• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

07-设备中心

03-安全业务管理

本章节下载 03-安全业务管理  (153.07 KB)

03-安全业务管理

安全业务管理

本章包含如下内容:

·            全局资源

          IP地址管理

          服务管理

          时间段管理

          安全域管理

          应用管理

          防病毒

          入侵防御

          入侵防御白名单

·            安全策略

全局资源(如IP地址组、服务管理、时间段管理等)可被安全策略引用并下发至一台或多台设备,以便管理员可通过本平台快速、批量管理和下发安全策略。用户可通过手动添加或从设备导入的方式添加全局资源。

注意事项

下发配置前必须先在设备上配置NETCONF over SOAP,并将设备添加为资产,且指定设备所属区域和引用SOAP参数模板。

IP地址管理

该功能主要用于管理主机地址、范围地址、子网地址及IP地址组,包括查询、新增、删除及修改地址。

主要功能

·            主机地址:该功能用于管理系统中所有的主机地址,包括查询、增加、删除、修改主机地址。主机地址名称不能与IP地址列表中的范围地址和子网地址的名称重复。其使用状态由该主机地址是否加入了IP地址组决定,若加入了IP地址组,则状态为已使用,否则状态为未使用。

·            范围地址:该功能用于管理系统中所有的范围地址,包括查询、新增、删除、修改范围地址。范围IP地址分为IPv4IPv6两种类型,其使用状态由该范围地址是否加入了IP地址组决定,若加入了IP地址组,则状态为已使用,否则状态为未使用。

·            子网地址:该功能用于管理系统中所有的子网地址,包括查询、增加、删除、修改子网地址。子网IP地址分为IPv4IPv6两种类型,其使用状态由该地址是否加入了IP地址组决定,若加入了IP地址组,则状态为已使用,否则状态为未使用。

·            IP地址组:该功能用于管理系统中所有的IP地址组,包括查询、增加、删除、修改IP地址组。IP地址组分为IPv4IPv6两种类型。

服务组中包含服务对象,用于匹配报文中的协议类型以及协议的特性(如TCPUDP的源端口/目的端口、ICMP协议的消息类型/消息码等)。服务组包括预定义服务组和自定义服务组,管理员可以根据需要自定义服务组。自定义服务组支持查询、增加、修改、删除操作。

时间段定义了一个时间范围,用户通过创建一个时间段并在域间规则中将其引用,就可以使该规则在此时间段定义的时间范围内生效。时间段包括绝对时间段和周期时间段:

·            周期时间段:表示以一周为周期(如每周一的812点)循环生效的时间段。

·            绝对时间段:表示在指定时间范围内(如2015118点至20151318点)生效的时间段。

安全域(Security Zone),是一个逻辑概念,用于管理设备上安全需求相同的多个接口。管理员将安全需求相同的接口进行分类,并划分到不同的安全域,统一应用安全策略,简化配置,方便管理。

在安全域管理页面,单击<新增>按钮,进入增加安全域页面。配置安全域名称和描述,并添加设备接口。单击<选择接口>按钮,在选择接口页面中,选择下发安全域的设备,以及该设备中需要加入该安全域的接口。单击<确认>按钮,系统将对该设备下发新增安全域的操作。

使用限制和指导:

·            新增安全域时,需要选择目标设备和加入该安全域的接口。配置完成后,系统将下发该安全域配置到目标设备,下发配置需要一段时间。

·            为安全域选择接口时,已被加入到其它安全域的接口不能重复添加。

APRApplication Recognition)即应用层协议识别。基于应用的业务在进行报文处理时需要知道报文所属的应用层协议,APR可以为这样的业务提供应用识别服务,并能够对接口上接收或者发送的某个应用层协议的报文进行数目和速率统计。APR为了更好地识别报文所属的应用层协议,提供了两种应用识别方法:基于端口的应用识别和基于内容特征的应用识别。

·            PBARPort Based Application Recognition,基于端口的应用层协议识别):根据定义的应用层协议端口与应用的映射关系识别报文所属的应用层协议。

