17-安全策略配置
本章节下载: 17-安全策略配置 (382.99 KB)
安全策略是根据报文的属性信息对报文进行转发控制和DPI(Deep Packet Inspection,深度报文检测)深度安全检测的防控策略。
安全策略对报文的控制是通过安全策略规则实现的,规则中可以设置匹配报文的过滤条件,处理报文的动作和对于报文内容进行深度检测等功能。
安全策略中的每条规则都由唯一的名称和编号标识。名称必须在创建规则时由用户手工指定;而编号既可以手工指定,也可以由系统自动分配。
每条规则中均可以配置多种过滤条件,具体包括:源安全域、目的安全域、源IP地址、目的IP地址、用户、用户组、应用、应用组、服务和VPN。
每种过滤条件中(除VPN外)均可以配置多个匹配项,比如源安全域过滤条件中可以指定多个源安全域等。
安全策略中可配置多条规则,设备缺省按照规则的创建顺序对报文进行匹配,先创建的先匹配。因此,首先需要将规划的所有规则按照“深度优先”的原则(即控制范围小的、条件细化的在前,范围大的在后)进行排序,然后按照此顺序配置每一条规则。
规则基于会话对报文进行处理。规则允许报文通过后,设备会创建与此报文对应的会话表项,用于记录有关此报文的相关信息。
安全策略规则触发创建的会话,不仅可以根据报文的协议状态或所属的应用设置会话的老化时间,还可以基于规则设置会话的老化时间。规则中设置的会话老化时间优先级高于会话管理模块设置的会话老化时间。有关会话的详细介绍,请参见“安全配置指导”中的“会话管理”。
安全策略对报文的处理流程如图1-1所示:
安全策略对报文的处理过程如下:
(1) 首先识别出报文的属性信息,然后将这些属性信息与过滤条件中的匹配项进行匹配。每种过滤条件的多个匹配项之间是或的关系,即报文与某一个过滤条件中的任意一项匹配成功,则报文与此条过滤条件匹配成功;若报文与某一个过滤条件中的所有项都匹配失败,则报文与此条过滤条件匹配失败。
(2) 若报文与某条规则中已配置的所有过滤条件都匹配成功,则报文与此条规则匹配成功,但是应用与应用组、用户与用户组之间是或的关系。若有一个过滤条件不匹配,则报文与此条规则匹配失败,报文继续匹配下一条规则。以此类推,直到最后一条规则,若报文还未与规则匹配成功,则设备会丢弃此报文。
(3) 若报文与某条规则匹配成功,则结束此匹配过程,并对此报文执行规则中配置的动作。若规则的动作为“丢弃”,则设备会丢弃此报文;若规则的动作为“允许”,则设备继续对报文做下一步处理。
(4) 设备继续判断规则中是否引用了DPI业务(即规则中是否配置了profile命令),若引用了DPI业务,则会对此报文进行DPI深度安全检测;若未引用DPI业务,则直接允许此报文通过。
安全策略加速功能用来提高安全策略规则的匹配速度。当有大量用户同时通过设备新建连接时,若安全策略内包含大量规则,此功能可以提高规则的匹配速度,保证网络通畅;若安全策略加速功能失效,则规则匹配的过程将会很长,导致用户建立连接的时间超长,同时也会占用系统大量的CPU资源。
安全策略加速功能生效后,加速功能仅对此功能生效之前的规则生效,且报文仅匹配已加速成功的规则,不匹配未加速的规则。使用激活规则的加速功能可以使后续新增或修改规则的加速功能生效。激活规则的加速功能包括如下方式:
· 手动激活:是指新增或修改规则后,手动执行命令使这些规则的加速功能生效。
· 自动激活:是指在安全策略中停止操作的20秒后,系统会自动激活这些规则的加速功能。这种方式能够避免出现因忘记手工激活规则,而导致新增或修改规则不生效的问题。
安全策略的基本配置思路如图1-2所示,在配置安全策略之前需要完成的配置包括:创建安全域、配置接口并加入安全域、配置对象、配置DPI业务。
表1-1 安全策略配置任务简介
配置任务 |
说明 |
详细配置 |
|
将对象策略配置转换为安全策略配置 |
可选 |
||
配置安全策略规则 |
创建安全策略规则 |
必选 |
|
配置规则的过滤条件 |
必选 |
||
配置规则的生效时间 |
可选 |
||
配置规则的动作 |
必选 |
||
配置规则引用DPI应用profile |
可选 |
||
配置基于规则的会话老化时间 |
可选 |
||
配置规则与Track项联动 |
可选 |
||
开启规则记录日志功能 |
可选 |
||
开启规则匹配统计功能 |
可选 |
||
移动规则 |
可选 |
||
配置安全策略加速功能 |
可选 |
||
禁用规则 |
可选 |
此功能仅支持在从不支持安全策略功能的软件版本升级到支持安全策略的软件版本的应用场景中使用。
此功能可以将指定配置文件中的所有对象策略规则批量转换为对应的安全策略规则,从而实现将对象策略快速切换为安全策略的目的,切换后设备对流量的控制效果与切换前保持一致。
对象策略配置转换为安全策略配置的过程如下:
(1) 系统将所需转换的配置文件另存为指定名称的配置文件。
(2) 在另存后的配置文件中,设备按照对象策略规则在设备上的显示顺序,将其逐条转换为对应的安全策略规则。未被安全域间实例引用的对象策略中的规则,被转换为安全策略规则后将被置为失效状态。
(3) 转换完成后,另存后配置文件中的所有对象策略会被删除,其与安全域间实例之间的引用关系也会被取消。
(4) 系统将另存后的配置文件设置为下次启动的主配置文件。
(5) 重启设备后,转换后的安全策略配置生效。
· 配置转换完成后对象策略功能立即失效。
· 软件版本降级到不支持安全策略的版本时,需要将下次启动的主配置文件设置为转换前的配置文件,同时安全策略功能也将失效。为使指定的下次启动的主配置文件生效必须重启设备。因此在这种情况下不能使用ISSU(In-Service Software Upgrade,不中断业务升级)方式降级设备的软件版本。
· 自动转换方式时,为使转换后的安全策略生效必须重启设备,因此在这种情况下不能使用ISSU方式升级设备的软件版本。
