• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

07-典型配置举例

目录

06-通过安全策略控制和阻断应用流量的典型配置举例

本章节下载 06-通过安全策略控制和阻断应用流量的典型配置举例  (781.58 KB)

06-通过安全策略控制和阻断应用流量的典型配置举例

基于应用的安全策略典型配置举例

简介

 

本文档介绍基于应用的安全策略功能的典型配置举例。

安全策略是根据报文的属性信息对报文进行转发控制和DPIDeep Packet Inspection,深度报文检测)深度安全检测的防控策略。

配置前提

 

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解APRApplication Recognition,应用层协议识别)和安全策略特性。

使用限制

 

使用安全策略时,需要注意的是:当安全策略与包过滤策略同时配置时,因为安全策略对报文的处理在包过滤之前,报文与安全策略匹配成功后,不再进行包过滤处理,所以请合理配置安全策略和包过滤策略,否则可能会导致配置的包过滤策略不生效。

为了网络更加安全建议采用《基于应用的严谨型安全策略典型配置举例》。

基于应用的严谨型安全策略典型配置举例

组网需求

-1所示,某公司共包括PresidentMarketFinance三个部门,各部门之间通过Device实现互连,同时也通过Device作为网关连接Internet,该公司的工作时间为每周工作日的8点到18点。通过配置安全策略,实现如下需求:

·     允许President在任意时间访问所有网络资源,比如InternetFinance网络和Market网络等。

·     允许Finance部门的员工仅能访问本部门内部网络资源,不能访问其他任何网络资源。

·     允许Market部门的员工仅能在工作时间访问Internet上的部分资源,访问Internet的具体限制如下:

¡     不能玩游戏、不能访问流媒体类型、P2P类型和网络社区类型的资源,但是允许访问优酷的资源。

¡     即时通讯类型的资源仅允许使用微信。

¡     虽然拒绝此部门员工访问网络社区类型的资源,但是又需要允许使用MSN、钉钉和安防论坛资源。

¡     除了以上几条具体限制需求之外的资源都允许访问。

·     President区域不允许任何人主动访问,Finance区域和Market区域也不能相互访问。

图-1 基于应用的严谨型安全策略典型配置举例

 

使用版本

本举例是在L1000-ER8127版本上进行配置和验证的。

配置指导

请将应用识别特征库及时升级到最新版本。

为使安全策略中配置的应用可以被识别,必须先放行应用所依赖的基础协议报文。

配置思路

安全策略配置思路及其数据规划如下表所示:

表-1 安全策略配置思路

项目

数据

说明

President部门的安全策略

·     名称:president_permit

·     源安全区域:president

·     目的安全区域:untrust;finance;market

·     IP/MAC地址president

·     动作:允许

·     记录日志:开启

此策略允许President部门的员工自由访问任何网络资源

此策略和下面的策略引用的都是源IP地址对象组

Finance部门的安全策略

·     名称:finance_permit

·     源安全区域:finance

·     目的安全区域:finance

·     动作:允许

·     记录日志:开启

此策略可以实现Finance部门内员工之间的相互访问

Market部门的安全策略1

·     名称:market_permit1

·     源安全区域:market

·     目的安全区域:untrust

·     IP/MAC地址market

·     应用:微信;MSN;钉钉;安防论坛;优酷

·     时间段:work

·     动作:允许

·     记录日志:开启

安全策略默认规则可实现禁止Market部门员工使用即时通讯工具。market_deny1策略禁止员工访问网络社区类型和流媒体类型的资源

但是此策略可以允许Market部门员工在上班时间使用微信、MSN、钉钉、优酷和安防论坛网络资源

根据安全策略处理报文的优先级原则,需要将此策略放在market_deny1策略前面,否则网络社区类型(MSN、钉钉、安防论坛、优酷)的应用将会被拒绝。

Market部门的安全策略2

·     名称:market_deny1

·     源安全区域:market

·     目的安全区域:untrust

·     IP/MAC地址market

·     应用:游戏组;P2P组;网络社区组;流媒体组

·     时间段:work

·     动作:拒绝

·     记录日志:开启

此策略可以禁止Market部门员工在上班时间玩游戏、观看视频和逛社区网站等

此策略的应用过滤条件中包含了游戏组、P2P组、流媒体组和网络社区组应用组,每个应用组中都包含了很多具体的应用

Market部门的安全策略3

·     名称:market_permit2

·     源安全区域:market

·     目的安全区域:untrust

·     IP/MAC地址market

·     应用:permit-others

·     时间段:work

·     动作:允许

·     记录日志:开启

此策略允许Market部门员工在上班时间访问一些定义不太准确的资源。

此策略中的应用组permit-others里面,可以加入一些办公类、邮件类、网络协议类等不太容易区分清楚的应用。

若管理员已明确知道需要拒绝某个应用,则可以将此应用从允许通过的应用组中删除。或着新建一条安全策略拒绝此应用流量通过

放行常用基础协议的安全策略

·     名称:market_permit3

·     源安全区域:market

·     目的安全区域:untrust

·     IP/MAC地址market

·     应用:protocol-permit

·     动作:允许

·     记录日志:开启

此策略允许常用的基础协议通过,否则APR模块将不能准备地识别应用

常用的基础协议一般包括:TCPUDPDNSHTTPHTTPS SMTPIMAPPOP3,将这些协议加入应用组protocol-permit

虽然安全策略market_permit2中允许的应用中可能包含这些基础协议,但是为了避免安全策略market_permit2发生变化后不影响APR对报文的识别,所以建议单独配置一条安全策略放行这些常用的基础协议

安全策略的默默规则

安全策略的默认规则可以实现此目的:President区域不允许任何人主动访问,Finance区域和Market区域也不能相互访问。

安全策略的默认规则是拒绝所有报文通过

 

根据以上的分析,再结合安全策略越靠前优先级越高的原则,我们合理创建安全策略的先后顺序依次为:president_permitfinance_permitmarket_permit1market_deny1market_permit2market_permit3

配置步骤

1.     配置接口IP地址

# 选择“网络 > 接口 > 接口”,进入接口配置页面。

# 在接口配置页面选择目标接口,单击<编辑>按钮,进入修改接口配置页面。

# 在修改接口配置页面修改接口的IP地址。

# 其他配置项保持默认情况即可。

# 按照以上配置步骤分别将接口GigabitEthernet1/0/2GigabitEthernet1/0/3GigabitEthernet1/0/4IP地址配置为10.0.12.1/2410.0.11.1/2410.0.10.1/24。此配置举例假设设备出接口GigabitEthernet1/0/1IP地址为2.2.2.1

2.     配置安全域

# 选择“网络 > 安全域”,进入安全域配置页面,依次配置如下内容。

·     进入名为Untrust的安全域,并将接口GigabitEthernet1/0/1加入该安全域中

·     创建名为president的安全域,并将接口GigabitEthernet1/0/2加入该安全域中

·     创建名为finance的安全域,并将接口GigabitEthernet1/0/3加入该安全域中

·     创建名为market的安全域,并将接口GigabitEthernet1/0/4加入该安全域中

3.     配置时间段

创建名为work的时间段,其时间范围为每周工作日的8点到18点。

# 选择“对象 > 对象组 > 时间段”,进入时间段配置页面,配置如下。

·     名称为work

·     周期时间段为每周工作日的8点到18

4.     配置地址对象组

# 选择“对象> 对象组 > IPv4地址对象组”,进入IPv4地址对象组配置页面,依次创建如下地址对象组:

·     president创建名为presidentIPv4地址对象组,并定义其网段地址为10.0.12.0/24

·     market:创建名为marketIPv4地址对象组,并定义其网段地址为10.0.10.0/24

5.     创建名为president_permit的安全策略

# 选择“策略 > 安全策略 > 安全策略”,进入安全策略配置页面。

# 单击<新建>按钮,配置如下。

图-2 新建安全策略

 

# 其他配置项保持默认情况即可。

# 单击<确定>按钮,完成此安全策略的创建。

6.     配置应用组

创建名为游戏组的应用组,将游戏类别种的所有应用加入此应用组。

# 选择“对象> 应用安全 > 应用识别 > 应用组”,进入应用组配置页面。

# 单击<新建>按钮,配置如下:

图-3 新建应用组

 

# 将游戏类别中的所有应用全部加入到右侧的已选应用中。

# 单击<确定>按钮,完成此应用组的创建。

按照如上步骤,依次创建如下应用组:

·     P2P组:创建名为P2P组的应用组,并将P2P类别中的所有应用加入此应用组

·     流媒体组:创建名为流媒体组的应用组,并将流媒体类别中的所有应用加入此应用组

·     网络社区组:创建名为网络社区组的应用组,并将网络社区类别中的所有应用加入此应用组

7.     创建名为finance_permit的安全策略

# 选择“策略 > 安全策略 > 安全策略”,进入安全策略配置页面。

# 单击<新建>按钮,配置如下。

图-4 创建安全策略

 