·            NBARNetwork Based Application Recognition,基于内容特征的应用层协议识别):提取应用报文区别于其它应用报文的特征,通过将报文的内容与特征库中的特征项进行匹配来识别报文所属的应用层协议。

新增自定义应用

1.        应用管理页面选择应用服务页签。单击<新增>按钮,进入新增自定义应用页面。

2.        配置应用的名称。

3.        单击<新增>按钮,进入新增端口映射页面,配置如下参数:

          端口号:表示指定与应用层协议映射的端口。

          协议类型:表示指定应用层协议使用的传输层协议。取值包括allDCCPDatagram Congestion Control Protocol,数据报拥塞控制协议)、SCTPStream Control Transmission Protocol,流控制传输协议)、TCP协议、UDP协议和UDP-Lite协议。其中,all表示所有传输层协议的指定端口的报文均被识别为指定应用层协议的报文。

          匹配方式:端口映射的匹配方式,取值包括all(通用端口映射)、基于IPv4地址的主机端口映射、基于IPv4网段的主机端口映射、基于IPv4 ACL的主机端口映射、基于IPv6地址的主机端口映射、基于IPv6网段的主机端口映射和基于IPv6 ACL的主机端口映射。其中,对于基于IPv4IPv6 ACL的主机端口映射,平台仅支持使用设备上已有的ACL

4.        单击确认按钮,完成应用配置。

5.        单击<选择设备>按钮,选择需要下发应用的设备。单击<确认>按钮,完成设备的选择。

6.        单击<确认>按钮,应用将下发到指定的设备。

新增应用组

1.        应用管理页面选择自定义应用组页签。单击<新增>按钮,进入新增自定义应用组页面。

2.        配置应用组的名称和描述信息。

3.        类别区域,筛选出指定类型的应用。筛选结果将显示在可选应用列表中。

4.        选择需要加入应用组的应用,单击右侧的按钮,可将所选应用加入右侧的已选应用列表中;或者可以单击按钮,将所有应用加入右侧的已选应用列表中。

5.        单击<选择设备>按钮,选择需要下发应用组的设备。单击<确认>按钮,完成设备的选择。

6.        单击<确认>按钮,应用组将下发到指定的设备。

防病毒功能是一种通过对报文应用层信息进行检测来识别和处理病毒报文的安全机制。防病毒功能凭借庞大且不断更新的病毒特征库可有效保护网络安全,防止病毒在网络中的传播。将具有防病毒功能的设备部署在企业网入口,可以将病毒隔离在企业网之外,为企业内网的数据安全提供坚固的防御。目前,该功能支持对基于以下应用层协议传输的报文进行防病毒检测:

·            HTTPHypertext Transfer Protocol,超文本传输协议)

·            FTPFile Transfer Protocol,文件传输协议)

·            SMTPSimple Mail Transfer Protocol,简单邮件传输协议)

·            IMAPInternet Mail Access ProtocolInternet邮件访问协议)

·            POP3Post Office Protocol - Version 3,邮局协议版本3

新增防病毒配置文件

1.        防病毒页面单击<新增>按钮,进入新增防病毒配置文件页面,配置如下参数。

          名称:防病毒配置文件的名称。

          描述:通过合理编写描述信息,便于管理员快速理解和识别防病毒配置文件的作用,有利于后期维护。

          上传:对HTTPFTPSMTPIMAP协议上传方向的报文进行病毒检测。其中,SMTP协议只支持上传方向。

          下载:对HTTPFTPPOP3IMAP协议下载方向的报文进行病毒检测。其中,POP3协议只支持下载方向。

          动作:设备可根据报文的应用层协议类型和传输方向来对其进行病毒检测,如果检测到病毒,则对此报文执行此处指定的动作。动作包括:告警、阻断、重定向。IMAP协议只支持告警动作。

