- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
01-安全策略配置指导
本章节下载: 01-安全策略配置指导 (159.09 KB)
目录
IPv4安全策略,可以对经过设备的IPv4数据流进行有效的控制和管理。以下述七元组:出接口、入接口、源地址、目的地址、服务、用户、应用作为匹配条件,决定数据流后续的处理,实现数据流的丢弃、审计、免审计。决定哪些用户和数据能进出,以及它们进出的时间等。
根据实际网络情况,保证安全策略对应匹配条件的对象已存在,关于配置对象的详细介绍,请参考“对象管理配置指导”:
· 安全策略引用的源、目的地址对象或者地址组已存在。
· 安全策略引用的服务对象或者服务组已经存在。
· 安全策略引用的用户对象或者用户组已经存在。
· 安全策略引用的应用对象或者应用组已经存在。
· 安全策略引用的时间对象已经存在。
在配置准备所涉及到的匹配对象都已经存在的前提下,具体安全策略配置如表1-1所示。
表1-1 配置IPv4安全策略
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
必选 |
|
配置IPv4安全策略 |
policyinterface-in interface-out source-addr dst-addr service user application schedule { permit | deny} [ id ] |
必选 |
在没有任何安全策略配置的情况下,设备会有一个默认的允许或者禁止转发报文经过设备的配置,配置安全策略默认动作的配置如表1-2所示。
表1-2 配置IPv4安全策略默认动作
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
必选 |
|
配置IPv4安全策略 |
policy default-action {permit|deny } |
可选 缺省情况下,默认动作是permit |
在完成上述配置后,在任意视图下执行display命令,可以显示设备上IPv4安全策略的配置情况。
表1-3 IPv4安全策略配置显示
|
操作 |
命令 |
|
IPv4安全策略配置显示 |
display running-config policy |
|
IPv4安全策略删除命令 |
no policy id |
设备作为网关,内网用户通过设备访问外网资源。
图1-1 配置安全策略组网图
· 内网PC通过ge1口进入设备,从ge0口接入外网。
· 在设备上配置对HTTP流量的阻断。
· 其它流量均允许通过设备。
# 配置IPv4安全策略。
host#system-view
host(config)# policy ge1 ge0 any anyanyany HTTP always deny
host(config-policy)#exit
host(config)#
(1) 通过执行display running-config policy命令来验证配置。
host# display running-config policy
policy ge1 ge0 any anyanyany HTTP always deny 1
policy default-action permit
!
(2) 网关设备和链路均正常工作时,验证局域网内主机和外网的报文交互,除HTTP流量外,其余流量都能正常通过设备。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
