06-安全策略
本章节下载: 06-安全策略 (261.10 KB)
本帮助主要介绍以下内容:
· 特性简介
¡ 安全策略的名称
¡ 安全策略加速功能
· 配置指南
安全策略通过指定源/目的安全域、源/目的IP地址、服务、应用/应用组、用户和时间段等过滤条件匹配出特定的报文,并根据预先设定的策略动作对此报文进行处理;若报文未匹配上任何策略,则丢弃该报文。当安全策略中未配置过滤条件时,则该策略将匹配所有报文。
设备上可以配置多个安全策略,每个策略均由名称和类型两类要素唯一标识。
安全策略中可同时配置多种过滤条件,具体包括:源安全域、目的安全域、源IP地址、目的IP地址、用户、应用、应用组、服务和时间段等。一条策略被匹配成功的条件是:策略中已配置的所有过滤条件必须均被匹配成功,但是对于应用和应用组只需匹配一项即可。
一类过滤条件中可以配置多个匹配项,比如一类过滤条件中可以指定多个目的安全域。一类过滤条件被匹配成功的条件是:过滤条件的任何一个匹配项被匹配成功即可。
设备上可以配置多个安全策略,设备缺省按照策略的创建顺序对报文进行匹配,先创建的先匹配。因此,首先需要将规划的所有策略按照“深度优先”的原则(即控制范围小的、条件细化的在前,范围大的在后)进行排序,然后按照此顺序配置每一个安全策略。
安全策略加速功能用来提高安全策略规则的匹配速度。当有大量用户同时通过设备新建连接时,若安全策略内包含大量规则,此功能可以提高规则的匹配速度,保证网络通畅;若安全策略加速功能失效,则规则匹配的过程将会很长,导致用户建立连接的时间超长,同时也会占用系统大量的CPU资源。
安全策略加速功能生效后,加速功能仅对此功能生效之前的规则生效,且报文仅匹配已加速成功的规则,不匹配未加速的规则。使用激活规则的加速功能可以使后续新增或修改规则的加速功能生效。激活规则的加速功能包括如下方式:
· 手动激活:是指新增或修改规则后,手动单击<立即加速>按钮使这些策略的加速功能生效。
· 自动激活:当安全策略规则小于等于100条时,在安全策略中配置发生变化的2秒后,系统会自动激活这些规则的加速功能;当安全策略规则大于100条时,在安全策略中配置发生变化的20秒后,系统会自动激活这些规则的加速功能。这种方式能够避免出现因忘记手工激活规则,而导致新增或修改规则不生效的问题。
安全策略的具体配置步骤如下:
1. 选择“策略 > 安全策略”。
2. 在“安全策略”页面单击<新建>按钮,进入“新建安全策略”页面。
3. 新建安全策略,具体配置内容如下表所示:
表-1 安全策略配置参数表
参数 |
说明 |
名称 |
表示安全策略的名称,同一类型安全策略的名称不能相同 |
源安全域 |
配置源安全域作为安全策略的过滤条件 |
目的安全域 |
配置目的安全域作为安全策略的过滤条件 |
类型 |
安全策略包括IPv4和IPv6两种类型 |
描述信息 |
通过配置描述信息,便于管理员快速理解和识别此安全策略的作用 |
动作 |
安全策略动作包括如下: · 允许:表示对符合安全策略过滤条件的报文进行允许通过处理 · 拒绝:表示对符合安全策略过滤条件的报文进行阻断处理 |
源IP地址 |
配置源IP地址作为安全策略的过滤条件 |
目的IP地址 |
配置目的IP地址作为安全策略的过滤条件 |
服务 |
配置服务作为安全策略的过滤条件 |
应用 |
配置应用作为安全策略的过滤条件 |
应用组 |
配置应用组作为安全策略的过滤条件 |
用户 |
配置用户作为安全策略的过滤条件 |
时间段 |
配置安全策略生效的时间段 |
VRF |
配置VPN实例作为安全策略的过滤条件 |
记录日志 |
开启记录日志功能后,对符合安全策略过滤条件的报文记录日志信息 |
开启策略匹配统计 |
开启此功能后,对符合安全策略过滤条件的报文进行数据统计 |
会话老化时间 |
若策略中配置了会话老化时间,则匹配了该策略且进入稳定状态的会话需要遵循策略中配置的老化时间进行老化 若策略中未配置会话老化时间,则该会话基于会话老化时间设置中配置的老化时间进行老化 |
长连接老化时间 |
若策略中配置了长连接老化时间,则匹配了该策略且进入稳定状态的长连接会话需要遵循策略中配置的长连接老化时间进行老化 若策略中未配置长连接老化时间,则该长连接会话基于会话老化时间设置中默认的长连接老化时间进行老化 |
启用策略 |
选择开启后,此安全策略才能生效 |
4. 单击<确定>按钮,新建安全策略成功,并会在安全策略页面中显示。
· 安全策略只支持在相同IP类型的策略之间进行移动。
· 新建安全策略时,会将该策略放在相同IP类型策略的下面。
· 安全策略引用的地址对象组和服务对象组内容为空时,则此安全策略不会与任何报文匹配成功。有关对象组的详细介绍请参见“对象组联机帮助”。
· 安全策略加速功能生效后(缺省已开启),加速功能仅对开启加速之前的策略生效,之后新增或修改的策略只能进行慢速匹配。因此,为使报文能够与后续新增或修改的安全策略进行快速匹配,必须在安全策略页面单击<立即加速>按钮,激活这些策略的加速功能。
· 安全策略加速失效后,设备无法对报文进行快速匹配,但是仍然可以进行原始的慢速匹配。
· 安全策略中引用对象组的内容发生变化后,也需要重新激活该策略的加速功能。
· 安全策略中配置的会话老化时间优先级高于会话老化时间设置中配置的会话老化时间。
· 在跨VLAN模式Bridge转发的应用场景中,策略匹配统计功能仅统计安全策略丢弃的报文,不统计安全策略通过的报文。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!