# 其他配置项保持默认情况即可。

# 单击<确定>按钮,完成此安全策略的创建。

8.     创建名为market_permit1的安全策略

# 选择“策略 > 安全策略 > 安全策略”,进入安全策略配置页面。

# 单击<新建>按钮,配置如下。

图-5 创建安全策略

 

图-6 放行基础协议的提示

 

# 其他配置项保持默认情况即可。

# 单击<确定>按钮,完成此安全策略的创建。

9.     创建名为market_deny1的安全策略

# 选择“策略 > 安全策略 > 安全策略”,进入安全策略配置页面。

# 单击<新建>按钮,配置如下。

图-7 创建安全策略

 

图-8 放行基础协议提示

 

# 其他配置项保持默认情况即可。

# 单击<确定>按钮,完成此安全策略的创建。

10.     创建名为market_permit2的安全策略

# 选择“策略 > 安全策略 > 安全策略”,进入安全策略配置页面。

# 单击<新建>按钮,配置如下。

图-9 创建安全策略

 

# 其他配置项保持默认情况即可。

# 单击<确定>按钮,完成此安全策略的创建。

11.     创建名为market_permit3的安全策略

# 选择“策略 > 安全策略 > 安全策略”,进入安全策略配置页面。

# 单击<新建>按钮,配置如下。

图-10 创建安全策略

 

# 其他配置项保持默认情况即可。

# 单击<确定>按钮,完成此安全策略的创建。

验证配置

1.     查看配置

配置完成后,其配置内容如图所示:

图-11 安全策略配置

 

 

2.     President部门的员工自由可以访问任何网络资源

3.     Finance部门内员工之间可以相互访问。

4.     Market部门的员工仅能在工作时间访问Internet上的部分资源,访问Internet的具体限制如下:

¡     不能玩游戏、不能访问流媒体类型、P2P类型和网络社区类型的资源,但是允许访问优酷的资源。

¡     即时通讯类型的资源仅允许使用微信。

¡     虽然拒绝此部门员工访问网络社区类型的资源,但是又需要允许使用MSN、钉钉和安防论坛资源。

¡     除了以上几条具体限制需求之外的资源都允许访问。

5.     President区域不允许任何人主动访问,Finance区域和Market区域也不能相互访问。

6.     选择“监控 > 安全日志 > 安全策略日志”,分别查看各个部门的访问流量是否命中正确的安全策略,举例如下。

图-12 拒绝迅雷看看

 

图-13 允许优酷

 

图-14 允许微信通过

 

图-15 拒绝QQ通过

 

基于应用的宽松型安全策略典型配置举例

组网需求

图-16所示,某公司共包括PresidentMarketFinance三个部门,各部门之间通过Device实现互连,同时也通过Device作为网关连接Internet,该公司的工作时间为每周工作日的8点到18点。通过配置安全策略,实现如下需求:

·     允许President在任意时间访问所有网络资源,比如InternetFinance网络和Market网络等。

·     允许Finance部门的员工仅能访问本部门内部网络资源,不能访问其他任何网络资源。

·     允许Market部门的员工在工作时间访问除了视频类、游戏类之外的所有网络资源,非工作时间可以看视频和玩游戏。

图-16 基于应用的宽松型安全策略典型配置举例

 

使用版本

本举例是在L1000-ERelease 8127P20版本上进行配置和验证的。

配置指导

请将应用识别特征库及时升级到最新版本。

为使安全策略中配置的应用可以被识别,必须先放行应用所依赖的基础协议报文。

配置思路

安全策略配置思路及其数据规划如下表所示:

表-2 安全策略配置思路

项目

数据

说明

Finance部门的安全策略

·     名称:finance_permit

·     源安全区域:finance

·     目的安全区域:finance

·     动作:允许

·     记录日志:开启

此策略可以实现Finance部门内员工之间的相互访问

Market部门的安全策略2

·     名称:market_deny1

·     源安全区域:market

·     目的安全区域:untrust

·     IP/MAC地址market

·     应用:游戏组;P2P组;流媒体组;网络社区组

·     时间段:work

·     动作:拒绝

·     记录日志:开启

此策略可以禁止Market部门员工在上班时间玩游戏、观看视频等

此策略的应用过滤条件中包含了游戏组、P2P组、网络社区组和流媒体组应用组,每个应用组中都包含了很多具体的应用

放行所有报文的安全策略

·     名称:permit_all

·     动作:允许

·     记录日志:开启

此策略允许所有报文通过

与以上安全策略匹配失败的报文均会被此安全策略放行。因此该策略也可以实现如下需求:

·     允许President在任意时间访问所有网络资源,比如InternetFinance网络和Market网络等。

·     允许Market部门的员工在工作时间访问除了视频类、游戏类之外的所有网络资源,非工作时间可以看视频和玩游戏。

·     不再需要单独配置放行基础协议的安全策略

 

根据以上的分析,再结合安全策略越靠前优先级越高的原则,我们合理创建安全策略的先后顺序依次为:finance_permitmarket_deny1permit_all

配置步骤

1.     配置接口IP地址

# 选择“网络 > 接口 > 接口”,进入接口配置页面。

# 在接口配置页面选择目标接口,单击<编辑>按钮,进入修改接口配置页面。

# 在修改接口配置页面修改接口的IP地址。

# 其他配置项保持默认情况即可。

# 按照以上配置步骤分别将接口GigabitEthernet1/0/2GigabitEthernet1/0/3GigabitEthernet1/0/4IP地址配置为10.0.12.1/2410.0.11.1/2410.0.10.1/24。此配置举例假设设备出接口GigabitEthernet1/0/1IP地址为2.2.2.1

2.     配置安全域

# 选择“网络 > 安全域”,进入安全域配置页面,依次配置如下内容。

·     进入名为Untrust的安全域,并将接口GigabitEthernet1/0/1加入该安全域中

·     创建名为president的安全域,并将接口GigabitEthernet1/0/2加入该安全域中

·     创建名为finance的安全域,并将接口GigabitEthernet1/0/3加入该安全域中

·     创建名为market的安全域,并将接口GigabitEthernet1/0/4加入该安全域中

3.     配置时间段

创建名为work的时间段,其时间范围为每周工作日的8点到18点。

# 选择“对象 > 对象组 > 时间段”,进入时间段配置页面,配置如下。

·     名称为work

·     周期时间段为每周工作日的8点到18

4.     配置地址对象组

# 选择“对象> 对象组 > IPv4地址对象组”,进入IPv4地址对象组配置页面,地址对象组market

market:创建名为marketIPv4地址对象组,并定义其网段地址为10.0.10.0/24

5.     配置应用组

创建名为游戏组的应用组,将游戏类别种的所有应用加入此应用组。

# 选择“对象> 应用安全 > 应用识别 > 应用组”,进入应用组配置页面。

# 单击<新建>按钮,配置如下:

图-17 新建应用组

 

# 将游戏类别中的所有应用全部加入到右侧的已选应用中。

# 单击<确定>按钮,完成此应用组的创建。

按照如上步骤,依次创建如下应用组:

·     P2P组:创建名为P2P组的应用组,并将P2P类别中的所有应用加入此应用组

·     流媒体组:创建名为流媒体组的应用组,并将流媒体类别中的所有应用加入此应用组

·     网络社区组:创建名为网络社区组的应用组,并将网络社区类别中的所有应用加入此应用组

6.     创建名为finance_permit的安全策略

# 选择“策略 > 安全策略 > 安全策略”,进入安全策略配置页面。

# 单击<新建>按钮,配置如下。

图-18 创建安全策略

 

# 其他配置项保持默认情况即可。

# 单击<确定>按钮,完成此安全策略的创建。

7.     创建名为market_deny1的安全策略

# 选择“策略 > 安全策略 > 安全策略”,进入安全策略配置页面。

# 单击<新建>按钮,配置如下。

图-19 创建安全策略

 

图-20 放行基础协议提示

 

# 其他配置项保持默认情况即可。

# 单击<确定>按钮,完成此安全策略的创建。

8.     创建名为permit_all的安全策略

# 选择“策略 > 安全策略 > 安全策略”,进入安全策略配置页面。

# 单击<新建>按钮,配置如下。

图-21 创建安全策略

 

# 其他配置项保持默认情况即可。

# 单击<确定>按钮,完成此安全策略的创建。

验证配置

1.     查看配置

配置完成后,其配置内容如图所示:

图-22 安全策略配置

 

2.     President部门的员工自由可以访问任何网络资源

3.     Finance部门内员工之间可以相互访问。

4.     允许Market部门的员工在工作时间访问除了视频类、游戏类之外的所有网络资源,非工作时间可以看视频和玩游戏。

5.     选择“监控 > 安全日志 > 安全策略日志”,分别查看各个部门的访问流量是否命中正确的安全策略,举例如下。

图-23 拒绝迅雷看看

 

图-24 允许微信通过

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们