• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

03-安全配置指导

目录

30-地区识别配置

本章节下载 30-地区识别配置  (295.51 KB)

30-地区识别配置


1 地区识别

1.1  地区识别简介

地区识别功能主要用于识别报文源IP地址和目的IP地址所在的地理位置,从而配合安全策略实现基于地理位置的报文控制。

本特性所指的“地区”是本地区中所有IP地址的集合,可通过在设备上加载地区特征库文件及手工配置地区,将各个国家、省、市等地区及各地区对应的IP地址添加至地区识别模块中。报文经过设备时,地区识别模块将通过报文中携带的IP地址获知该报文的来源地和目的地,然后配合安全策略实现基于源、目的地区的报文控制。

图1-1 地区识别示意图

 

1.2  地区识别配置任务简介

地区识别配置任务如下:

(1)     配置地区

(2)     配置地区组

(3)     加载地区特征库

1.3  配置地区

1. 功能简介

地区包括预定义地区、自定义地区和未知地区:

·     预定义地区:通过设备中的地区特征库定义,包括国家、省和城市。

·     自定义地区:用户手动创建的地区,可用于表示预定义地区之外的其他地区范围,如某县/区、乡镇、街道等。通过将对应的IP地址加入自定义地区视图的方式实现。

·     未知地区:是特征库中一种特殊的地区类型,用于存放不确定所属地区的IP地址。

2. 配置限制和指导

自定义地区名称不能与预定义地区名称相同。

不同地区中手动添加的IP地址不允许重叠。

当手动添加的IP地址与预设IP地址重叠时,预设IP地址不生效。

仅自定义地区可配置经纬度,其他地区类型不可配置。预定义地区经纬度为固定值,未知地区不存在经纬度。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入地区视图。

geo-location { unknown | { pre-defined | user-defined } geo-location-name }

(3)     向地区中添加IP地址。

ip address { ip-address { mask-length | mask } | range ip-address1 ip-address2 }

缺省情况下,仅预定义地区和未知地区中包含预设IP地址。

通过undo ip address命令仅能删除手动添加的IP地址,不能删除预定义地区的预设IP地址。

(4)     (可选)配置自定义地区的经纬度。

coordinate longitude longitude-value latitude latitude-value

缺省情况下,未配置自定义地区的经纬度。

(5)     (可选)配置地区的描述信息。

description text

缺省情况下,未配置地区的描述信息。

1.4  配置地区组

1. 功能简介

可以将具有相似特征的地区添加到一个地区组中,也可以将一个地区组添加到另一个地区组中。可基于地区组对多个地区的报文做统一处理,从而简化配置。

2. 配置限制和指导

地区组的引用不能形成循环嵌套,譬如地区组a引用地区组b,则地区组b不能再引用地区组a。

地区组最大嵌套层次为3层,譬如地区组1、2分别引用地区组2、3,则地区组3不能再引用其他地区组,地区组1也不能再被其他地区组引用。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建地区组,并进入地区组视图。

geo-location-group geo-location-group-name

(3)     向地区组中添加地区成员。

add geo-location geo-location-name

缺省情况下,地区组中不存在地区成员。

(4)     向地区组中添加地区组成员。

add geo-location-group geo-location-group-name

缺省情况下,地区组中不存在地区组成员。

(5)     (可选)配置地区组的描述信息。

description text

缺省情况下,未配置地区组的描述信息。

1.5  加载地区特征库

1. 功能简介

地区特征库中包含了预定义的国家、省和城市等各个地区及其对应的公网IP地址,其中,中国地区还会包含省和城市级别信息。设备初始状态下已加载默认地区特征库,若需升级地区特征库,请先从官网获取最新版本地区特征库文件,拷贝至设备本地根目录下,并执行加载地区特征库操作。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     加载地区特征库文件。

geo-load file-name

1.6  地区识别显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后地区识别的运行情况,通过查看显示信息验证配置的效果。

表1-1 地区识别显示和维护

操作

命令

显示地区的信息

display geo-location { all | type { pre-defined | unknown | user-defined } | name geo-location-name }

显示IP地址所属的地区

display geo-location ip ip-address

显示地区组的信息

display geo-location-group [ name geo-location-group-name ]

 

1.7  地区识别典型配置举例

关于基于地区识别的典型配置举例,请参见“安全配置指导”中的“安全策略”。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们