欢迎user
64-非法外联防护典型配置举例
本章节下载 (352.70 KB)
为保证内部网络的安全可靠运行,通常采用以下两种方式对内外网实施安全隔离:
· 内、外网物理隔离
内、外网进行物理隔离,严格上来讲,内外网根本就没有连通,不能相互通信,专职人员必须使用物理隔离的计算机才能访问内外网。
· 内、外网逻辑隔离
内、外网逻辑隔离,主要是通过划分VLAN等技术手段,隔离一些特殊群体,以实施更有针对性的安全防护,实现内部网络的相对独立性。同时在内外网连接处,一般安装设备或入侵检测系统对内网提供保护。
但是,非法外联和非法接入等行为,很容易对物理隔离和逻辑隔离的内部网络造成损害。
针对以上情况通过对内部网络终端或者服务器的外联行为进行识别,设定允许终端或者服务器外联的地址、外联地址的服务及端口来定义正常外联行为,定义的正常外联行为之外的所有外联行为全部作为非法外联。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
服务器数据必须通过设备转发。
如图1所示,公司内网有多台服务器设备,通过DNAT配置可从外网访问内网服务器,通过配置非法外联策略限制服务器主动发起的外网连接。
(1) 新建非法外联策略,动作选择拒绝。
(2) 配置服务器允许外联地址1.1.1.1,端口tcp80,8080。
(3) 开启非法外联学习补充服务器允许外联地址。
本举例是在R6612P01版本上进行配置和验证的。
进入“策略配置>安全设置>安全防护>非法外联防护”,点击“新建”进行非法外联策略配置,如下图所示。
在非法外联策略新建页面的服务器外联地址中点击<新建>,允许服务器访问1.1.1.1的tcp为80,8080端口,点击<提交>,如下图所示。
完成上述配置后,服务地址只允许主动访问1.1.1.1的tcp80,8080端口,其它服务器主动发起的连接将命中非法外联策略,按照策略动作被拒绝并记录日志。如下图所示。
进入“策略配置>安全设置>安全防护>>非法外联防护”。点击<非法外联学习>标签页,进入非法外联学习配置页面,如下图所示。
如图6所示,配置学习白名单,选择服务器地址,设置学习时长。开启非法外联学习,设备将学习服务器发起的连接信息。
如图7所示,勾选学习到的外联信息并添加到服务器外联地址。
如图8所示,学习并添加外联地址后的防护策略配置。
(1) 非法外联防护日志显示
如图9所示,进入“数据中心>日志中心>安全日志>非法外联防护日志”。服务器访问未配置的外联地址时命中策略并产生日志。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!