23-对象策略配置
本章节下载: 23-对象策略配置 (300.35 KB)
目 录
对象策略基于全局进行配置,基于安全域间实例进行应用。在安全域间实例上应用对象策略可实现对报文流的检查,并根据检查结果允许或拒绝其通过。对象策略通过配置对象策略规则实现。有关安全域间实例的详细介绍和配置,请参见“安全配置指导”中的“安全域”。
一个对象策略中可以包含多条对象策略规则。对象策略规则通过指定对象组来描述报文匹配条件的判断语句,匹配条件可以是报文的源IP地址、目的IP地址、服务类型、应用和应用组等。设备依照这些规则匹配出特定的报文,并根据规则预先设定的动作对其进行处理。创建规则时可以不指定任何可选条件,则规则对任意报文生效。
一个对象策略中可包含多条规则,每条规则都拥有唯一的编号进行标识,此编号在创建规则时由用户手工指定或由系统自动分配。在自动分配编号时,系统会将对应对象策略中已使用的最大编号加一作为新的编号,若新编号超出了编号上限(65534),则选择当前未使用的最小编号作为新的编号。
当一个对象策略中包含多条规则时,报文会按照配置顺序与这些规则进行匹配,一旦匹配上某条规则便结束匹配过程。对象策略规则的配置顺序可在对象策略视图下通过display this命令查看,配置顺序与规则的创建顺序有关,先创建的规则优先进行匹配。同时,也可以通过移动规则的位置来调整规则的配置顺序。根据对象策略规则的匹配原理,为使设备上部署的对象策略对流经设备的报文达到更好、更精准的控制效果,需要在配置对象策略规则时遵循“深度优先”的原则,即控制对象精细的先配置,控制对象范围大的后配置。创建规则时可以不指定任何可选条件,则规则对任意报文生效。
在对基于会话的业务报文(如ASPF等)进行规则匹配时,通常只对首个报文进行匹配以加快报文的处理速度,但这有时并不足以解决报文匹配的效率问题。譬如,当有大量用户同时与设备新建连接时,需要对每个新建连接都进行规则匹配,如果对象策略内包含有大量规则,那么这个匹配过程将很长,这会导致用户建立连接时间超长,从而影响设备新建连接的性能。
对象策略加速功能则可以解决上述问题,当对包含大量规则的对象策略使能了加速功能之后,其规则匹配速度将大大提高,从而提高了设备的转发性能以及新建连接的性能。
· 如果配置对象策略规则时指定引用对象组,若该对象组不存在,则该规则将不匹配任何报文。如果配置对象策略规则时不指定引用的对象组,则该规则将匹配任意报文。有关对象组的详细介绍请参见“安全配置指导”中的“对象组”。
· 在对象策略规则中引用应用和应用组时,请只引用PBAR(Port Based Application Recognition,基于端口的应用层协议识别)类型的应用。若引用NBAR(Network Based Application Recognition,基于内容特征的应用层协议识别)类型的应用,则此规则不会与任何报文匹配成功。有关PBAR和NBAR的详细介绍请参见“安全配置指导”中的“APR”。
· 安全域间实例上同种类型的对象策略只能应用一个,即只能同时应用一个IPv4对象策略和一个IPv6对象策略。如果安全域间实例已应用同种类型的其他对象策略,则会配置失败。若要应用新的对象策略,需要先将已经应用的对象策略删掉。
· 在安全域间实例应用对象策略前需配置zone-pair security命令创建安全域,关于安全域的详细介绍,请参见“安全命令参考”中的“安全域”。
· 为使一条对象策略规则生效,必须保证所有引用对象的内容不能为空。
· 对象策略的加速功能相比安全策略会占用更多设备内存,建议将对象策略转换为安全策略。有关将对象策略转换为安全策略的详细介绍,请参见“安全配置指导”中的“安全策略”。
IPv4对象策略配置任务如下:
(1) 创建IPv4对象策略
(2) 配置IPv4对象策略规则
(3) 安全域间实例应用IPv4对象策略
(4) (可选)移动IPv4对象策略规则
(5) (可选)开启IPv4对象策略加速功能
IPv6对象策略配置任务如下:
(1) 创建IPv6对象策略
(2) 配置IPv6对象策略规则
(3) 安全域间实例应用IPv6对象策略
(4) (可选)移动IPv6对象策略规则
(5) (可选)开启IPv6对象策略加速功能
在配置对象策略规则之前,需完成以下任务:
· 配置时间段,具体请参见“ACL和QoS配置指导”中的“ACL”。
· 配置IP地址对象、IPv6地址对象和服务对象,具体请参见“安全配置指导”中的“对象组”。
(1) 进入系统视图。
system-view
(2) 创建一个IPv4对象策略,并进入IPv4对象策略视图。
object-policy ip object-policy-name
(3) (可选)配置对象策略的描述信息。
description text
缺省情况下,未配置对象策略的描述信息。
(1) 进入系统视图。
system-view
(2) 进入IPv4对象策略视图。
object-policy ip object-policy-name
(3) 配置对象策略规则。
rule [ rule-id ] { drop | pass | inspect app-profile-name } [ [ source-ip { object-group-name | any } ] [ destination-ip { object-group-name | any } ] [ service { object-group-name | any } ] [vrf vrf-name ] [ application application-name ] [ app-group app-group-name ] [ counting ] [ disable ] [ logging ] [ time-range time-range-name ] ] *
(4) 为对象策略规则附加过滤条件。
