03-共享上网管理配置
本章节下载: 03-共享上网管理配置 (253.98 KB)
共享上网是指多个终端通过NAT或代理等技术使用同一个IP地址进行网络访问。共享上网管理功能可对共享上网行为进行检测和管理。
共享上网管理通过如下方式对报文的源IP地址是否存在共享上网行为进行检测:
· 应用特征检测方式:设备通过在APR(Application Recognition,应用层协议识别)的基础上分析应用层的相关特征来检测终端的共享上网行为。有关APR的详细介绍,请参见“安全配置指导”中的“APR”。
· IPID轨迹检测方式:设备可通过对报文的IPID字段的变化情况进行分析来检测终端的共享上网行为。
共享上网管理对报文的处理流程如下图所示:
图1-1 共享上网管理的实现流程图
共享上网管理对报文的处理过程如下:
(1) 设备收到报文后,如果未启用共享策略,则允许报文通过;如果共享策略处于启用状态,则进入步骤(2)处理。
(2) 判断报文的源IP地址是否已经处于冻结状态。如果已冻结,则丢弃报文;如果未冻结,则进入步骤(3)处理。
(3) 报文与共享策略中的过滤条件进行匹配。如果匹配失败,则允许报文通过;如果匹配成功,则进行共享上网检测。
(4) 如果未检测到报文的源IP地址存在共享行为,则允许报文通过;如果检测到报文的源IP地址存在共享行为,则将该IP地址下共享的终端数量与共享上网管理策略中配置的每个IP地址可被共享的最大终端数进行比较:
¡ 如果未超过,则允许报文通过。
¡ 如果超过配置的最大终端数,则对报文执行共享上网管理策略中配置的动作,有关共享上网管理策略动作的详细介绍,请参见1.8 配置共享上网管理策略动作。
共享上网管理配置任务如下:
(1) 创建共享上网管理策略
(2) 配置共享上网管理策略过滤条件
(3) 配置共享上网检测方式
¡ 开启应用检测功能
(5) 配置共享上网管理策略动作
(6) 激活共享上网管理策略配置
(7) (可选)禁用共享上网管理策略
(8) (可选)手工冻结和解冻源IP地址
在配置共享上网管理策略之前,需完成以下任务:
· 升级APR特征库到最新版本。
· 配置IP地址对象组(请参见“安全配置指导/对象组”)。
· 配置用户和用户组(请参见“安全配置指导/用户身份识别与管理”)。
· 配置安全域(请参见“安全配置指导/安全域”)。
目前,仅支持创建一个共享上网管理策略。
(1) 进入系统视图。
system-view
(2) 进入共享上网管理视图。
netshare-control
(3) 创建共享上网管理策略,并进入共享上网管理策略视图。
policy name policy-name
(4) 配置策略的描述(可选)。
description text
缺省情况下,未配置共享上网管理策略的描述信息。
共享上网管理策略支持配置多种过滤条件,每种过滤条件支持配置多个匹配项,且多个匹配项之间是或的关系,即如果报文与某一个过滤条件中的任意一项匹配成功,则报文与此条过滤条件匹配成功;若报文与某一个过滤条件中的所有项都匹配失败,则报文与此条过滤条件匹配失败。
如果报文与某条策略中的所有过滤条件都匹配成功(用户与用户组匹配一项即可),则报文与此条策略匹配成功。如果有一个过滤条件匹配失败,则报文与此条策略匹配失败。
(1) 进入系统视图。
system-view
(2) 进入共享上网管理视图。
netshare-control
(3) 进入共享上网管理策略视图。
policy name policy-name
(4) 配置作为共享上网管理策略过滤条件的安全域。
¡ 配置作为共享上网管理策略过滤条件的源安全域。
source-zone source-zone-name
缺省情况下,未配置作为共享上网管理策略过滤条件的源安全域。
¡ 配置作为共享上网管理策略过滤条件的目的安全域。
destination-zone destination-zone-name
缺省情况下,未配置作为共享上网管理策略过滤条件的目的安全域。
(5) 配置作为共享上网管理策略过滤条件的地址对象组。
¡ 配置作为共享上网管理策略过滤条件的源IP地址。
source-address { ipv4 | ipv6 } object-group-name
缺省情况下,未配置作为共享上网管理策略过滤条件的源IP地址。
¡ 配置作为共享上网管理策略过滤条件的目的IP地址。
destination-address { ipv4 | ipv6 } object-group-name
缺省情况下,未配置作为共享上网管理策略过滤条件的目的IP地址。
(6) 配置作为共享上网管理策略过滤条件的用户和用户组。
¡ 配置作为共享上网管理策略过滤条件的用户。
user username [ domain domain-name ]
缺省情况下,未配置作为共享上网管理策略过滤条件的用户。
¡ 配置作为共享上网管理策略过滤条件的用户组。
user-group user-group-name [ domain domain-name ]