2.        (可选)缺省情况下,设备基于应用层协议的防病毒动作对符合病毒特征的报文进行处理,当需要对某应用层协议上的具体应用采取不同的动作时,可在应用例外区域中在下拉框中选择指定的应用,单击右侧的按钮,将指定的应用添加到应用例外列表中,可为应用配置动作。设备将对该匹配该应用的报文执行配置的动作。例如,对HTTP协议进行允许通过处理,但是需要对HTTP协议上承载的游戏类应用采取阻断动作,这时就可以把所有游戏类的应用设置为应用例外,并配置动作为阻断。

3.        (可选)当发现某类检测出病毒的报文被误报时,可以把该报文对应的病毒特征设置为病毒例。当后续再有检测出包含此病毒特征的报文通过时,设备将对其执行允许动作。

4.        单击<选择设备>按钮,选择需要下发该防病毒配置文件的设备。单击<确认>按钮,完成设备选择。

5.        单击<确认>按钮,完成防病毒配置文件的配置。防病毒配置文件将立即下发到指定的设备。

6.        在安全策略的防病毒策略中引用此配置文件。有关安全策略的详细配置介绍请参见安全策略

入侵防御是一种可以对应用层攻击进行检测并防御的安全防御技术。入侵防御通过分析流经设备的网络流量来实时检测入侵行为,并通过一定的响应动作来阻断入侵行为,实现保护企业信息系统和网络免遭攻击的目的。

新增入侵防御配置文件

1.        入侵防御页面单击<新增>按钮,进入新增入侵防御页面,配置配置文件的名称。

2.        在特征筛选条件区域,配置如下参数,筛选出配置文件中所需的入侵防御特征。

          保护对象:特征的保护对象。

          攻击分类:特征所属的攻击分类。

          缺省动作:特征的预定义动作。包括如下取值:丢弃、允许、重置、黑名单。

          严重级别:特征的严重级别,包括如下取值:严重、高、中、低。

          缺省状态:特征的推荐使用状态,该状态值用于标识特征库中缺省是否推荐使用该特征匹配报文。取值包括使能和未使能。其中,使能表示该特征具有广泛的使用场景、具备普遍性,缺省推荐使用;未使能表示该特征仅适用于特殊场景、不具备普遍性,缺省不推荐使用。

入侵防御配置文件将筛选出匹配所有条件的特征,如果某个条件配置了多个参数,则特征至少需要匹配上其中一个参数,才表示匹配上该属性。

3.        (可选)在统一配置区域,可选择配置如下参数。

          策略匹配统计:开启此功能后,可以统计报文命中入侵防御配置文件的次数。

          动作:特征统一执行的动作,动作类型包括:缺省、黑名单、丢弃、允许、重置和重定向。如果动作为缺省,则对筛选出的特征执行各自的缺省动作。

          日志:对匹配特征的报文记录日志。

          抓包:对匹配特征的报文进行抓包。

4.        (可选)在筛选特征区域,可更改生效特征列表非生效特征列表中特征的状态和执行的动作。选择指定的特征,单击<更改状态>按钮,可修改特征的状态;单击按钮,可修改对匹配该特征报文执行的动作。

5.        单击<选择设备>按钮,选择需要下发该入侵防御配置文件的设备。单击<确认>按钮,完成设备的选择。

6.        单击<确认>按钮,完成入侵防御配置文件的配置,配置文件将下发至该设备。

7.        在安全策略的IPS策略中引用此配置文件。有关安全策略的详细配置介绍请参见安全策略

当发现入侵防御日志中存在误报的情况时,可通过开启白名单功能,将误报日志中提取到的威胁ID(入侵防御特征ID)、URLIP地址加入白名单。设备对匹配白名单的报文放行,可以减少误报。

