13-安全策略配置
本章节下载: 13-安全策略配置 (392.18 KB)
目 录
安全策略是根据报文的属性信息对报文进行转发控制的防控策略。
安全策略对报文的控制是通过安全策略规则实现的,规则中可以设置匹配报文的过滤条件,处理报文的动作和对于报文内容进行深度检测等功能。
安全策略中的每条规则都由唯一的名称和编号标识。名称必须在创建规则时由用户手工指定;而编号既可以手工指定,也可以由系统自动分配。
每条规则中均可以配置多种过滤条件,具体包括:源安全域、目的安全域、源IP地址、源MAC地址、目的IP地址、用户、用户组、应用、应用组、VPN和服务。每种过滤条件中(除VPN外)均可以配置多个匹配项,比如源安全域过滤条件中可以指定多个源安全域等。
规则基于会话对报文进行处理。规则允许报文通过后,设备会创建与此报文对应的会话表项,用于记录有关此报文的相关信息。
安全策略规则触发创建的会话,不仅可以根据报文的协议状态或所属的应用设置会话的老化时间,还可以基于规则设置会话的老化时间。规则中设置的会话老化时间优先级高于会话管理模块设置的会话老化时间。有关会话的详细介绍,请参见“安全配置指导”中的“会话管理”。
安全策略对报文的处理流程如图1-1所示:
安全策略对报文的处理过程如下:
(1) 将报文的属性信息与过滤条件中的匹配项进行匹配。每种过滤条件的多个匹配项之间是或的关系,即报文与某一个过滤条件中的任意一项匹配成功,则报文与此过滤条件匹配成功;若报文与某一个过滤条件中的所有项都匹配失败,则报文与此过滤条件匹配失败。
(2) 若报文与某条规则中的所有过滤条件都匹配成功(用户与用户组匹配一项即可,应用与应用组匹配一项即可,源IP地址与源MAC地址匹配一项即可),则报文与此条规则匹配成功。若有一个过滤条件不匹配,则报文与此条规则匹配失败,报文继续匹配下一条规则。以此类推,直到最后一条规则,若报文还未与规则匹配成功,则设备会丢弃此报文。
(3) 若报文与某条规则匹配成功,则结束此匹配过程,并对此报文执行规则中配置的动作。
¡ 若规则的动作为“丢弃”,则设备会丢弃此报文;
¡ 若规则的动作为“允许”,则设备继续对报文做第4步处理;
安全策略加速功能用来提高安全策略规则的匹配速度。当有大量用户同时通过设备新建连接时,若安全策略内包含大量规则,此功能可以提高规则的匹配速度,保证网络通畅;若安全策略加速功能失效,则匹配的过程将会很长,导致用户建立连接的时间超长,同时也会占用系统大量的CPU资源。
安全策略加速功能生效后,加速功能仅对此功能生效之前的规则生效,且报文仅匹配已加速成功的规则,不匹配未加速的规则。使用激活规则的加速功能可以使后续新增或修改规则的加速功能生效。激活规则的加速功能包括如下方式:
· 手动激活:是指新增或修改规则后,手动执行命令使这些规则立即加速。
· 自动激活:是指设备按照固定时间间隔进行周期性判断是否需要安全策略加速,在一个时间间隔内若安全策略的过滤条件发生变化,则间隔时间到达后会进行安全策略加速,否则,不会进行加速。当每种类型安全策略规则小于等于100条时,此时间间隔为2秒;当每种类型安全策略规则大于100条时,此时间间隔为20秒。这种方式能够避免出现因忘记手工激活规则,而导致新增或修改规则不生效的问题。
当其他设备与本设备的非管理接口连接,并需要访问该设备(如对本设备进行Ping、Telnet、访问Web页面或FTP服务等),或者由其他设备首先发起连接请求的各类协议报文交互(如动态路由协议、VPN隧道建立等)。则必须配置安全策略,放行访问本设备的相应报文,否则将无法成功建立连接。如图1-2所示。
以位于Trust安全域的PC(10.1.1.10)通过HTTPS协议访问设备(10.1.1.1)的Web管理界面为例,需要配置如下安全策略规则。
表1-1 允许PC访问本设备Web的安全策略规则
规则名称 |
源安全域 |
目的安全域 |
源IP地址 |
目的IP地址 |
服务 |
动作 |
httpslocalin |
Trust |
Local |
10.1.1.10 |
10.1.1.1 |
https |
pass |
关于本设备需要配置安全策略放行协议报文的更多介绍,请参见1.4 安全策略放行本机报文。
当本设备的非管理接口与其他设备连接,并需要主动访问其他设备(如对其他设备进行Ping、Telnet、访问FTP服务等),或者由本设备首先发起连接的各类协议交互(如动态路由协议、VPN隧道建立等)。则必须配置安全策略,放行本设备发出的相应报文,否则将无法成功建立连接。如图1-3所示。
以本设备(10.1.1.1)访问位于Trust安全域的FTP Server(10.1.1.20)的FTP服务为例,需要配置如下安全策略规则。
表1-2 允许本设备访问FTP Server的安全策略规则
规则名称 |
源安全域 |
目的安全域 |
源IP地址 |
目的IP地址 |
服务 |
动作 |
ftplocalout |
Local |
Trust |
10.1.1.1 |