· 在对象策略未进行加速的情况下,若源IP地址或目的IP地址应用的对象组中引用了用户或用户组,则转换为安全策略后,此源IP地址或目的IP地址作为过滤条件会失效。
在转换配置前,需要在对象策略配置中做好如下准备:
(1) 请检查每个对象策略中所有规则的排列顺序是否都遵循了“深度优先”的原则。若未遵循,则需按照“深度优先”的原则对这些规则进行重新排序;
(2) 请检查源安全域是any或目的安全域是any的安全域间实例上是否已引用对象策略。若已引用,则需合理修改对象策略后,删除这些安全域间实例的配置;
(3) 请检查配置文件加密功能是否处于开启状态。若已开启,则需关闭配置文件加密功能。
自动转换是指软件升级完成后,系统会自动执行security-policy switch-from object-policy命令,将系统中正在使用的配置文件中的对象策略配置转换为安全策略配置,配置转换完成后自动重启设备,整个转换过程无需管理员参与。
此种转换方式下,配置文件被另存的规则是:在原有配置文件末尾加“_secp”后缀。例如,将startup.cfg配置文件另存为startup_secp.cfg。
· 缺省情况下安全策略中不存在规则,设备接收到的所有非Management安全域和Local安全域之间的报文将均会被丢弃。因此,为使设备能够正常处理报文,必须在安全策略中配置相应的安全策略规则。
· 当设备接收的报文(如动态路由协议报文、隧道报文和VPN报文等)需要本机处理时,需要配置安全策略规则保证相应安全域与Local安全域之间的报文互通。
表1-2 创建安全策略规则
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入安全策略视图 |
security-policy { ip | ipv6 } |
- |
(可选)配置安全策略的描述信息 |
description text |
缺省情况下,安全策略未配置描述信息 |
创建安全策略规则,并进入安全策略规则视图 |
rule { rule-id | name name } * |
缺省情况下,不存在安全策略规则 |
(可选)配置安全策略规则的描述信息 |
description text |
缺省情况下,未配置安全策略规则的描述信息 |
· 当安全策略规则中未配置任何过滤条件时,则该规则将匹配所有报文。
· 若规则中已引用对象组的内容为空,则此规则将不能匹配任何报文。
表1-3 配置规则的过滤条件
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入安全策略视图 |
security-policy { ip | ipv6 } |
- |
进入安全策略规则视图 |
rule { rule-id | name name } * |
- |
配置作为安全策略规则过滤条件的源安全域 |
source-zone source-zone-name |
缺省情况下,安全策略规则中不存在过滤条件 |
配置作为安全策略规则过滤条件的目的安全域 |
destination-zone destination-zone-name |
|
配置作为安全策略规则过滤条件的源IP地址 |
source-ip object-group-name |
|
配置作为安全策略规则过滤条件的目的IP地址 |
destination-ip object-group-name |
|
配置作为安全策略规则过滤条件的服务 |
service { object-group-name | any } |
|
配置作为安全策略规则过滤条件的应用 |
application application-name |
|
配置作为安全策略规则过滤条件的应用组 |
app-group app-group-name |
|
配置作为安全策略规则过滤条件的用户 |
user username |
|
配置作为安全策略规则过滤条件的用户组 |
user-group user-group-name |
|
配置安全策略规则对入接口指定VPN多实例中的报文有效 |
vrf vrf-name |
表1-4 配置规则的生效时间
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入安全策略视图 |
security-policy { ip | ipv6 } |
- |
进入安全策略规则视图 |
rule { rule-id | name name } * |
- |
配置安全策略规则生效的时间段 |
time-range time-range-name |
缺省情况下,不限制安全策略规则生效的时间 |
表1-5 配置规则的动作
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入安全策略视图 |
security-policy { ip | ipv6 } |
- |
进入安全策略规则视图 |
rule { rule-id | name name } * |
- |
配置安全策略规则的动作 |
action { drop | pass } |
缺省情况下,安全策略规则动作是丢弃 |
通过在安全策略规则中引用DPI应用profile可实现对符合安全策略过滤条件的报文进行DPI相关业务的处理。有关DPI各业务的详细介绍,请参见“DPI深度安全配置指导”中的相关业务模块。
此功能仅在安全策略规则动作为允许的情况下才生效。
表1-6 配置规则引用DPI应用profile
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入安全策略视图 |
security-policy { ip | ipv6 } |
- |
进入安全策略规则视图 |
rule { rule-id | name name } * |
- |
配置安全策略规则的动作为允许 |
action pass |
缺省情况下,安全策略规则动作是丢弃 |
