- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
04-IPv6 安全策略配置指导
本章节下载: 04-IPv6 安全策略配置指导 (168.93 KB)
目录
IPv6安全策略策略,可以对经过设备的IPv6数据流进行有效的控制和管理。以下述五元组:出接口、入接口、源地址、目的地址、服务作为匹配条件,决定哪些数据能进出,以及它们进出的时间等。
根据实际网络情况,保证安全策略对应匹配条件的对象已存在。
· 安全策略引用的源、目的地址对象或者地址组已存在。
· 安全策略引用的服务对象或者服务组已经存在。
· 安全策略引用的时间对象已经存在。
在配置准备所涉及到的匹配对象都已经存在的前提下。具体安全策略配置如表1-1所示。
表1-1 配置IPv6安全策略
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
必选 |
|
配置IPv6安全策略 |
policy6 in-ineterface out-interface source-address dest-address service-name user-name application-name schedule-name { permit|deny } [ id ] |
必选 |
在没有任何安全策略配置的情况下,设备会有一个默认的允许或者禁止转发报文经过设备的配置,具体安全策略默认动作的配置如表1-2。
表1-2 配置IPv6安全策略默认动作
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
必选 |
|
配置IPv6安全策略默认动作 |
policy6 default-action { permit|deny } |
可选 缺省情况下,默认动作是permit |
在配置准备所涉及到的匹配对象都已经存在的前提下。具体URL控制策略配置如表1-3所示。
表1-3 配置IPv6 URL控制策略
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
必选 |
|
配置IPv6 URL控制策略 |
website-policy id { url-category | any } { accept | deny } { emerg | alert | crit | err | notice | info | ignore } display |
必选 |
具体恶意URL控制策略配置如表1-4所示。
表1-4 配置IPV6恶意 URL开关
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
必选 |
|
配置IPv6 恶意URL控制策略 |
website-policy malware {enable | disable} |
必选 |
在完成上述配置后,在任意视图下执行display命令,可以显示设备上IPv6安全策略的配置情况,通过显示信息验证配置的效果。
表1-5 IPv6安全策略配置显示
|
操作 |
命令 |
|
Ipv6安全策略显示 |
display running-config ipv6-policy |
设备作为网关,内网用户通过设备访问外网资源。
图1-1 配置安全策略组网图
· 内网PC通过ge1口进入设备,从ge0口接入外网。
· 在设备上配置对PC流量的允许,并且阻断其成人分类的URL访问,记录日志级别为警告。对其恶意URL访问进行过滤。
· 其它流量均不允许通过设备。
# 配置IPv6安全策略。
host#system-view
host(config)# policy6 ge1 ge0 any any any any any always permit
host(config-policy6)# website-policy malware enable
host(config-policy6)# website-policy 1 adult deny warning webfilter
host(config-policy6)# website-policy enable 1
(1) 通过执行display running-config ipv6-policy命令来验证配置。
host# display running-config ipv6-policy
policy6 ge1 ge0 any any any any any always permit 1
website-policy malware enable
website-policy 1 adult deny warning webfilter
website-policy enable 1
policy6 default-action deny!
(2) 网关设备和链路均正常工作时,验证局域网内主机和外网的通讯是否正常。成人网站以及外网恶意URL无法访问,阻断成功并且有警告级别的阻断日志。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