10.1.1.20 |
ftp |
pass |
对于仅需要本设备进行转发的流量,即经过本设备报文的源和目的均非设备本身,则必须配置安全策略,放行经过本设备的相应报文,否则将无法成功转发报文。如图1-4所示。
以位于Trust安全域的PC(10.1.1.10)通过HTTP协议访问位于Untrust安全域的外网网站为例,需要配置如下安全策略规则。
表1-3 允许PC访问外网网站的安全策略规则
规则名称 |
源安全域 |
目的安全域 |
源IP地址 |
服务 |
动作 |
trust-untrust |
Trust |
Untrust |
10.1.1.10 |
http |
pass |
为了能配置最优的安全策略方案,建议在配置安全策略时遵守如下原则:
· 配置放行报文的安全策略规则时建议采用最小范围开放原则,即在保证正常业务流量放行的情况下,配置最严谨的匹配条件。
· 配置安全策略规则时,请按照“深度优先”的原则(即控制范围小的、条件细化的在前,范围大的在后)进行配置。
· 若某个安全域既需要作为源安全域又需要作为目的安全域时,建议分别配置两条安全策略规则,以保证严格控制相同安全域内不同接口之间的报文互访。否则,此安全域内不同接口之间的流量可以互通。
· 建议将Local安全域相关的安全策略规则放在最前方,以保证本机业务报文能够正常处理或发送。
当设备接收的报文需要本机处理或本机主动向外部发送报文时,需要配置安全策略放行相应安全域与Local安全域之间的报文互通。需要配置安全策略放行的常见业务(关于这部分业务的支持情况,请以设备实际情况为准)及其方法如表1-4所示。
业务名称 |
Local安全域 |
OSPF/IS-IS/RIP/BGP |
作为源安全域和目的安全域分别配置安全策略规则 |
IPsec/SSL/L2TP/MPLS/GRE |
作为源安全域和目的安全域分别配置安全策略规则 |
DNS/DHCP/FTP(客户端) |
仅作为源安全域配置安全策略规则 |
DNS/DHCP/FTP(服务器) |
仅作为目的安全域配置安全策略规则 |
SSH/Telnet/Ping/Tracet(本机发起) |
仅作为源安全域配置安全策略规则 |
SSH/Telnet/SNMP/HTTP/HTTPS(访问本机) |
仅作为目的安全域配置安全策略规则 |
BFD |
作为源安全域和目的安全域分别配置安全策略规则 |
LB |
作为源安全域和目的安全域分别配置安全策略规则 |
安全域间目前支持通过三种策略控制报文的转发:包过滤策略、对象策略、安全策略。三种策略建议不要同时配置,否则可能会存在部分策略失效导致业务中断。
配置安全策略前,请先检查设备是否存在包过滤策略或对象策略:
(1) 存在包过滤策略:由于安全策略对报文的处理在包过滤策略之前,当报文与安全策略规则匹配成功后,不再进行包过滤处理,可能会导致包过滤策略放行的业务中断。建议先将包过滤策略转换为安全策略,具体操作方法请参见1.9 将包过滤策略转换为安全策略。
· 存在对象策略:由于首次进入安全策略视图后对象策略功能立即失效,导致对象策略放行的业务中断。建议先将对象策略转换为安全策略,具体操作方法请参见1.1 安全策略。
安全策略的基本配置思路如图1-5所示,在配置安全策略之前需要完成的配置包括:创建安全域、配置接口并加入安全域、配置对象。
在配置安全策略之前,需完成以下任务:
· 配置时间段(请参见“ACL和QoS配置指导”中的“时间段”)。
· 配置IP地址对象组和服务对象组(请参见“安全配置指导”中的“对象组”)。
· 配置应用和应用组(请参见“安全配置指导”中的“APR”)。
· 配置用户和用户组(请参见“安全配置指导”中的“用户身份识别与管理”)。
· 配置安全域(请参见“安全配置指导”中的“安全域”)。
安全策略配置任务如下:
(1) (可选)将包过滤策略转换为安全策略
(2) 开启安全策略功能
(3) 配置安全策略规则
a. 创建安全策略规则
b. 配置规则过滤条件
c. 配置规则动作
d. (可选)配置规则生效时间
e. (可选)配置基于规则的会话老化时间
f. (可选)配置规则与Track项联动
g. (可选)开启规则记录日志功能
h. (可选)开启规则匹配统计功能
(4) (可选)管理安全策略
a. 移动安全策略规则
b. 激活安全策略加速功能
c. 禁用安全策略规则
当安全策略与包过滤策略同时配置时,报文将优先与安全策略规则匹配,匹配成功后不再进行包过滤处理。所以建议包过滤和安全策略不要同时配置,否则可能会导致包过滤策略放行的业务中断。
若设备需要配置安全策略,建议先将包过滤策略全部转换为安全策略。针对不同场景包过滤策略转换为安全策略的推荐操作方法如下。
若当前设备上仅存在包过滤策略,需要将包过滤策略全部转换为安全策略,则按照如下过程完成转换:
(1) 执行security-policy disable命令关闭安全策略功能。
(2) 进入安全策略视图,按照设备上的包过滤策略配置对应安全策略规则的过滤条件及动作。