配置安全策略规则引用DPI应用profile |
profile app-profile-name |
缺省情况下,安全策略规则中未引用DPI应用profile |
表1-7 配置基于安全策略规则的会话老化时间
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入安全策略视图 |
security-policy { ip | ipv6 } |
- |
进入安全策略规则视图 |
rule { rule-id | name name } * |
- |
配置基于安全策略规则的会话老化时间 |
session aging-time time-value |
缺省情况下,未配置基于安全策略规则的会话老化时间 |
配置基于安全策略规则的长连接会话老化时间 |
session persistent aging-time time-value |
缺省情况下,未配置基于安全策略规则的长连接会话老化时间 |
在安全策略中可以配置规则与Track项进行联动,规则与Track项联动后,规则的状态由Track的状态决定。有关Track的详细配置请参见“可靠性配置指导”中的“Track”。
配置安全策略规则与Track项的Negative状态关联后,当安全策略规则收到Negative状态的Track通知时,将此规则置为有效状态(Active),当安全策略规则收到Positive状态的Track通知时,将此规则置为失效状态(Inactive)。
配置安全策略规则与Track项的Positive状态关联后,当安全策略规则收到Positive状态的Track通知时,将此规则置为有效状态(Active),当安全策略规则收到Negative状态的Track通知时,将此规则置为失效状态(Inactive)。
表1-8 配置安全策略规则与Track项联动
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入安全策略视图 |
security-policy { ip | ipv6 } |
- |
进入安全策略规则视图 |
rule { rule-id | name name } * |
- |
配置安全策略规则与Track项联动 |
track { negative | positive } track-entry-number |
缺省情况下,安全策略规则未与Track项联动 |
开启此功能后,设备对匹配规则的报文生成安全策略日志信息,此日志信息将会被交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。有关信息中心的详细描述,请参见“网络管理和监控配置指导”中的“信息中心”。
表1-9 开启规则记录日志功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入安全策略视图 |
security-policy { ip | ipv6 } |
- |
进入安全策略规则视图 |
rule { rule-id | name name } * |
- |
开启对符合过滤条件的报文记录日志信息的功能 |
logging enable |
缺省情况下,对符合过滤条件的报文记录日志信息的功能处于关闭状态 |
此功能用来对匹配规则的报文进行统计,可通过执行display security-policy statistics命令来查看相关报文的统计信息。
在跨VLAN模式Bridge转发的应用场景中,此功能仅统计安全策略和DPI业务丢弃的报文,不统计安全策略和DPI业务允许通过的报文。
表1-10 开启规则匹配统计功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入安全策略视图 |
security-policy { ip | ipv6 } |
- |
进入安全策略规则视图 |
rule { rule-id | name name } * |
- |
开启安全策略规则匹配统计功能 |
counting enable |
缺省情况下,安全策略规则匹配统计功能处于关闭状态 |
由于安全策略规则缺省按照其被创建的先后顺序进行匹配,因此为了使用户能够灵活调整规则的匹配顺序,可通过本功能来移动规则的位置,从而改变规则的匹配顺序。
表1-11 移动安全策略规则
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入安全策略视图 |
security-policy { ip | ipv6 } |
- |
移动安全策略规则 |
move rule rule-id before insert-rule-id |
- |
· 设备上的安全策略加速功能默认开启,且不能手动关闭。但是如下几种情况会导致安全策略加速功能失效。
¡ 激活安全策略规则加速功能时,内存资源不足会导致安全策略加速失效。
¡ 若安全策略规则中指定的IP地址对象组中包含排除地址和通配符掩码,则会导致安全策略加速功能失效。
· 安全策略加速失效后,设备无法对报文进行快速匹配,但是仍然可以进行原始的慢速匹配。
· 为使新增或修改的规则可以对报文进行匹配,必须激活这些规则的加速功能。
· 激活安全策略规则的加速功能时比较消耗内存资源,不建议频繁激活加速功能。建议在所有安全策略规则配置和修改完成后,统一执行accelerate enhanced enable命令。
· 若安全策略规则中指定的IP地址对象组中包含用户或用户组,则此条安全策略规则失效,将无法匹配任何报文。
· 安全策略规则中引用对象的内容发生变化后,也需要重新激活该规则的加速功能。
表1-12 配置安全策略加速功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入安全策略视图 |
security-policy { ip | ipv6 } |
- |
