• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

H3C SecPath GAP2000-CN系列安全隔离与信息交换系统 典型配置(E6701)-5W101

19-ACL控制挂载策略(OPC)举例

本章节下载 19-ACL控制挂载策略(OPC)举例  (1.76 MB)

19-ACL控制挂载策略(OPC)举例


1  简介

本文档介绍了H3C SecPath GAP2000的ACL控制挂载策略(OPC)举例。

H3C SecPath GAP2000用于隔离网络数据交换。提供HTTP、HTTP PROXY、SMTP、POP3、FTP、ORACLE、SIP、RTSP等应用级检测通道。使用户可以在两边网络隔离的前提下,即底层TCP/IP协议彻底阻断的情况下,实现上述应用的互访。专用于解决医院、工商、税务、金融等行业隔离网络信息交换问题。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文假设您已了解H3C SecPath GAP2000特性。

3  H3C SecPath GAP2000 ACL控制挂载策略(OPC)举例

3.1  组网需求

图1所示,客户端代表内网允许访问的终端。服务器属于外网对内开放的服务器。部署网闸后,在路由模式下配置ACL控制策略,使得仅允许内网客户端可以访问到外网的服务器。

图1 H3C SecPath GAP2000 ACL控制配置举例组网图

 

3.2  配置思路

·     网闸内外端配置IP地址(分别作为客户端与服务器的网关地址)

·     网闸内外端配置路由

·     网闸内外端配置OPC策略

·     网闸内外端配置ACL挂载OPC通道

·     OPC服务端及OPC客户端配置

3.3  使用版本

本举例是在E6701版本上进行配置和验证的。

3.4  环境配置

3.4.1  先决条件:(路由模式使用不同网段地址)

客户端

网闸

服务器

192.168.30.86

内端机GE0/3

192.168.30.1

外端机GE0/3

192.168.40.1

192.168.40.85

网关

192.168.30.1

目的子网:

192.168.40.0

子网掩码:

255.255.255.0

网卡名称:Tun

目的子网:

192.168.30.0

子网掩码:

255.255.255.0

网卡名称:Tun

网关

192.168.40.1

3.5  配置步骤

3.5.1  通过B/S方式登录网闸内端机

通过网闸内端机MAN管理口登录网闸,打开浏览器输入https://192.168.0.1,(MAN口为内端机专用管理口)

系统管理员默认账号:admin;默认密码:adminh3c

安全管理员默认账号:secrecy;默认密码:secrecyh3c

图2 内端机登录页面

3.5.2  内端机网络配置

点击<网络管理>-<IP地址管理>,GE0/3网卡上配置IP地址192.168.30.1,作为客户端192.168.30.86/32的网关地址。

图3 设置内端系统IP

 

设置完后点“保存”退出。

图4 添加、保存内端IP设置

点击“网络管理”>“路由配置”设置内端机的路由,如下图。

图5 路由管理

点击<网络管理>-<路由配置>,内端机添加目的子网为服务器所在网络的路由,其中网卡选为Tun口。

图6 添加、保存内端路由

1711002989058

 

 

3.5.3  通过B/S方式登录网闸外端机

通过网闸外端机MAN管理口登录网闸,打开浏览器输入https://192.168.0.2,(MAN口为外端机专用管理口)

系统管理员默认账号:admin;默认密码:adminh3c

安全管理员默认账号:secrecy;默认密码:secrecyh3c

图7 外端机登录页面

3.5.4  外端机网络配置

点击<网络管理><IP地址管理>,外端机GE0/3网卡上配置IP地址192.168.40.1,作为服务器192.168.40.85/32的网关地址。

图8 设置外端系统IP

 

设置完后点“保存”退出。

图9 添加、保存外端IP设置

 

点击“网络管理”>“路由配置”设置外端机的路由,如下图。

图10 路由管理

 

外端机添加目的子网为客户端所在网络的路由,其中网卡选为Tun口。

图11 添加、保存外端路由

1711002982207

 

3.5.5  OPC策略配置

该配置在安全管理员secrecy下操作

依次点击<策略管理>-<OPC>-<选择控制点增加>-<新建策略集>

输入名称,选择过滤类型为白名单,点击保存,自动返回<策略列表>

选择新建好的策略集,点击新建策略

添加好策略,点击保存

 

IMG_256

OPC策略仅支持挂载在ACL策略中

 

3.5.6  ACL控制挂载策略配置

该配置在安全管理员secrecy下操作

注意事项:

(1)手动添加的ACL策略的优先级高于ACL全局策略的优先级

(2)手动添加的多条ACL策略,位置越靠前的优先级越高

(3)在配置ACL控制策略之前,需了解ACL全局控制的解释,解释如下:

关于ACL全局允许的解释

l     未添加策略时默认为全局允许,此时网闸类似于一根网线,直连起了客户端与服务端;

l     点击全局允许,此时添加的ACL策略,只有通道状态为<开启>+<拒绝>的才会被阻断,其余通道均被放行。

关于ACL全局拒绝的解释

l     点击全局拒绝,此时添加的ACL策略,只有通道状态为<开启>+<允许>的才会被放行,其余通道均被阻断。

1. 全局拒绝配置

点击<ACL控制>-<拒绝>,将全局控制设置为拒绝状态(内、外端机均设置全局拒绝)。

图12 全局设置

2. 内端机ACL配置

点击<添加策略>

图13 配置内端机路由模式ACL策略控制

表1 ACL策略控制参数说明

参数

说明

名称

ACL控制策略的名称定义

模式选择

支持监控模式和路由模式两种选择

监控网卡

选择需要使用的网卡

协议类型

支持TCP、UDP、HTTP(路由模式支持)、OPC、ICMP五种协议类型

动作

设置策略的动作为允许或者拒绝

客户端地址

策略内控制访问的客户端地址

客户端端口段

策略内控制访问的客户端端口或者端口段

目的地址

策略内控制访问的目的端地址

目的端口段

策略内控制访问的目的端口或者端口段

记录日志

可选是否记录ACL策略命中的日志

策略集

仅支持路由模式下OPC、HTTP的策略显示和选中

 

 

图14 勾选配置好的策略,点击启动按钮

 

图15 启用成功

 

IMG_256

ACL控制策略除了OPC协议外,哪端配置哪端生效;

HTTP协议仅支持ACL的路由模式,监控模式不支持;

OPC需要两端均配置ACL控制策略,才能对OPC协议的控制生效。

 

 

3. 外端机ACL配置

外端机ACL挂载OPC协议通道,开启通道

图16 启用成功

3.5.7  OPC服务端及OPC客户端配置

使用MatrikonOPC Server for Simulation工具做服务端,使用MatrikonOPC Explorer工具做服务端进行测试

图17 使用工具

 

图18 OPC服务端配置

图19 OPC客户端配置

3.6  验证结果

图20 白名单成功日志

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们