01-安全策略
本章节下载: 01-安全策略 (314.21 KB)
本帮助主要介绍以下内容:
· 特性简介
¡ 安全策略的名称
¡ 安全策略加速功能
¡ 安全策略组
¡ 策略导入导出功能
· 故障处理
· 配置指南
¡ 配置思路
¡ 配置安全策略
¡ 配置安全策略组
¡ 配置安全策略
¡ 配置策略组
¡ 策略导入导出功能
安全策略通过指定源/目的安全域、源IP/MAC地址、目的IP地址、服务、应用、用户和时间段等过滤条件匹配出特定的报文,并根据预先设定的策略动作对此报文进行处理;若报文未匹配上任何策略,则丢弃该报文。当安全策略中未配置过滤条件时,则该策略将匹配所有报文。
设备上可以配置多个安全策略,每个策略均由名称和类型两类要素唯一标识。
安全策略中可同时配置多种过滤条件,具体包括:源安全域、目的安全域、源IP/MAC地址、目的IP地址、用户、应用、服务和时间段等。一条策略被匹配成功的条件是:策略中已配置的所有过滤条件必须均被匹配成功。
一类过滤条件中可以配置多个匹配项,比如一类过滤条件中可以指定多个目的安全域。一类过滤条件被匹配成功的条件是:过滤条件的任何一个匹配项被匹配成功即可。
设备上可以配置多个安全策略,设备缺省按照策略的创建顺序对报文进行匹配,先创建的先匹配。因此,首先需要将规划的所有策略按照“深度优先”的原则(即控制范围小的、条件细化的在前,范围大的在后)进行排序,然后按照此顺序配置每一个安全策略。
安全策略加速功能用来提高安全策略的匹配速度。当有大量用户同时通过设备新建连接时,若设备上包含大量的安全策略,可以开启此功能提高策略的匹配速度,保证网络通畅;若不开启此功能,策略匹配的过程将会很长,导致用户建立连接的时间超长。
开启安全策略加速功能后,加速功能仅对开启加速之前的策略生效,之后新增或修改的策略只能进行慢速匹配。使用激活策略的加速功能可以使后续新增或修改策略的加速功能生效。激活策略的加速功能包括如下方式:
· 手动激活:是指新增或修改规则后,手动单击<立即加速>按钮使这些策略立即加速。
· 自动激活:是指设备按照固定时间间隔进行周期性判断是否需要安全策略加速,在一个时间间隔内若安全策略的过滤条件发生变化,则间隔时间到达后会进行安全策略加速,否则,不会进行加速。当每种类型安全策略小于等于100条时,此时间间隔为2秒;当每种类型安全策略大于100条时,此时间间隔为20秒。这种方式能够避免因忘记手工激活策略而导致新增或修改策略不生效的问题。
安全策略组可以实现对安全策略的批量操作,例如批量启用、禁用、删除和移动安全策略。将安全策略加入安全策略组时,会将指定范围内若干连续的安全策略加入同一个安全策略组。
只有当安全策略及其所属的安全策略组均处于启用状态时,安全策略才能生效。
安全策略导入导出功能主要用于实现安全策略配置的快速迁移。
导出功能,既可以一次性导出安全策略及其引用对象的配置;也可以单独导出某一具体模块的配置。
导入功能,以增量方式向当前配置文件中写入导入的配置,并会对重复的配置进行覆盖。导入过程中如果某条配置写入失败,则停止导入,且已成功写入的配置无法回退。导入文件的格式必须为.cfg。
关于安全策略实际应用中常见故障的处理办法,请参见“安全策略故障处理联机帮助”。
安全策略功能的配置思路如下图所示:
图-1 安全策略配置指导图
安全策略的具体配置步骤如下:
1. 选择“策略 > 安全策略 > 安全策略”。
2. 在“安全策略”页面单击<新建>按钮,选择新建策略,进入“新建安全策略”页面。
3. 新建安全策略,具体配置内容如下表所示:
表-1 安全策略配置参数表
参数 |
说明 |
名称 |
表示安全策略的名称,同一类型安全策略的名称不能相同 |
自动命名 |
开启此功能后,系统将会对此安全策略进行自动命名。且源/目的安全域只能分别选择一个 |
源安全域 |
配置源安全域作为安全策略的过滤条件 |
目的安全域 |
配置目的安全域作为安全策略的过滤条件 |
类型 |
安全策略包括IPv4和IPv6两种类型 |
所属策略组 |
将此策略加入目标安全策略组 |
描述信息 |
通过配置描述信息,便于管理员快速理解和识别此安全策略的作用 |
动作 |
安全策略动作包括如下: · 允许:表示对符合安全策略过滤条件的报文进行允许通过处理 · 拒绝:表示对符合安全策略过滤条件的报文进行阻断处理 |
源IP/MAC地址 |
配置源IP地址或源MAC地址作为安全策略的过滤条件,源MAC地址过滤条件仅IPv4类型的安全策略支持 |
目的IP地址 |