(3) 执行undo security-policy disable命令开启安全策略功能,此时安全策略生效。
(4) (可选)删除设备上的包过滤策略。
若当前设备上同时存在包过滤策略和安全策略,且均生效,需要将包过滤策略全部转换为安全策略,推荐优先使用Web方式配置替换包过滤策略的安全策略(可避免包过滤放行的业务中断)。若通过CLI方式,则按照如下过程完成转换:
(1) 首先确保当前配置设备的连接不受包过滤策略控制,建议通过设备Console口或Management安全域接口对设备进行配置,避免配置设备的连接中断,无法继续配置设备。
(2) 进入安全策略视图,按照设备上的包过滤策略配置对应安全策略规则的过滤条件及动作。
执行rule [ rule-id ] name rule-name命令创建安全策略规则后(尚未配置过滤条件或动作),新创建的规则会默认匹配所有报文并执行缺省丢弃动作,导致包过滤策略放行的业务中断。所以需要立即配置规则的过滤条件和动作,以缩短业务中断时间。并建议在业务较空闲的时间段配置安全策略。
(3) (可选)删除设备上的包过滤策略。
只有开启安全策略功能后,配置的安全策略才能生效。
(1) 进入系统视图。
system-view
(2) 开启安全策略功能。
undo security-policy disable
缺省情况下,安全策略功能处于开启状态。
security-policy disable命令会直接关闭所有安全策略,可能导致网络中断。
缺省情况下安全策略中不存在规则,设备仅允许Management安全域和Local安全域之间的报文通过。因此需要在如下场景中配置安全策略规则:
· 使设备能够正常处理各安全域之间的报文。
· 当设备接收的报文(如动态路由协议报文、隧道报文和VPN报文等)需要本机处理时,需要配置安全策略规则保证相应安全域与Local安全域之间的报文互通。
(1) 进入系统视图。
system-view
(2) 进入安全策略视图。
security-policy { ip | ipv6 }
· undo security-policy { ip | ipv6 }命令会直接删除所有安全策略配置,可能导致网络中断。
· 安全策略功能与对象策略功能在设备上不能同时使用,当对象策略处于生效状态时,进入安全策略视图,对象策略功能会立即失效,可能导致网络中断。
(3) (可选)配置安全策略的描述信息。
description text
缺省情况下,未配置安全策略的描述信息。
(4) 创建安全策略规则,并进入安全策略规则视图。
rule { rule-id | [ rule-id ] name rule-name }
(5) (可选)配置安全策略规则的描述信息。
description text
缺省情况下,未配置安全策略规则的描述信息。
当安全策略规则中未配置任何过滤条件时,则该规则将匹配所有报文。且由于缺省动作为丢弃,当规则未配置动作时,匹配到该规则的报文将会被丢弃。
若规则中已引用对象组的内容为空,则此规则将不能匹配任何报文。
Management和Local安全域间之间的报文只能匹配Management与Local安全域之间的安全策略。
安全策略规则中不可配置包含用户或用户组的IP地址对象组作为过滤条件,如需过滤用户,推荐直接在安全策略规则中配置用户或用户组作为过滤条件。
(1) 进入系统视图。
system-view
(2) 进入安全策略视图。
security-policy { ip | ipv6 }
(3) 进入安全策略规则视图。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置源过滤条件。
¡ 配置作为安全策略规则过滤条件的源安全域。
source-zone source-zone-name
缺省情况下,未配置源安全域过滤条件。
¡ 配置作为安全策略规则过滤条件的源IP地址对象组。
source-ip object-group-name
缺省情况下,未配置源IP地址对象组过滤条件。
¡ 配置作为安全策略规则过滤条件的源IPv4主机地址。
source-ip-host ip-address
缺省情况下,未配置源IPv4主机地址过滤条件。
¡ 配置作为安全策略规则过滤条件的源IPv4子网地址。
source-ip-subnet ip-address { mask-length | mask }
缺省情况下,未配置源IPv4子网地址过滤条件。
¡ 配置作为安全策略规则过滤条件的源IPv4范围地址。
source-ip-range ip-address1 ip-address2
缺省情况下,未配置源IPv4范围地址过滤条件。
¡ 配置作为安全策略规则过滤条件的源MAC地址对象组。
source-mac object-group-name
缺省情况下,未配置源MAC地址对象组过滤条件。
(5) 配置目的过滤条件。