rule rule-id append { application application-name | app-group app-group-name | destination-ip object-group-name | service object-group-name | source-ip object-group-name }
缺省情况下,不存在规则的附加条件。
(5) (可选)配置对象策略规则的描述信息。
rule rule-id comment text
缺省情况下,未配置对象策略规则的描述信息。
(1) 进入系统视图。
system-view
(2) 进入安全域间实例视图。
zone-pair security source source-zone-name destination destination-zone-name
有关此命令的详细介绍,请参见“安全命令参考”中的“安全域”。
(3) 应用IPv4对象策略。
object-policy apply ip object-policy-name
缺省情况下,安全域间实例内未应用IPv4对象策略规则。
由于对象策略规则是按照配置先后顺序进行匹配的,因此为了使用户能够灵活调整规则的匹配顺序,可通过本配置来移动对象策略规则的位置。
(1) 进入系统视图。
system-view
(2) 进入IPv4对象策略视图。
object-policy ip object-policy-name
(3) 移动IPv4对象策略规则。
move rule rule-id before insert-rule-id
当设备的对象策略加速功能处于开启状态,设备会按照固定时间间隔进行周期性判断是否需要对象策略加速,在一个时间间隔内若对象策略的过滤条件发生变化,则间隔时间到达后会进行对象策略加速,否则,不会进行加速。当每种类型对象策略规则小于等于100条时,此时间间隔为2秒;当每种类型对象策略规则大于100条时,此时间间隔为20秒。
对象策略加速成功后,再去修改或添加新的规则,可能由于资源不足,导致新的规则加速失败,规则匹配不生效,但是不影响之前加速成功的规则。
若对象策略规则中指定的IPv4地址对象组中包含排除地址和通配符掩码,则会导致此对象策略加速功能失效。
若对象策略规则中指定的IPv4地址对象组中包含用户或用户组,则设备不对该条规则进行加速,且也不会影响已加速成功的规则。
(1) 进入系统视图。
system-view
(2) 进入IPv4对象策略视图。
object-policy ip object-policy-name
(3) 开启IPv4对象策略加速功能。
accelerate
缺省情况下,所有对象策略的加速功能均处于开启状态。
设备上存在大量对象策略规则时,执行此命令可能导致设备提前进入门限状态,不再进行正常业务处理。
(1) 进入系统视图。
system-view
(2) 创建一个IPv6对象策略,并进入IPv6对象策略视图。
object-policy ipv6 object-policy-name
(3) (可选)配置对象策略的描述信息。
description text
缺省情况下,未配置对象策略的描述信息。
(1) 进入系统视图。
system-view
(2) 进入IPv6对象策略视图。
object-policy ipv6 object-policy-name
(3) 配置对象策略规则。
rule [ rule-id ] { drop | pass | inspect app-profile-name } [ [ source-ip { object-group-name | any } ] [ destination-ip { object-group-name | any } ] [ service { object-group-name | any } ] [vrf vrf-name ] [ application application-name ] [ app-group app-group-name ] [ counting ] [ disable ] [ logging ] [ time-range time-range-name ] ] *
(4) 为对象策略规则附加过滤条件。
rule rule-id append { application application-name | app-group app-group-name | destination-ip object-group-name | service object-group-name | source-ip object-group-name }
缺省情况下,不存在规则的附加条件。
(5) (可选)配置对象策略规则的描述信息。
rule rule-id comment text
缺省情况下,未配置对象策略规则的描述信息。
(1) 进入系统视图。
system-view
(2) 进入安全域间实例视图。
zone-pair security source source-zone-name destination destination-zone-name
有关此命令的详细介绍,请参见“安全命令参考”中的“安全域”。
(3) 应用IPv6对象策略。
object-policy apply ipv6 object-policy-name
缺省情况下,安全域间实例内未应用IPv6对象策略规则。
由于对象策略规则是按照配置先后顺序进行匹配的,因此为了使用户能够灵活调整规则的匹配顺序,可通过本配置来移动对象策略规则的位置。
(1) 进入系统视图。
system-view
(2) 进入IPv6对象策略视图。
object-policy ipv6 object-policy-name
(3) 移动IPv6对象策略规则。
move rule rule-id before insert-rule-id
