• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

02-策略

目录

01-安全策略

本章节下载 01-安全策略  (345.60 KB)

01-安全策略

安全策略

 

本帮助主要介绍以下内容:

·     特性简介

¡     安全策略的名称

¡     安全策略的过滤条件

¡     安全策略的匹配顺序

¡     安全策略加速功能

·     配置指南

·     使用限制和注意事项

特性简介

安全策略通过指定源/目的安全域、源/目的IP地址、服务、应用/应用组、用户和时间段等过滤条件匹配出特定的报文,并根据预先设定的策略动作对此报文进行处理;若报文未匹配上任何策略,则丢弃该报文。当安全策略中未配置过滤条件时,则该策略将匹配所有报文。

安全策略的名称

设备上可以配置多个安全策略,每个策略均由名称和类型两类要素唯一标识。

安全策略的过滤条件

安全策略中可同时配置多种过滤条件,具体包括:源安全域、目的安全域、源IP地址、目的IP地址、用户、应用、应用组、服务和时间段等。一条策略被匹配成功的条件是:策略中已配置的所有过滤条件必须均被匹配成功,但是对于应用和应用组只需匹配一项即可。

一类过滤条件中可以配置多个匹配项,比如一类过滤条件中可以指定多个目的安全域。一类过滤条件被匹配成功的条件是:过滤条件的任何一个匹配项被匹配成功即可。

安全策略的匹配顺序

设备上可以配置多个安全策略,设备缺省按照策略的创建顺序对报文进行匹配,先创建的先匹配。因此,首先需要将规划的所有策略按照“深度优先”的原则(即控制范围小的、条件细化的在前,范围大的在后)进行排序,然后按照此顺序配置每一个安全策略。

安全策略加速功能

安全策略加速功能用来提高安全策略规则的匹配速度。当有大量用户同时通过设备新建连接时,若安全策略内包含大量规则,此功能可以提高规则的匹配速度,保证网络通畅;若安全策略加速功能失效,则规则匹配的过程将会很长,导致用户建立连接的时间超长,同时也会占用系统大量的CPU资源。

安全策略加速功能生效后,加速功能仅对此功能生效之前的规则生效,且报文仅匹配已加速成功的规则,不匹配未加速的规则。使用激活规则的加速功能可以使后续新增或修改规则的加速功能生效。激活规则的加速功能包括如下方式:

·     手动激活:是指新增或修改规则后,手动单击<立即加速>按钮使这些策略的加速功能生效。

·     自动激活:当安全策略规则小于等于100条时,在安全策略中配置发生变化的2秒后,系统会自动激活这些规则的加速功能;当安全策略规则大于100条时,在安全策略中配置发生变化的20秒后,系统会自动激活这些规则的加速功能。这种方式能够避免出现因忘记手工激活规则,而导致新增或修改规则不生效的问题。

配置指南

安全策略功能的配置思路如下图所示:

图-1 安全策略配置指导图

 

以上配置指导图中主要介绍了配置安全策略的主要方法和配置项,各配置项在Web界面的位置如下:

·     安全域在“网络 > 安全域”页面配置。

·     接口在“网络 > 接口”页面配置。

·     对象组在“对象 > 对象组”页面配置。

·     应用/应用组在“对象 > 应用安全 > 应用识别”页面配置。

·     用户在“对象 > 用户 > 用户管理 > 本地用户”页面配置。

·     时间段在“对象 > 对象组> 时间段”页面配置。

·     配置安全配置文件在“对象 > 应用安全”页面配置。

·     安全策略在“策略 > 安全策略”页面配置。

安全策略的具体配置步骤如下:

1.     选择“策略 > 安全策略”。

2.     在“安全策略”页面单击<新建>按钮,进入“新建安全策略”页面。

3.     新建安全策略,具体配置内容如下表所示:

表-1 安全策略配置参数表

参数

说明

名称

表示安全策略的名称,同一类型安全策略的名称不能相同

源安全域

配置源安全域作为安全策略的过滤条件

目的安全域

配置目的安全域作为安全策略的过滤条件

类型

安全策略包括IPv4IPv6两种类型

描述信息

通过配置描述信息,便于管理员快速理解和识别此安全策略的作用

动作

安全策略动作包括如下:

·     允许:表示对符合安全策略过滤条件的报文进行允许通过处理

·     拒绝:表示对符合安全策略过滤条件的报文进行阻断处理

IP地址

配置源IP地址作为安全策略的过滤条件

目的IP地址

配置目的IP地址作为安全策略的过滤条件

服务

配置服务作为安全策略的过滤条件

应用

配置应用作为安全策略的过滤条件

应用组

配置应用组作为安全策略的过滤条件

用户

配置用户作为安全策略的过滤条件

时间段

配置安全策略生效的时间段

VRF

配置VPN实例作为安全策略的过滤条件

内容安全

若内容安全中引用了相关策略,则会对符合安全策略过滤条件的报文进行相应的DPIDeep Packet Inspection,深度报文检测)业务处理

记录日志

开启记录日志功能后,对符合安全策略过滤条件的报文记录日志信息

开启策略匹配统计

开启此功能后,对符合安全策略过滤条件的报文进行数据统计

会话老化时间

若策略中配置了会话老化时间,则匹配了该策略且进入稳定状态的会话需要遵循策略中配置的老化时间进行老化

若策略中未配置会话老化时间,则该会话基于会话老化时间设置中配置的老化时间进行老化

长连接老化时间

若策略中配置了长连接老化时间,则匹配了该策略且进入稳定状态的长连接会话需要遵循策略中配置的长连接老化时间进行老化

若策略中未配置长连接老化时间,则该长连接会话基于会话老化时间设置中默认的长连接老化时间进行老化

启用策略

选择开启后,此安全策略才能生效

 

4.     单击<确定>按钮,新建安全策略成功,并会在安全策略页面中显示。

使用限制和注意事项

·     安全策略只支持在相同IP类型的策略之间进行移动。

·     新建安全策略时,会将该策略放在相同IP类型策略的下面。

·     安全策略引用的地址对象组和服务对象组内容为空时,则此安全策略不会与任何报文匹配成功。有关对象组的详细介绍请参见“对象组联机帮助”。

·     安全策略加速功能生效后(缺省已开启),加速功能仅对开启加速之前的策略生效,之后新增或修改的策略只能进行慢速匹配。因此,为使报文能够与后续新增或修改的安全策略进行快速匹配,必须在安全策略页面单击<立即加速>按钮,激活这些策略的加速功能。

·     安全策略加速失效后,设备无法对报文进行快速匹配,但是仍然可以进行原始的慢速匹配。

·     安全策略中引用对象组的内容发生变化后,也需要重新激活该策略的加速功能。

·     安全策略中配置的会话老化时间优先级高于会话老化时间设置中配置的会话老化时间。

·     在跨VLAN模式Bridge转发的应用场景中,策略匹配统计功能仅统计安全策略和内容安全丢弃的报文,不统计安全策略和内容安全允许通过的报文。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们