¡ 配置作为安全策略规则过滤条件的目的安全域。
destination-zone destination-zone-name
缺省情况下,未配置目的安全域过滤条件。
¡ 配置作为安全策略规则过滤条件的目的IP地址对象组。
destination-ip object-group-name
缺省情况下,未配置目的IP地址对象组过滤条件。
¡ 配置作为安全策略规则过滤条件的目的IPv4主机地址。
destination-ip-host ip-address
缺省情况下,未配置目的主机IPv4主机地址过滤条件。
¡ 配置作为安全策略规则过滤条件的目的IPv4子网地址。
destination-ip-subnet ip-address { mask-length | mask }
缺省情况下,未配置目的IPv4子网地址过滤条件。
¡ 配置作为安全策略规则过滤条件的目的IPv4范围地址。
destination-ip-range ip-address1 ip-address2
缺省情况下,未配置目的IPv4范围地址过滤条件。
(6) 配置作为安全策略规则过滤条件的服务对象组。
service { object-group-name | any }
缺省情况下,未配置服务对象组过滤条件。
(7) 配置作为安全策略规则过滤条件的服务端口。
service-port protocol [ { destination { { eq | lt | gt } port | range port1 port2 } | source { { eq | lt | gt } port | range port1 port2 } } * | icmp-type icmp-code ]
缺省情况下,未配置服务端口过滤条件。
(8) 配置应用类过滤条件。
¡ 配置作为安全策略规则过滤条件的应用。
application application-name
缺省情况下,未配置应用过滤条件。
为使安全策略中配置的应用可以被识别,必须先放行应用所依赖的基础协议报文。
¡ 配置作为安全策略规则过滤条件的应用组。
app-group app-group-name
缺省情况下,未配置应用组过滤条件。
(9) 配置用户类过滤条件。
¡ 配置作为安全策略规则过滤条件的用户。
user username [ domain domain-name ]
缺省情况下,未配置用户过滤条件。
¡ 配置作为安全策略规则过滤条件的用户组。
user-group user-group-name [ domain domain-name ]
缺省情况下,未配置用户组过滤条件。
(10) 配置安全策略规则对入接口指定VPN多实例中的报文有效。
vrf vrf-name
缺省情况下,安全策略规则对公网的报文有效。
(1) 进入系统视图。
system-view
(2) 进入安全策略视图。
security-policy { ip | ipv6 }
(3) 进入安全策略规则视图。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略规则的动作。
action { drop | pass }
缺省情况下,安全策略规则动作是丢弃。
(1) 进入系统视图。
system-view
(2) 进入安全策略视图。
security-policy { ip | ipv6 }
(3) 进入安全策略规则视图。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略规则生效的时间段。
time-range time-range-name
缺省情况下,不限制安全策略规则生效的时间。
此功能用来为匹配某条安全策略规则而生成的稳态会话和长连接会话设置老化时间。且此命令的配置仅影响后续生成的会话,对于已经生效的会话不产生作用。
此功能设置的会话老化时间优先级高于会话管理模块设置的会话老化时间。有关会话管理模块会话老化时间的详细介绍,请参见“安全配置指导”中的“会话管理”。
长连接老化时间仅在TCP会话进入稳态(TCP-EST状态)时生效。长连接会话老化时间优先级高于session aging-time命令配置的会话老化时间
(1) 进入系统视图。
system-view
(2) 进入安全策略视图。
security-policy { ip | ipv6 }
(3) 进入安全策略规则视图。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置基于安全策略规则的会话老化时间。
session aging-time time-value
缺省情况下,未配置基于安全策略规则的会话老化时间。
(5) 配置基于安全策略规则的长连接会话老化时间。
session persistent aging-time time-value
缺省情况下,未配置基于安全策略规则的长连接会话老化时间。