当设备的对象策略加速功能处于开启状态,设备会按照固定时间间隔进行周期性判断是否需要对象策略加速,在一个时间间隔内若对象策略的过滤条件发生变化,则间隔时间到达后会进行对象策略加速,否则,不会进行加速。当每种类型对象策略规则小于等于100条时,此时间间隔为2秒;当每种类型对象策略规则大于100条时,此时间间隔为20秒。
对象策略加速成功后,再去修改或添加新的规则,可能由于资源不足,导致新的规则加速失败,规则匹配不生效,但是不影响之前加速成功的规则。
若对象策略规则中指定的IPv6地址对象组中包含排除地址和通配符掩码,则会导致此对象策略加速功能失效。
若对象策略规则中指定的IPv6地址对象组中包含用户或用户组,则设备不对该条规则进行加速,且也不会影响已加速成功的规则。
(1) 进入系统视图。
system-view
(2) 进入IPv6对象策略视图。
object-policy ipv6 object-policy-name
(3) 开启IPv6对象策略加速功能。
accelerate
缺省情况下,所有对象策略的加速功能均处于开启状态。
设备上存在大量对象策略规则时,执行此命令可能导致设备提前进入门限状态,不再进行正常业务处理。
在完成上述配置后,在任意视图下执行display命令可以显示对象策略的配置信息,通过查看显示信息验证配置的效果。
配置 |
命令 |
显示对象策略的加速状态 |
(独立运行模式) display object-policy accelerate { summary { ip | ipv6 } | verbose { ip object-policy-name | ipv6 object-policy-name } } (IRF模式) display object-policy accelerate { summary { ip | ipv6 } | verbose { ip object-policy-name | ipv6 object-policy-name } slot slot-number } |
显示IPv4对象策略的配置信息 |
display object-policy ip [ object-policy-name ] |
显示IPv6对象策略的配置信息 |
display object-policy ipv6 [ object-policy-name ] |
显示指定安全域间实例应用对象策略的配置信息 |
display object-policy zone-pair security [ source source-zone-name destination destination-zone-name ] |
显示指定安全域间实例的统计信息 |
display object-policy statistics zone-pair security source source-zone-name destination destination-zone-name [ ip | ipv6 ] |
· 某公司内的各部门之间通过Device A实现互连,该公司的工作时间为每周工作日的8点到18点。
· 通过配置对象策略规则,允许总裁办在任意时间、财务部在工作时间通过HTTP协议访问财务数据库服务器的Web服务,禁止其它部门在任何时间、财务部在非工作时间通过HTTP协议访问该服务器的Web服务。
(1) 配置时间段
# 创建名为work的时间段,其时间范围为每周工作日的8点到18点。
<DeviceA> system-view
[DeviceA] time-range work 08:00 to 18:00 working-day
(2) 配置安全域
# 创建名为president的安全域,并将接口GigabitEthernet1/0/2加入该安全域中。
[DeviceA] security-zone name president
[DeviceA-security-zone-president] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-president] quit
# 创建名为finance的安全域,并将接口GigabitEthernet1/0/3加入该安全域中。
[DeviceA] security-zone name finance
[DeviceA-security-zone-finance] import interface gigabitethernet 1/0/3
[DeviceA-security-zone-finance] quit
# 创建名为market的安全域,并将接口GigabitEthernet1/0/4加入该安全域中。
[DeviceA] security-zone name market
[DeviceA-security-zone-market] import interface gigabitethernet 1/0/4
[DeviceA-security-zone-market] quit
# 创建名为database的安全域,并将接口GigabitEthernet1/0/1加入该安全域中。
[DeviceA] security-zone name database
[DeviceA-security-zone-database] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-database] quit
(3) 配置对象
# 创建名为president的IP地址对象组,并定义其子网地址为192.168.1.0/24。
[DeviceA] object-group ip address president
[DeviceA-obj-grp-ip-president] network subnet 192.168.1.0 24