配置目的IP地址作为安全策略的过滤条件 |
服务 |
配置服务作为安全策略的过滤条件 |
应用 |
配置应用或应用组作为安全策略的过滤条件 |
用户 |
配置身份识别用户作为安全策略的过滤条件 |
时间段 |
配置安全策略生效的时间段 |
VRF |
配置VPN实例作为安全策略的过滤条件 |
内容安全 |
若内容安全中引用了相关策略,则会对符合安全策略过滤条件的报文进行相应的DPI(Deep Packet Inspection,深度报文检测)业务处理 |
记录日志 |
开启记录日志功能后,对符合安全策略过滤条件的报文记录日志信息 |
开启策略匹配统计 |
开启此功能后,对符合安全策略过滤条件的报文进行数据统计 |
会话老化时间 |
若策略中配置了会话老化时间,则匹配了该策略且进入稳定状态的会话需要遵循策略中配置的老化时间进行老化 若策略中未配置会话老化时间,则该会话基于会话管理模块中配置的老化时间进行老化 |
长连接老化时间 |
若策略中配置了长连接老化时间,则匹配了该策略且进入稳定状态的长连接会话需要遵循策略中配置的长连接老化时间进行老化 若策略中未配置长连接老化时间,则该长连接会话基于会话管理模块中配置的长连接老化时间进行老化 |
启用策略 |
选择开启后,此安全策略才能生效 |
4. 单击<确定>按钮,新建安全策略成功,并会在安全策略页面中显示。
5. 在“安全策略”页面,单击第一个<立即加速>按钮,立即激活这些策略的加速功能。
安全策略组的具体配置步骤如下:
1. 选择“策略 > 安全策略 > 安全策略”。
2. 在“安全策略”页面单击<新建>按钮,选择新建策略组,进入“新建安全策略组”页面。
3. 新建安全策略组,具体配置内容如下表所示:
表-2 安全策略组配置参数表
参数 |
说明 |
名称 |
表示安全策略组的名称 |
描述信息 |
通过配置描述信息,便于管理员快速理解和识别此安全策略组的作用 |
类型 |
表示将哪种类型的安全策略加入安全策略组,安全策略包括IPv4和IPv6两种类型 |
开始策略 |
表示加入安全策略组策略的起始策略的名称 将安全策略加入安全策略组时,起始策略要在结束策略前面,并且起始策略和结束策略之间的策略不能属于其他安全策略组。 |
结束策略 |
表示加入安全策略组策略的结束策略的名称 |
4. 单击<确定>按钮,新建安全策略组成功,并会在安全策略页面中显示。
· 安全策略只支持在相同IP类型的策略之间进行移动。
· 新建安全策略时,会将该策略放在相同IP类型策略的下面。
· 安全策略引用的地址对象组和服务对象组内容为空时,则此安全策略不会与任何报文匹配成功。有关对象组的详细介绍请参见“对象组联机帮助”。
· 激活安全策略的加速功能时,即使对新增和修改的安全策略加速失败,也不影响之前已加速成功的策略。
· 安全策略中引用对象组的内容发生变化后,也需要重新激活该策略的加速功能。
· 安全策略中配置的会话老化时间优先级高于会话老化时间设置中配置的会话老化时间。
· 在跨VLAN模式Bridge转发的应用场景中,策略匹配统计功能仅统计安全策略和内容安全丢弃的报文,不统计安全策略和内容安全允许通过的报文。
· 源MAC地址过滤条件仅IPv4类型的安全策略支持。
· 在多Context应用场景中,配置非缺省Context的内容安全业务前,必须先激活缺省Context的应用层检测引擎。可通过在缺省Context的安全策略页面单击<提交>按钮,激活缺省Context的应用层检测引擎。
· 配置策略所属的策略组后,其会被添加到该策略组的最后位置。
· 删除策略所属的策略组属性时:若该策略是原策略组的起始策略,则此策略会放在策略组的前面。若其位于原策略组的其他位置,则此策略会放在策略组的后面。
· 不允许移动空策略组,也不允许将策略组移动至空策略组前后。
· 不允许将策略组移动至其他策略组的起始策略后/结束策略前以及中间策略前后。
· 移动策略到其他策略组的策略前后,其会自动加入该策略组。
· 设备仅支持导出自定义应用和自定义安全域,不支持导出预定义的应用和安全域。
· 设备仅支持对导出的配置进行导入。
· 导出安全域和VRF时,只导出安全域或VRF的配置,不导出其与接口的绑定关系。因此,导入安全域或VRF配置后,请继续配置其与接口的绑定关系。
· 导出安全策略时,只导出安全策略的配置,不导出安全策略引用对象的具体配置。
· 同一时刻只允许一个用户进行导入导出操作。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!