在安全策略中可以配置规则与Track项进行联动,规则与Track项联动后,规则的状态由Track的状态决定。有关Track的详细配置请参见“可靠性配置指导”中的“Track”。
配置安全策略规则与Track项的Negative状态关联后,当安全策略规则收到Negative状态的Track通知时,将此规则置为有效状态(Active),当安全策略规则收到Positive状态的Track通知时,将此规则置为失效状态(Inactive)。
配置安全策略规则与Track项的Positive状态关联后,当安全策略规则收到Positive状态的Track通知时,将此规则置为有效状态(Active),当安全策略规则收到Negative状态的Track通知时,将此规则置为失效状态(Inactive)。
(1) 进入系统视图。
system-view
(2) 进入安全策略视图。
security-policy { ip | ipv6 }
(3) 进入安全策略规则视图。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略规则与Track项联动。
track { negative | positive } track-entry-number
缺省情况下,安全策略规则未与Track项联动。
开启此功能后,设备对匹配规则的报文生成安全策略日志信息,此日志信息将会被交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。有关信息中心的详细描述,请参见“网络管理和监控配置指导”中的“信息中心”。
(1) 进入系统视图。
system-view
(2) 进入安全策略视图。
security-policy { ip | ipv6 }
(3) 进入安全策略规则视图。
rule { rule-id | [ rule-id ] name rule-name }
(4) 开启对符合过滤条件的报文记录日志信息的功能。
logging enable
缺省情况下,对符合过滤条件的报文记录日志信息的功能处于关闭状态。
此功能用来对匹配规则的报文进行统计,可通过执行display security-policy statistics命令来查看相关报文的统计信息。
在跨VLAN模式Bridge转发的应用场景中,此功能仅统计安全策略丢弃的报文,不统计安全策略允许通过的报文。有关跨VLAN模式Bridge转发的详细介绍,请参见“二层技术-以太网交换配置指导”中的“二层转发”。
(1) 进入系统视图。
system-view
(2) 进入安全策略视图。
security-policy { ip | ipv6 }
(3) 进入安全策略规则视图。
rule { rule-id | [ rule-id ] name rule-name }
(4) 开启安全策略规则匹配统计功能。
counting enable
缺省情况下,安全策略规则匹配统计功能处于关闭状态。
由于安全策略规则缺省按照其被创建的先后顺序进行匹配,因此为了使用户能够灵活调整规则的匹配顺序,可通过本功能来移动规则的位置,从而改变规则的匹配顺序。
(1) 进入系统视图。
system-view
(2) 进入安全策略视图。
security-policy { ip | ipv6 }
(3) 移动安全策略规则。
move rule rule-id before insert-rule-id
设备上的安全策略加速功能默认开启,且不能手动关闭。但是激活安全策略规则加速功能时,内存资源不足会导致安全策略加速失效。
安全策略加速失效后,设备无法对报文进行快速匹配,但是仍然可以进行原始的慢速匹配。
安全策略规则中引用对象组的内容发生变化后,也需要重新激活该规则的加速功能。
安全策略规则中指定的IP地址对象组中包含通配符掩码时,会影响安全策略的匹配速度。
若安全策略规则中指定的IP地址对象组中包含用户或用户组,则此条安全策略规则失效,将无法匹配任何报文。
(1) 进入系统视图。
system-view
(2) 进入安全策略视图。
security-policy { ip | ipv6 }
(3) 激活安全策略规则的加速功能。
accelerate enhanced enable
(1) 进入系统视图。
system-view
(2) 进入安全策略视图。
security-policy { ip | ipv6 }
(3) 进入安全策略规则视图。
rule { rule-id | [ rule-id ] name rule-name }
(4) 禁用安全策略规则。
disable
缺省情况下,安全策略规则处于启用状态。
在完成上述配置后,在任意视图下执行display命令可以显示安全策略的配置信息,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除安全策略的统计信息。
操作 |
命令 |
显示安全策略的配置信息 |
display security-policy { ip | ipv6 } |