[DeviceA-obj-grp-ip-president] quit
# 创建名为finance的IP地址对象组,并定义其子网地址为192.168.2.0/24。
[DeviceA] object-group ip address finance
[DeviceA-obj-grp-ip-finance] network subnet 192.168.2.0 24
[DeviceA-obj-grp-ip-finance] quit
# 创建名为market的IP地址对象组,并定义其子网地址为192.168.3.0/24。
[DeviceA] object-group ip address market
[DeviceA-obj-grp-ip-market] network subnet 192.168.3.0 24
[DeviceA-obj-grp-ip-market] quit
# 创建名为database的IP地址对象组,并定义其子网地址为192.168.0.0/24。
[DeviceA] object-group ip address database
[DeviceA-obj-grp-ip-database] network subnet 192.168.0.0 24
[DeviceA-obj-grp-ip-database] quit
# 创建名为web的服务对象组,并定义其支持的服务为HTTP。
[DeviceA] object-group service web
[DeviceA-obj-grp-service-web] service 6 destination eq 80
[DeviceA-obj-grp-service-web] quit
(4) 配置对象策略及规则
# 配置允许总裁办在任意时间通过HTTP协议访问财务数据库服务器的对象策略及规则。
[DeviceA] object-policy ip president-database
[DeviceA-object-policy-ip-president-database] rule pass source-ip president destination-ip database service web
[DeviceA-object-policy-ip-president-database] quit
# 配置只允许财务部在工作时间通过HTTP协议访问财务数据库服务器的对象策略及规则。
[DeviceA] object-policy ip finance-database
[DeviceA-object-policy-ip-finance-database] rule pass source-ip finance destination-ip database service web time-range work
[DeviceA-object-policy-ip-finance-database] quit
# 配置禁止市场部在任何时间通过HTTP协议访问财务数据库服务器的对象策略及规则。
[DeviceA] object-policy ip market-database
[DeviceA-object-policy-ip-market-database] rule drop source-ip market destination-ip database service web
[DeviceA-object-policy-ip-market-database] quit
(5) 配置安全域间实例并应用对象策略
# 创建源安全域president到目的安全域database的安全域间实例,并应用允许总裁办在任意时间通过HTTP协议访问财务数据库服务器的对象策略。
[DeviceA] zone-pair security source president destination database
[DeviceA-zone-pair-security-president-database] object-policy apply ip president-database
[DeviceA-zone-pair-security-president-database] quit
# 创建源安全域finance到目的安全域database的安全域间实例,并应用只允许财务部在工作时间通过HTTP协议访问财务数据库服务器的对象策略。
[DeviceA] zone-pair security source finance destination database
[DeviceA-zone-pair-security-finance-database] object-policy apply ip finance-database
[DeviceA-zone-pair-security-finance-database] quit
# 创建源安全域market到目的安全域database的安全域间实例,并应用禁止市场部在任何时间通过HTTP协议访问财务数据库服务器的对象策略。
[DeviceA] zone-pair security source market destination database
[DeviceA-zone-pair-security-market-database] object-policy apply ip market-database
[DeviceA-zone-pair-security-market-database] quit
配置完成后,总裁办可以在任意时间访问财务数据库服务器的Web服务,财务部仅可以在工作时间访问财务数据库服务器的Web服务,其他部门任何时间均不可以访问财务数据库服务器的Web服务。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!