缺省情况下,未配置作为共享上网管理策略过滤条件的用户组。
开启本功能后,设备将对特定应用的共享上网状态进行检测。
应用检测功能与IPID轨迹检测功能互不影响,可同时使用两种方式对共享上网行为进行检测。请管理员根据实际场景进行配置。
本功能仅对特征库中的特定应用有效(包括QQ、微信、58同城和美团),建议在没有特定应用的场景下关闭本功能。
如果应用本身进行了加密处理,则应用检测功能无法对其进行共享上网行为检测。
开启本功能后,将对设备业务处理性能产生影响,请管理员根据设备实际情况进行配置。
(1) 进入系统视图。
system-view
(2) 进入共享上网管理视图。
netshare-control
(3) 进入共享上网管理策略视图。
policy name policy-name
(4) 开启共享上网管理策略的应用检测功能。
application-inspect enable
缺省情况下,应用检测功能处于开启状态。
缺省情况下,设备仅使用应用特征检测方式对共享上网行为进行检测,但是,该检测方式只对特征库中的特定应用有效(包括QQ、微信、58同城和美团)。为了满足更多场景的需求,可同时开启IPID轨迹检测功能。
如果应用本身进行了加密处理,则应用检测功能无法对其进行共享上网行为检测。
IPID轨迹检测功能仅支持检测Windows系统的终端,且报文IPID呈规律性变化。
IPID轨迹检测功能仅支持检测IPV4类型地址。
IPID轨迹检测功能不支持对移动终端进行共享上网行为检测。
开启此功能后,将对设备业务处理性能产生影响,请管理员根据设备实际情况进行配置。
(1) 进入系统视图。
system-view
(2) 进入共享上网管理视图。
netshare-control
(3) 进入共享上网管理策略视图。
policy name policy-name
(4) 开启共享上网管理策略的IPID轨迹检测功能。
ipid-trail enable
缺省情况下,IPID轨迹检测功能处于关闭状态,设备仅使用应用特征检测方式检测共享上网行为。
本命令用于限制可以同时使用相同IP地址进行共享上网的终端数量。当设备检测到某IP地址下的共享终端数大于配置的最大终端数时,将对该IP地址执行共享上网管理策略中配置的动作;如果检测到的终端数小于配置的最大终端数,则允许此共享行为。
(1) 进入系统视图。
system-view
(2) 进入共享上网管理视图。
netshare-control
(3) 进入共享上网管理策略视图。
policy name policy-name
(4) 配置每个IP地址可被共享的最大终端数。
per-ip-shared max-terminals number
缺省情况下,不限制每个IP地址可被共享的终端数。
设备将根据本功能配置的动作对命中策略的源IP地址执行相应的操作:
当动作为冻结时,设备将自动冻结该IP地址,后续来自该IP地址的报文将被丢弃。当达到冻结时间后,被冻结的IP地址将自动解冻。
当动作为允许时,设备将允许该IP地址的共享上网行为。
若动作配置为logging,生成的日志信息不会输出到控制台和监视终端。如需获取该日志,可通过执行display logbuffer命令进行查看。有关display logbuffer命令的详细介绍,请参见“网络管理和监控命令参考”中的“信息中心”。
(1) 进入系统视图。
system-view
(2) 进入共享上网管理视图。
netshare-control
(3) 进入共享上网管理策略视图。
policy name policy-name
(4) 配置共享上网管理策略的动作。
action { freeze freeze-time | permit } [ logging ]
缺省情况下,动作为允许。
当共享上网管理策略被创建和删除后,需要配置此功能使其生效。
配置此功能会暂时中断DPI业务的处理,为避免重复配置此功能对DPI业务造成影响,请完成部署DPI各业务模块的策略和规则后统一配置此功能。
有关此功能的详细介绍请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
(1) 进入系统视图。
system-view
(2) 激活共享上网管理策略配置。
inspect activate
缺省情况下,共享上网管理策略被创建和删除时不生效。
如果在某些组网环境中暂时不需要启用共享上网管理策略,可以配置本功能禁用该策略。
目前设备仅支持同时配置一个共享上网管理策略,禁用该策略后,共享上网管理功能将失效。
(1) 进入系统视图。
system-view
(2) 进入共享上网管理视图。
netshare-control
(3) 进入共享上网管理策略视图。
policy name policy-name
(4) 禁用共享上网管理策略。
disable
缺省情况下,共享上网管理策略处于开启状态。
本功能适用于如下情况:
· 当某IP地址处于冻结状态且未达到配置的冻结时间时,可通过本功能进行手工解冻。
· 当某IP地址处于未冻结状态时,可通过本功能进行手工冻结。