显示安全策略的统计信息 |
display security-policy statistics { ip | ipv6 } [ rule rule-name ] |
清除安全策略的统计信息 |
reset security-policy statistics [ ip | ipv6 ] [ rule rule-name ] |
· 某公司内的各部门之间通过Device实现互连,该公司的工作时间为每周工作日的8点到18点。
· 通过配置安全策略规则,允许总裁办在任意时间、财务部在工作时间通过HTTP协议访问财务数据库服务器的Web服务,禁止其它部门在任何时间、财务部在非工作时间通过HTTP协议访问该服务器的Web服务。
图1-6 基于IP地址的安全策略配置组网图
(1) 配置接口IP地址、路由保证网络可达,具体配置步骤略
(2) 配置时间段
# 创建名为work的时间段,其时间范围为每周工作日的8点到18点。
<Device> system-view
[Device] time-range work 08:00 to 18:00 working-day
(3) 配置安全域
# 创建名为database的安全域,并将接口GigabitEthernet1/0/1加入该安全域中。
[Device] security-zone name database
[Device-security-zone-database] import interface gigabitethernet 1/0/1
[Device-security-zone-database] quit
# 创建名为president的安全域,并将接口GigabitEthernet1/0/2加入该安全域中。
[Device] security-zone name president
[Device-security-zone-president] import interface gigabitethernet 1/0/2
[Device-security-zone-president] quit
# 创建名为finance的安全域,并将接口GigabitEthernet1/0/3加入该安全域中。
[Device] security-zone name finance
[Device-security-zone-finance] import interface gigabitethernet 1/0/3
[Device-security-zone-finance] quit
# 创建名为market的安全域,并将接口GigabitEthernet1/0/4加入该安全域中。
[Device] security-zone name market
[Device-security-zone-market] import interface gigabitethernet 1/0/4
[Device-security-zone-market] quit
(4) 配置对象
# 创建名为database的IP地址对象组,并定义其子网地址为192.168.0.0/24。
[Device] object-group ip address database
[Device-obj-grp-ip-database] network subnet 192.168.0.0 24
[Device-obj-grp-ip-database] quit
# 创建名为president的IP地址对象组,并定义其子网地址为192.168.1.0/24。
[Device] object-group ip address president
[Device-obj-grp-ip-president] network subnet 192.168.1.0 24
[Device-obj-grp-ip-president] quit
# 创建名为finance的IP地址对象组,并定义其子网地址为192.168.2.0/24。
[Device] object-group ip address finance
[Device-obj-grp-ip-finance] network subnet 192.168.2.0 24
[Device-obj-grp-ip-finance] quit
# 创建名为market的IP地址对象组,并定义其子网地址为192.168.3.0/24。
[Device] object-group ip address market
[Device-obj-grp-ip-market] network subnet 192.168.3.0 24
[Device-obj-grp-ip-market] quit
# 创建名为web的服务对象组,并定义其支持的服务为HTTP。
[Device] object-group service web