激活安全策略规则的加速功能 |
accelerate enhanced enable |
- |
表1-13 配置安全策略规则的动作
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入安全策略视图 |
security-policy { ip | ipv6 } |
- |
进入安全策略规则视图 |
rule { rule-id | name name } * |
- |
禁用安全策略规则 |
disable |
缺省情况下,安全策略规则处于启用状态 |
在完成上述配置后,在任意视图下执行display命令可以显示安全策略的配置信息,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除安全策略的统计信息。
操作 |
命令 |
显示安全策略的配置信息 |
display security-policy { ip | ipv6 } |
显示安全策略的统计信息 |
display security-policy statistics { ip | ipv6 } [ rule rule-name ] |
显示对象策略转换为安全策略的转换结果 |
display security-policy switch-result |
清除安全策略的统计信息 |
reset security-policy statistics [ ip | ipv6 ] [ rule rule-name ] |
· 某公司内的各部门之间通过Device实现互连,该公司的工作时间为每周工作日的8点到18点。
· 通过配置安全策略规则,允许总裁办在任意时间、财务部在工作时间通过HTTP协议访问财务数据库服务器的Web服务,禁止其它部门在任何时间、财务部在非工作时间通过HTTP协议访问该服务器的Web服务。
图1-3 安全策略基于IP地址的配置组网图
(1) 配置时间段
# 创建名为work的时间段,其时间范围为每周工作日的8点到18点。
<Device> system-view
[Device] time-range work 08:00 to 18:00 working-day
(2) 配置安全域
# 创建名为database的安全域,并将接口GigabitEthernet1/0/1加入该安全域中。
[Device] security-zone name database
[Device-security-zone-database] import interface gigabitethernet 1/0/1
[Device-security-zone-database] quit
# 创建名为president的安全域,并将接口GigabitEthernet1/0/2加入该安全域中。
[Device] security-zone name president
[Device-security-zone-president] import interface gigabitethernet 1/0/2
[Device-security-zone-president] quit
# 创建名为finance的安全域,并将接口GigabitEthernet1/0/3加入该安全域中。
[Device] security-zone name finance
[Device-security-zone-finance] import interface gigabitethernet 1/0/3
[Device-security-zone-finance] quit
# 创建名为market的安全域,并将接口GigabitEthernet1/0/4加入该安全域中。
[Device] security-zone name market
[Device-security-zone-market] import interface gigabitethernet 1/0/4
[Device-security-zone-market] quit
(3) 配置对象
# 创建名为database的IP地址对象组,并定义其子网地址为192.168.0.0/24。
[Device] object-group ip address database
[Device-obj-grp-ip-database] network subnet 192.168.0.0 24
[Device-obj-grp-ip-database] quit
# 创建名为president的IP地址对象组,并定义其子网地址为192.168.1.0/24。
[Device] object-group ip address president
[Device-obj-grp-ip-president] network subnet 192.168.1.0 24
[Device-obj-grp-ip-president] quit
# 创建名为finance的IP地址对象组,并定义其子网地址为192.168.2.0/24。
[Device] object-group ip address finance
[Device-obj-grp-ip-finance] network subnet 192.168.2.0 24
[Device-obj-grp-ip-finance] quit
# 创建名为market的IP地址对象组,并定义其子网地址为192.168.3.0/24。
[Device] object-group ip address market
[Device-obj-grp-ip-market] network subnet 192.168.3.0 24
[Device-obj-grp-ip-market] quit
# 创建名为web的服务对象组,并定义其支持的服务为HTTP。
[Device] object-group service web