新增入侵防御白名单

1.        入侵防御白名单页面,单击<新增>按钮,进入新增入侵防御白名单页面。配置如下参数。

          名称:配置入侵防御白名单的名称。

          描述:配置入侵防御白名单的描述信息。

          威胁ID:从误报的日志中提取到的入侵防御特征ID

          URL:从误报的日志中提取到的URL,由报文头域和报文首行组成,例如:111.15.93.166/wnm/get.j

          匹配模式:URL的匹配方式,取值包括精确匹配和字串匹配。其中,精确匹配要求报文中URL必须和配置的URL完全一致才能匹配成功;子串匹配要求报文中携带的URL只要包含配置的URL即可匹配成功。

          IP地址:从误报的日志中提取到的IP地址。

          IP地址类型:IP地址类型,取值包括IPV4IPv6

2.        单击<选择设备>按钮,选择需要下发该入侵防御白名单的设备。单击<确认>按钮,完成设备选择。

3.        单击<确认>按钮,完成入侵防御白名单的配置,白名单将直接下发至该设备。

安全策略通过指定源/目的安全域、源IP/MAC地址、目的IP地址、服务、应用、用户和时间段等过滤条件匹配出特定的报文,并根据预先设定的策略动作对此报文进行处理;若报文未匹配上任何策略,则丢弃该报文。当安全策略中未配置过滤条件时,则该策略将匹配所有报文。

安全策略

该功能主要用于管理安全策略,包括查询、新增、删除及修改安全策略。管理员可对安全策略进行删除、编辑和复制的操作。

新增安全策略的配置步骤如下:

1.        安全策略界面下,单击<新增>按钮,进入新增安全策略界面。配置如下参数。

          策略名称:表示安全策略的名称,同一类型安全策略的名称不能相同。

          源安全域:配置源安全域作为安全策略的过滤条件。

          目的安全域:配置目的安全域作为安全策略的过滤条件。

          动作:安全策略动作包括如下:

§  允许:表示对符合安全策略过滤条件的报文进行允许通过处理。

§  拒绝:表示对符合安全策略过滤条件的报文进行阻断处理。

          IP类型:安全策略包括IPv4IPv6两种类型。

          IP地址组:配置源IP地址组作为安全策略的过滤条件。

          目的IP地址组:配置目的IP地址作为安全策略的过滤条件。

          服务组:配置服务组作为安全策略的过滤条件。

          应用:配置应用作为安全策略的过滤条件。

          应用组:配置应用组作为安全策略的过滤条件。

          时间段:配置安全策略生效的时间段。

          IPS策略:在安全策略中引用入侵防御策略,设备将对符合安全策略过滤条件的报文进行入侵防御业务处理。

          防病毒策略:在安全策略中引用防病毒策略,设备将对符合安全策略过滤条件的报文进行防病毒业务处理。

          描述信息:通过配置描述信息,便于管理员快速理解和识别此安全策略的作用。

          日志记录:开启日志记录功能后,对符合安全策略过滤条件的报文记录日志信息。

          统计功能:开启开启策略匹配功能后,对符合安全策略过滤条件的报文进行数据统计。

          启用策略:开启本功能后,安全策略开始生效。

2.        配置上述参数后,单击<确认>按钮,完成安全策略的创建。

策略下发

该功能用于批量下发安全策略到多个设备并展示下发结果。

新增策略下发任务的配置步骤如下:

1.        策略下发页面,单击<新增>按钮,进入新增策略下发任务页面。配置如下参数:

          任务名称:策略下发任务名称,名称不可重复。

          任务描述:通过配置描述信息,便于管理员快速理解和识别此策略下发任务的作用。

2.        单击<选择设备>按钮,选择将安全策略下发到目标设备。单击<确认>按钮,完成设备的选择。

3.        单击<确认>按钮,完成策略下发任务的创建,并进入策略详情页面。

4.        在策略详情页面添加需要下发到目标设备上的安全策略。可通过新增和选择已有安全策略的方式添加安全策略。并可以对待下发的安全策略进行调序、移动、删除和冗余分析的操作。

注意事项

下发配置前必须先在设备上配置NETCONF over SOAP,并将设备添加为资产,且指定设备所属区域和引用SOAP参数模板。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们