- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
手册下载
H3C SecPath 入侵防御产品
Bypass功能典型配置
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文档介绍Bypass功能的典型配置。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解Bypass特性。
Bypass功能包括外部Bypass、内部Bypass和DPI-Bypass功能:
· 外部Bypass功能是指用户流量不经过安全设备Device,直接通过PFC(Power Free Connector,无源连接设备)设备转发。关于PFC的详细介绍,请参见《H3C SecPath PFC 快速入门》。其中外部Bypass功能分为外部自动Bypass和外部静态Bypass:
¡ 外部自动Bypass是Device作为入侵防御设备保护企业内网用户免受来自Internet的攻击。单机部署时又不能因为Device的硬件原因出现网络故障,因此在Device正常的情况下仍然需要其对流量进行入侵防护,当出现Device异常(如设备断电、重启、接口down)需要流量不能受影响。
¡ 外部静态Bypass是Device作为入侵防御设备保护企业内网用户免受来自Internet的攻击。当Device需要进行升级重启、或需要进行影响流量的操作配置、网络流量异常进行问题排查等,可以先通过手动执行外部静态Bypass功能来让流量直接通过PFC,不再经过Device进行处理;当环境恢复后,再关闭外部静态Bypass功能,让流量进行通过Device进行入侵防御
· 内部Bypass是Device作为入侵防御设备保护企业内网用户免受来自Internet的攻击。但由于Device的原因企业网络流量出现异常,如流量不通、流量卡顿等,需要进行问题排查,可以先通过手动执行内部Bypass功能让流量虽然经过安全设备,但不进行安全业务处理。安全设备会根据配置的转发模式,选择对应的接口将用户流量直接转发或者丢弃。
· DPI-Bypass功能是指用户关闭应层检测引擎功能后,系统将不会对接收到的报文进行DPI深度安全处理。若出现系统CPU使用率过高等情况,可通过开启Bypass功能来保证设备的正常运行。
如图1所示,Device作为入侵防御设备保护企业内网用户免受来自Internet的攻击。单机部署时又不能因为Device的硬件原因出现网络故障,因此在Device正常的情况下仍然需要其对流量进行入侵防护,当出现Device异常(如设备断电、重启、接口down)需要流量不能受影响。设备与PFC的接线图如图2所示。
本举例是在T1000-AI-90的R8860版本上进行配置和验证的。
· 仅支持添加二层或者三层物理接口以及二层聚合接口到转发模式的接口对。
· 本功能的支持情况与设备型号有关,请以设备实际情况为准。
# 选择“网络 > 接口 > 接口对 > 接口对”,进入接口对配置页面。
# 单击<新建>按钮,进入新建接口对配置页面。配置如下:
· 工作模式:转发
· Bypass功能:开启
· Bypass模式:外部自动
· 成员:向接口一中添加GE1/0/2;接口二中添加GE1/0/3
图3 接口对配置图
# 当设备和PFC之间链路故障时,HostA和HostB之间的流量直接通过PFC设备转发;当链路恢复正常状态后,设备自动关闭外部Bypass功能,恢复由设备处理HostA和HostB之间的流量。
图4 外部自动Bypass
#
bridge 1 forward
bypass enable external auto
add interface GigabitEthernet1/0/2
add interface GigabitEthernet1/0/3
#
如图5所示,Device作为入侵防御设备保护企业内网用户免受来自Internet的攻击。当Device需要进行升级重启、或需要进行影响流量的操作配置、网络流量异常进行问题排查等,可以先通过手动执行外部静态Bypass功能来让流量直接通过PFC,不再经过Device进行处理;当环境恢复后,再关闭外部静态Bypass功能,让流量进行通过Device进行入侵防御。设备与PFC的接线图如图6所示。
本举例是在T1000-AI-90的R8860版本上进行配置和验证的。
· 仅支持添加二层或者三层物理接口以及二层聚合接口到转发模式的接口对。
· 本功能的支持情况与设备型号有关,请以设备实际情况为准。
# 选择“网络 > 接口 > 接口对 > 接口对”,进入接口对配置页面。
# 单击<新建>按钮,进入新建接口对配置页面。配置如下:
· 工作模式:转发
· Bypass功能:开启
· Bypass模式:外部静态
· 成员:向接口一中添加GE1/0/2;接口二中添加GE1/0/3
图7 接口对配置图
# 外部静态Bypass启用后,Inline转发接口会闪断,HostA和HostB之间的流量直接通过PFC设备转发,不经过设备处理。
图8 外部静态Bypass
#
bridge 1 forward
bypass enable external
add interface GigabitEthernet1/0/2
add interface GigabitEthernet1/0/3
#
如图9所示,Device作为入侵防御设备保护企业内网用户免受来自Internet的攻击。但由于Device的原因企业网络流量出现异常,如流量不通、流量卡顿等,需要进行问题排查,可以先通过手动执行内部Bypass功能让流量虽然经过安全设备,但不进行安全业务处理。安全设备会根据配置的转发模式,选择对应的接口将用户流量直接转发或者丢弃。
本举例是在T1000-AI-90的R8860版本上进行配置和验证的。
· 仅支持添加二层物理接口以及二层聚合接口到转发模式的接口对。
· 本功能的支持情况与设备型号有关,请以设备实际情况为准。
# 选择“网络 > 接口 > 接口对 > 接口对”,进入接口对配置页面。
# 单击<新建>按钮,进入新建接口对配置页面。配置如下:
· 工作模式:转发
· Bypass功能:开启
· Bypass模式:内部
· 成员:向接口一中添加GE1/0/2;接口二中添加GE1/0/3
图11 接口对配置图
# HostA和HostB之间的流量直接通过设备转发,但不进行安全业务处理。
图12 内部Bypass
#
bridge 1 forward
bypass enable
add interface GigabitEthernet1/0/2
add interface GigabitEthernet1/0/3
#
如图13所示,正常情况下,HostA和HostB之间的流量通过Device进行处理。管理员开启Bypass功能,HostA和HostB之间的流量通过Device后,不进行深度安全监测处理,当Device系统CPU使用率过高等情况,可通过开启Bypass功能来保证设备的正常运行。
本举例是在T1000-AI-90的R8860版本上进行配置和验证的。
· 开启Bypass服务将关闭应用层检测引擎,系统将不会对接收到的报文进行DPI深度安全处理。使用此功能前,请确保设备不需要进行DPI深度安全处理。
· 本功能的支持情况与设备型号有关,请以设备实际情况为准。
# 选择“对象 > 应用安全 > 高级配置”,进入高级配置页面。
# 单击勾选开启,点击确定,完成Bypass的配置。
图14 开启DPI-Bypass配置图
# HostA和HostB之间的流量通过Device进行处理。管理员开启Bypass功能,HostA和HostB之间的流量通过Device后,不进行深度安全监测处理,当Device系统CPU使用率过高等情况,可通过开启Bypass功能来保证设备的正常运行。
图15 开启DPI-Bypass
#
Inspect bypass
#
支持
售前咨询
售后咨询
人工在线咨询