[Device-obj-grp-service-web] service 6 destination eq 80
[Device-obj-grp-service-web] quit
(4) 配置安全策略及规则
# 进入IPv4安全策略视图。
[Device] security-policy ip
[Device-security-policy-ip]
# 制订允许总裁办在任意时间通过HTTP协议访问财务数据库服务器的安全策略规则,其规则名称为president-database。
[Device-security-policy-ip] rule 0 name president-database
[Device-security-policy-ip-0-president-database] source-zone president
[Device-security-policy-ip-0-president-database] destination-zone database
[Device-security-policy-ip-0-president-database] source-ip president
[Device-security-policy-ip-0-president-database] destination-ip database
[Device-security-policy-ip-0-president-database] service web
[Device-security-policy-ip-0-president-database] action pass
[Device-security-policy-ip-0-president-database] quit
# 制订只允许财务部在工作时间通过HTTP协议访问财务数据库服务器的安全策略规则,其规则名称为finance-database。
[Device-security-policy-ip] rule 1 name finance-database
[Device-security-policy-ip-1-finance-database] source-zone finance
[Device-security-policy-ip-1-finance-database] destination-zone database
[Device-security-policy-ip-1-finance-database] source-ip finance
[Device-security-policy-ip-1-finance-database] destination-ip database
[Device-security-policy-ip-1-finance-database] service web
[Device-security-policy-ip-1-finance-database] action pass
[Device-security-policy-ip-1-finance-database] time-range work
[Device-security-policy-ip-1-finance-database] quit
# 制订禁止市场部在任何时间通过HTTP协议访问财务数据库服务器的安全策略规则,其规则名称为market-database。
[Device-security-policy-ip] rule 2 name market-database
[Device-security-policy-ip-2-market-database] source-zone market
[Device-security-policy-ip-2-market-database] destination-zone database
[Device-security-policy-ip-2-market-database] source-ip market
[Device-security-policy-ip-2-market-database] destination-ip database
[Device-security-policy-ip-2-market-database] service web
[Device-security-policy-ip-2-market-database] action drop
[Device-security-policy-ip-2-market-database] quit
# 激活安全策略规则的加速功能。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
配置完成后,总裁办可以在任意时间访问财务数据库服务器的Web服务,财务部仅可以在工作时间访问财务数据库服务器的Web服务,其他部门任何时间均不可以访问财务数据库服务器的Web服务。
某公司由于业务的快速发展,网络环境也随之发生了很大变化。为了适用网络环境的变化,公司需要将设备的软件版本升级到支持安全策略的软件版本,同时也需要使用安全策略功能替换原来的对象策略功能。
但是由于设备上已配置大量的对象策略规则,无论将这些对象策略规则一条一条的手工切换到安全策略规则,还是重新设计和配置安全策略规则,这都将是一项非常复杂且耗时耗力的工作。为解决以上问题,可以使用设备提供的对象策略切换功能,将对象策略配置快速切换到对应的安全策略配置。
图1-4 将对象策略自动转换为安全策略配置组网图
(1) 在准备将对象策略配置转换为安全策略配置前,请先按照1.4.3 配置准备中的检查项,在待转换的配置文件中逐一排查和更正后,再进行下一步操作
(2) 将设备的软件版本升级到支持安全策略的软件版本
(3) 重启设备,对象策略配置将被自动转换为安全策略配置