(1) 进入系统视图。
system-view
(2) 进入共享上网管理视图。
netshare-control
(3) 手工冻结IP地址。
freeze { ipv4 | ipv6 } ip-address [ vpn-instance vpn-instance-name ] time freeze-time
(4) 手工解冻IP地址。
unfreeze { ipv4 | ipv6 } ip-address [ vpn-instance vpn-instance-name ]
在完成上述配置后,在任意视图下执行display命令可以显示配置后共享上网管理的运行情况。
表1-1 共享上网管理显示和维护
操作 |
命令 |
显示共享上网状态信息 |
display netshare-control [ { ipv4 | ipv6 } ip-address | status { frozen | unfrozen } ] [ slot slot-number ] |
如图1-2所示,Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。现有以下组网需求:
某公司内的各部门通过Device与Internet连接,管理员发现有员工在主机上开启代理软件,将上网权限共享给其他没有权限的员工。现在需要通过配置共享上网管理功能策略,禁止共享上网行为。如果检测到存在共享上网行为,则将源IP地址冻结1小时并记录日志。
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由。本举例假设设备Device到达外网服务器5.5.5.5/24的下一跳为2.2.2.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 5.5.5.5 24 2.2.2.2
(3) 配置接口加入安全域。
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置安全策略
配置安全策略放行内网访问外网的流量,用于内网主机访问外网Internet。
# 配置名称为trust-untrust的安全策略规则,使内网Host访问外网Internet的报文可通,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-1-trust-untrust] source-zone trust
[Device-security-policy-ip-1-trust-untrust] destination-zone untrust
[Device-security-policy-ip-1-trust-untrust] source-ip-host 192.168.1.2
[Device-security-policy-ip-1-trust-untrust] source-ip-host 192.168.1.3
[Device-security-policy-ip-1-trust-untrust] source-ip-host 192.168.1.4
[Device-security-policy-ip-1-trust-untrust] action pass
[Device-security-policy-ip-1-trust-untrust] quit
[Device-security-policy-ip] quit
(5) 配置共享上网管理策略
# 创建一个名称为a的共享上网管理策略,配置每个IP地址可被共享的最大终端数为1。若每个IP地址上实际共享终端数量超过配置限制后,冻结该IP地址1小时并记录日志。
[Device] netshare-control
[Device-netshare-control] policy name a
[Device-netshare-control-policy-a] source-zone trust
[Device-netshare-control-policy-a] destination-zone untrust
[Device-netshare-control-policy-a] per-ip-shared max-terminals 1
[Device-netshare-control-policy-a] action freeze 60 logging [Device-netshare-control-policy-a] quit
[Device-netshare-control] quit
(6) 激活共享上网管理策略配置。
[Device] inspect activate
以上配置完成后,如果内网有主机通过代理软件上网(例如,有3个以上的QQ账号通过一个IP地址进行登录),就能检测到该主机的IP地址存在共享上网行为,并冻结该IP地址1小时并记录日志。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!