19-ACL控制挂载策略(OPC)举例
本章节下载: 19-ACL控制挂载策略(OPC)举例 (1.76 MB)
本文档介绍了H3C SecPath GAP2000的ACL控制挂载策略(OPC)举例。
H3C SecPath GAP2000用于隔离网络数据交换。提供HTTP、HTTP PROXY、SMTP、POP3、FTP、ORACLE、SIP、RTSP等应用级检测通道。使用户可以在两边网络隔离的前提下,即底层TCP/IP协议彻底阻断的情况下,实现上述应用的互访。专用于解决医院、工商、税务、金融等行业隔离网络信息交换问题。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文假设您已了解H3C SecPath GAP2000特性。
如图1所示,客户端代表内网允许访问的终端。服务器属于外网对内开放的服务器。部署网闸后,在路由模式下配置ACL控制策略,使得仅允许内网客户端可以访问到外网的服务器。
图1 H3C SecPath GAP2000 ACL控制配置举例组网图
· 网闸内外端配置IP地址(分别作为客户端与服务器的网关地址)
· 网闸内外端配置路由
· 网闸内外端配置OPC策略
· 网闸内外端配置ACL挂载OPC通道
· OPC服务端及OPC客户端配置
本举例是在E6701版本上进行配置和验证的。
客户端 |
网闸 |
服务器 |
|
192.168.30.86 |
内端机GE0/3 192.168.30.1 |
外端机GE0/3 192.168.40.1 |
192.168.40.85 |
网关 192.168.30.1 |
目的子网: 192.168.40.0 子网掩码: 255.255.255.0 网卡名称:Tun |
目的子网: 192.168.30.0 子网掩码: 255.255.255.0 网卡名称:Tun |
网关 192.168.40.1 |
通过网闸内端机MAN管理口登录网闸,打开浏览器输入https://192.168.0.1,(MAN口为内端机专用管理口)
系统管理员默认账号:admin;默认密码:adminh3c
安全管理员默认账号:secrecy;默认密码:secrecyh3c
图2 内端机登录页面
点击<网络管理>-<IP地址管理>,GE0/3网卡上配置IP地址192.168.30.1,作为客户端192.168.30.86/32的网关地址。
图3 设置内端系统IP
设置完后点“保存”退出。
图4 添加、保存内端IP设置
点击“网络管理”>“路由配置”设置内端机的路由,如下图。
图5 路由管理
点击<网络管理>-<路由配置>,内端机添加目的子网为服务器所在网络的路由,其中网卡选为Tun口。
图6 添加、保存内端路由
通过网闸外端机MAN管理口登录网闸,打开浏览器输入https://192.168.0.2,(MAN口为外端机专用管理口)
系统管理员默认账号:admin;默认密码:adminh3c
安全管理员默认账号:secrecy;默认密码:secrecyh3c
图7 外端机登录页面
点击<网络管理><IP地址管理>,外端机GE0/3网卡上配置IP地址192.168.40.1,作为服务器192.168.40.85/32的网关地址。
图8 设置外端系统IP
设置完后点“保存”退出。
图9 添加、保存外端IP设置
点击“网络管理”>“路由配置”设置外端机的路由,如下图。
图10 路由管理
外端机添加目的子网为客户端所在网络的路由,其中网卡选为Tun口。
图11 添加、保存外端路由
该配置在安全管理员secrecy下操作
依次点击<策略管理>-<OPC>-<选择控制点增加>-<新建策略集>
输入名称,选择过滤类型为白名单,点击保存,自动返回<策略列表>
选择新建好的策略集,点击新建策略
添加好策略,点击保存
OPC策略仅支持挂载在ACL策略中
该配置在安全管理员secrecy下操作
注意事项:
(1)手动添加的ACL策略的优先级高于ACL全局策略的优先级
(2)手动添加的多条ACL策略,位置越靠前的优先级越高
(3)在配置ACL控制策略之前,需了解ACL全局控制的解释,解释如下:
关于ACL全局允许的解释
l 未添加策略时默认为全局允许,此时网闸类似于一根网线,直连起了客户端与服务端;
l 点击全局允许,此时添加的ACL策略,只有通道状态为<开启>+<拒绝>的才会被阻断,其余通道均被放行。
关于ACL全局拒绝的解释
l 点击全局拒绝,此时添加的ACL策略,只有通道状态为<开启>+<允许>的才会被放行,其余通道均被阻断。
点击<ACL控制>-<拒绝>,将全局控制设置为拒绝状态(内、外端机均设置全局拒绝)。
图12 全局设置
点击<添加策略>
图13 配置内端机路由模式ACL策略控制
表1 ACL策略控制参数说明
参数 |
说明 |
名称 |
ACL控制策略的名称定义 |
模式选择 |
支持监控模式和路由模式两种选择 |
监控网卡 |
选择需要使用的网卡 |
协议类型 |
支持TCP、UDP、HTTP(路由模式支持)、OPC、ICMP五种协议类型 |
动作 |
设置策略的动作为允许或者拒绝 |
客户端地址 |
策略内控制访问的客户端地址 |
客户端端口段 |
策略内控制访问的客户端端口或者端口段 |
目的地址 |
策略内控制访问的目的端地址 |
目的端口段 |
策略内控制访问的目的端口或者端口段 |
记录日志 |
可选是否记录ACL策略命中的日志 |
策略集 |
仅支持路由模式下OPC、HTTP的策略显示和选中 |
图14 勾选配置好的策略,点击启动按钮
图15 启用成功
ACL控制策略除了OPC协议外,哪端配置哪端生效;
HTTP协议仅支持ACL的路由模式,监控模式不支持;
OPC需要两端均配置ACL控制策略,才能对OPC协议的控制生效。
外端机ACL挂载OPC协议通道,开启通道
图16 启用成功
使用MatrikonOPC Server for Simulation工具做服务端,使用MatrikonOPC Explorer工具做服务端进行测试
图17 使用工具
图18 OPC服务端配置
图19 OPC客户端配置
图20 白名单成功日志
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!