# 转换前的对象策略对流量实现的控制效果为:允许总裁办在任意时间、财务部在工作时间通过HTTP协议访问财务数据库服务器的Web服务,禁止其它部门在任何时间、财务部在非工作时间通过HTTP协议访问该服务器的Web服务。
· 对象策略的相关配置
# 有关对象策略的配置内容如下:
#
object-group ip address database
0 network subnet 192.168.0.0 255.255.255.0
#
object-group ip address finance
0 network subnet 192.168.2.0 255.255.255.0
#
object-group ip address market
0 network subnet 192.168.3.0 255.255.255.0
#
object-group ip address president
0 network subnet 192.168.1.0 255.255.255.0
#
object-group service web
0 service tcp destination eq 80
#
object-policy ip finance-database
rule 0 pass source-ip finance destination-ip database service web time-range wo
rk
#
object-policy ip market-database
rule 0 drop source-ip market destination-ip database service web
#
object-policy ip president-database
rule 0 pass source-ip president destination-ip database service web
#
security-zone name Local
#
security-zone name Trust
#
security-zone name DMZ
#
security-zone name Untrust
#
security-zone name Management
import interface GigabitEthernet1/0/0
#
security-zone name database
import interface GigabitEthernet1/0/1
#
security-zone name finance
import interface GigabitEthernet1/0/3
#
security-zone name market
import interface GigabitEthernet1/0/4
#
security-zone name president
import interface GigabitEthernet1/0/2
#
zone-pair security source finance destination database
object-policy apply ip finance-database
#
zone-pair security source market destination database
object-policy apply ip market-database
#
zone-pair security source president destination database
object-policy apply ip president-database
#
· 安全策略的相关配置
# 转换后的安全策略对流量的控制,同样可以达到原对象策略所控制的效果。
# 转换完成后安全策略配置内容如下:
#
object-group ip address database
0 network subnet 192.168.0.0 255.255.255.0
#
object-group ip address finance
0 network subnet 192.168.2.0 255.255.255.0
#
object-group ip address market
0 network subnet 192.168.3.0 255.255.255.0
#
object-group ip address president
0 network subnet 192.168.1.0 255.255.255.0
#
object-group service web
0 service tcp destination eq 80
#
security-zone name Local
#
security-zone name Trust
#
security-zone name DMZ
#
security-zone name Untrust
#
security-zone name Management
import interface GigabitEthernet1/0/0
#
security-zone name database
import interface GigabitEthernet1/0/1
#
security-zone name finance
import interface GigabitEthernet1/0/3
#
security-zone name market
import interface GigabitEthernet1/0/4
#
security-zone name president
import interface GigabitEthernet1/0/2
#
zone-pair security source finance destination database
#
zone-pair security source market destination database
