• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置(R6612 E6453)-6W109

64-非法外联防护典型配置举例

本章节下载  (352.70 KB)

64-非法外联防护典型配置举例


1  简介

为保证内部网络的安全可靠运行,通常采用以下两种方式对内外网实施安全隔离:

·     内、外网物理隔离

内、外网进行物理隔离,严格上来讲,内外网根本就没有连通,不能相互通信,专职人员必须使用物理隔离的计算机才能访问内外网。

·     内、外网逻辑隔离

内、外网逻辑隔离,主要是通过划分VLAN等技术手段,隔离一些特殊群体,以实施更有针对性的安全防护,实现内部网络的相对独立性。同时在内外网连接处,一般安装设备或入侵检测系统对内网提供保护。

但是,非法外联和非法接入等行为,很容易对物理隔离和逻辑隔离的内部网络造成损害。

针对以上情况通过对内部网络终端或者服务器的外联行为进行识别,设定允许终端或者服务器外联的地址、外联地址的服务及端口来定义正常外联行为,定义的正常外联行为之外的所有外联行为全部作为非法外联。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

3  使用限制

服务器数据必须通过设备转发。

4  非法外联配置举例

4.1  组网需求

图1所示,公司内网有多台服务器设备,通过DNAT配置可从外网访问内网服务器,通过配置非法外联策略限制服务器主动发起的外网连接。

 

图1 非法外联防护典型组网图

 

4.2  配置思路

(1)     新建非法外联策略,动作选择拒绝。

(2)     配置服务器允许外联地址1.1.1.1,端口tcp80,8080。

(3)     开启非法外联学习补充服务器允许外联地址。

4.3  使用版本

本举例是在R6612P01版本上进行配置和验证的。

4.4  配置步骤

4.4.1  配置设备

1. 新建非法外联策略

进入“策略配置>安全设置>安全防护>非法外联防护”,点击“新建”进行非法外联策略配置,如下图所示。

图2 非法外联策略配置

 

2. 配置服务器外联地址

在非法外联策略新建页面的服务器外联地址中点击<新建>,允许服务器访问1.1.1.1的tcp为80,8080端口,点击<提交>,如下图所示。

图3 服务器外联地址配置

 

完成上述配置后,服务地址只允许主动访问1.1.1.1的tcp80,8080端口,其它服务器主动发起的连接将命中非法外联策略,按照策略动作被拒绝并记录日志。如下图所示。

图4 非法外联策略

 

3. 配置非法外联学习

进入“策略配置>安全设置>安全防护>>非法外联防护”。点击<非法外联学习>标签页,进入非法外联学习配置页面,如下图所示。

图5 非法外联学习配置

 

图6所示,配置学习白名单,选择服务器地址,设置学习时长。开启非法外联学习,设备将学习服务器发起的连接信息。

图6 开启非法外联学习

 

图7所示,勾选学习到的外联信息并添加到服务器外联地址。

图7 学习地址添加到服务器外联地址

 

图8所示,学习并添加外联地址后的防护策略配置。

图8 学习添加地址后策略配置

 

4.5  验证配置

(1)     非法外联防护日志显示

图9所示,进入“数据中心>日志中心>安全日志>非法外联防护日志”。服务器访问未配置的外联地址时命中策略并产生日志。

图9 非法外联防护日志

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们