作

策略的动作是:

·     审计,对匹配匹配条件的会话进行应用审计

·     免审计,对匹配匹配条件的会话免审计

·     拒绝,阻断命中匹配条件的会话

老化时间

基于策略的老化时间配置,缺省情况下,默认值为0,表示使用各个协议默认的老化时间

描述

该策略的描述信息

启用

策略启用和禁用,勾选表示开启策略,不勾选表示禁用策略

用户

匹配安全策略的用户对象

源接口/域

安全策略指定的源接口

目的接口/域

安全策略指定的目的接口

源地址

匹配安全策略的源地址

目的地址

匹配安全策略的目的地址

时间

安全策略匹配的时间对象

服务

安全策略匹配的服务对象

应用

安全策略匹配的应用对象

 

1.3  安全策略优先级配置

在导航栏中选择“上网行为管理 > 策略配置 > IPv4策略”,单击<优先级>按钮进入安全策略优先级配置页面,如图1-3所示。

图1-3 策略优先级

 

 

安全策略优先级详细配置说明,如表1-3所示。

表1-3 安全策略优先级详细配置

标题项

说明

被移动的策略ID

被移动的策略索引

目标位置

移动后的位置:

·     策略最前指移动到所有策略的最前面

·     策略ID之前指移动到某条固定的策略之前

·     策略ID之后指移动到某条固定的策略后面

·     策略最后指移动到所有策略的后面

目标位置策略ID

参考策略索引

 

1.4  启用和禁用安全策略

在导航栏中选择“上网行为管理 > 策略配置 > IPv4策略”,进入安全策略显示页面,如图1-4所示。勾选要启用或者禁用的安全策略,单击<启用>按钮或<禁用>按钮可以启动和禁用该安全策略。

图1-4 IPv4策略启用和禁用

 

1.5  安全策略搜索

在导航栏中选择“上网行为管理 > 策略配置 > IPv4策略”,进入安全策略显示页面,如图1-5所示。点击<搜索>,填写过滤条件可以搜寻出符合该过滤条件的安全策略。

图1-5 IPv4策略搜索

 

安全策略搜索配置详细说明,如表1-3所示。

表1-4 安全策略搜索详细配置

标题项

说明

ID

被搜索的策略索引

源接口/域

策略所选择的源接口

源地址

策略所配置包含该地址的地址对象(可基于地址对象或IP地址搜寻)

用户

策略所选择的用户

目的接口/域

策略所选择的目的接口

目的地址

策略所配置包含该地址的地址对象(可基于地址对象或IP地址搜寻)

应用

策略所选择的应用

服务

策略所选择的服务

描述

策略所对应的描述信息

 

1.6  配置举例

1.6.1  安全策略配置案例

1. 组网需求

禁止公司员工上班时间(8:00—18:00)访问QQ。

2. 配置步骤

(1)     在导航栏中选择“对象管理> 时间表 > 日计划”,单击<新建>按钮,进入日计划配置页面,如图1-6所示。

图1-6 日计划配置

 

点击<提交>按钮,提交配置。

(2)     在导航栏中选择“上网行为管理 > 策略配置 > IPv4策略”,单击<新建>按钮,进入IPv4策略配置页面,如图1-7所示。

图1-7 IPv4策略

 

3. 验证配置

配置完成后,公司员工在8:00—18:00的时间范围内无法登录QQ,但在其它时间是可以登录的。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们