#
zone-pair security source president destination database
#
security-policy ip
rule 0 name finance-database-0
action pass
time-range work
source-zone finance
destination-zone database
source-ip finance
destination-ip database
service web
rule 1 name market-database-1
source-zone market
destination-zone database
source-ip market
destination-ip database
service web
rule 2 name president-database-2
action pass
source-zone president
destination-zone database
source-ip president
destination-ip database
service web
#
security-policy ipv6
#
· 所有的设备都运行OSPF,并将整个自治系统划分为3个区域。
· 其中Device A和Device B作为ABR来转发区域之间的路由。
· 配置完成后,每台路由器都应学到AS内的到所有网段的路由。
图1-5 安全策略保证OSPF邻接关系建立的配置组网图
(1) 配置各接口的IP地址(略)
(2) 配置Device A
· 将接口加入安全域
# 进入Untrust安全域,并将接口GigabitEthernet1/0/1加入该安全域中。
<DeviceA> system-view
[DeviceA] security-zone name untrust
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Untrust] quit
# 进入Trust安全域,并将接口GigabitEthernet1/0/2加入该安全域中。
[DeviceA] security-zone name trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-Trust] quit
· 配置安全策略
# 进入IPv4安全策略视图。
[DeviceA] security-policy ip
# 配置名称为untrust-local的安全策略,使Untrust安全域和Local安全域之间的报文互通,以保证两个设备之间可以建立OSPF邻接关系。
[DeviceA-security-policy-ip] rule 0 name untrust-local
[DeviceA-security-policy-ip-0-untrust-local] source-zone untrust
[DeviceA-security-policy-ip-0-untrust-local] source-zone local
[DeviceA-security-policy-ip-0-untrust-local] destination-zone untrust
[DeviceA-security-policy-ip-0-untrust-local] destination-zone local
[DeviceA-security-policy-ip-0-untrust-local] action pass
[DeviceA-security-policy-ip-0-untrust-local] quit
# 配置名称为trust-untrust的安全策略,使Trust安全域和Untrust安全域之间的报文互通。
[DeviceA-security-policy-ip] rule 1 name trust-untrust
[DeviceA-security-policy-ip-1-trust-untrust] source-zone trust
[DeviceA-security-policy-ip-1-trust-untrust] source-zone untrust
[DeviceA-security-policy-ip-1-trust-untrust] destination-zone trust
[DeviceA-security-policy-ip-1-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ip-1-trust-untrust] action pass
[DeviceA-security-policy-ip-1-trust-untrust] quit
[DeviceA-security-policy-ip] quit
· 配置OSPF基本功能
[DeviceA] router id 2.2.2.1
[DeviceA] ospf
[DeviceA-ospf-1] area 0
[DeviceA-ospf-1-area-0.0.0.0] network 1.1.1.0 0.0.0.255
[DeviceA-ospf-1-area-0.0.0.0] quit
[DeviceA-ospf-1] area 1
[DeviceA-ospf-1-area-0.0.0.1] network 2.2.2.0 0.0.0.255
[DeviceA-ospf-1-area-0.0.0.1] quit
[DeviceA-ospf-1] quit
(3) 配置Device B
· 将接口加入安全域
# 进入Untrust安全域,并将接口GigabitEthernet1/0/1加入该安全域中。
<DeviceB> system-view
[DeviceB] security-zone name untrust