[Device-obj-grp-service-web] service 6 destination eq 80
[Device-obj-grp-service-web] quit
(5) 配置安全策略及规则
# 进入IPv4安全策略视图。
[Device] security-policy ip
# 制订允许总裁办在任意时间通过HTTP协议访问财务数据库服务器的安全策略规则,其规则名称为president-database。
[Device-security-policy-ip] rule 0 name president-database
[Device-security-policy-ip-0-president-database] source-zone president
[Device-security-policy-ip-0-president-database] destination-zone database
[Device-security-policy-ip-0-president-database] source-ip president
[Device-security-policy-ip-0-president-database] destination-ip database
[Device-security-policy-ip-0-president-database] service web
[Device-security-policy-ip-0-president-database] action pass
[Device-security-policy-ip-0-president-database] quit
# 制订只允许财务部在工作时间通过HTTP协议访问财务数据库服务器的安全策略规则,其规则名称为finance-database。
[Device-security-policy-ip] rule 1 name finance-database
[Device-security-policy-ip-1-finance-database] source-zone finance
[Device-security-policy-ip-1-finance-database] destination-zone database
[Device-security-policy-ip-1-finance-database] source-ip finance
[Device-security-policy-ip-1-finance-database] destination-ip database
[Device-security-policy-ip-1-finance-database] service web
[Device-security-policy-ip-1-finance-database] action pass
[Device-security-policy-ip-1-finance-database] time-range work
[Device-security-policy-ip-1-finance-database] quit
# 制订禁止市场部在任何时间通过HTTP协议访问财务数据库服务器的安全策略规则,其规则名称为market-database。
[Device-security-policy-ip] rule 2 name market-database
[Device-security-policy-ip-2-market-database] source-zone market
[Device-security-policy-ip-2-market-database] destination-zone database
[Device-security-policy-ip-2-market-database] source-ip market
[Device-security-policy-ip-2-market-database] destination-ip database
[Device-security-policy-ip-2-market-database] service web
[Device-security-policy-ip-2-market-database] action drop
[Device-security-policy-ip-2-market-database] quit
# 激活安全策略规则的加速功能。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
配置完成后,总裁办可以在任意时间访问财务数据库服务器的Web服务,财务部仅可以在工作时间访问财务数据库服务器的Web服务,其他部门任何时间均不可以访问财务数据库服务器的Web服务。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!