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Untrust] quit
# 进入Trust安全域,并将接口GigabitEthernet1/0/2加入该安全域中。
[DeviceB] security-zone name trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceB-security-zone-Trust] quit
· 配置安全策略
# 进入IPv4安全策略视图。
[DeviceB] security-policy ip
# 配置名称为untrust-local的安全策略,使Untrust安全域和Local安全域之间的报文互通,以保证两个设备之间可以建立OSPF邻接关系。
[DeviceB-security-policy-ip] rule 0 name untrust-local
[DeviceB-security-policy-ip-0-untrust-local] source-zone untrust
[DeviceB-security-policy-ip-0-untrust-local] source-zone local
[DeviceB-security-policy-ip-0-untrust-local] destination-zone untrust
[DeviceB-security-policy-ip-0-untrust-local] destination-zone local
[DeviceB-security-policy-ip-0-untrust-local] action pass
[DeviceB-security-policy-ip-0-untrust-local] quit
# 配置名称为trust-untrust的安全策略,使Trust安全域和Untrust安全域之间的报文互通。
[DeviceB-security-policy-ip] rule 1 name trust-untrust
[DeviceB-security-policy-ip-1-trust-untrust] source-zone trust
[DeviceB-security-policy-ip-1-trust-untrust] source-zone untrust
[DeviceB-security-policy-ip-1-trust-untrust] destination-zone trust
[DeviceB-security-policy-ip-1-trust-untrust] destination-zone untrust
[DeviceB-security-policy-ip-1-trust-untrust] action pass
[DeviceB-security-policy-ip-1-trust-untrust] quit
[DeviceB-security-policy-ip] quit
· 配置OSPF基本功能
[DeviceB] router id 3.3.3.1
[DeviceB] ospf
[DeviceB-ospf-1] area 0
[DeviceB-ospf-1-area-0.0.0.0] network 1.1.1.0 0.0.0.255
[DeviceB-ospf-1-area-0.0.0.0] quit
[DeviceB-ospf-1] area 2
[DeviceB-ospf-1-area-0.0.0.2] network 3.3.3.0 0.0.0.255
[DeviceB-ospf-1-area-0.0.0.2] quit
[DeviceB-ospf-1] quit
# 查看Device A的OSPF邻居详细信息。
[DeviceA] display ospf peer verbose
OSPF Process 1 with Router ID 2.2.2.1
Neighbors
Area 0.0.0.0 interface 1.1.1.1(GigabitEthernet1/0/1)'s neighbors
Router ID: 3.3.3.1 Address: 1.1.1.2 GR State: Normal
State: Full Mode: Nbr is master Priority: 1
DR: 1.1.1.1 BDR: 1.1.1.2 MTU: 0
Options is 0x42 (-|O|-|-|-|-|E|-)
Dead timer due in 32 sec
Neighbor is up for 00:07:08
Authentication Sequence: [ 0 ]
Neighbor state change count: 5
BFD status: Disabled
# 查看Device A的OSPF路由信息。
[DeviceA] display ospf routing
OSPF Process 1 with Router ID 2.2.2.1
Routing Table
Routing for network
Destination Cost Type NextHop AdvRouter Area
3.3.3.0/24 2 Inter 1.1.1.2 3.3.3.1 0.0.0.0
2.2.2.0/24 1 Stub 0.0.0.0 2.2.2.1 0.0.0.1
1.1.1.0/24 1 Transit 0.0.0.0 2.2.2.1 0.0.0.0
Total nets: 3
Intra area: 2 Inter area: 1 ASE: 0 NSSA: 0
# Area 1中的主机与Area 2中的主机可以互相Ping通。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!