- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
05-安全域
本章节下载: 05-安全域 (281.06 KB)
本帮助主要介绍以下内容:
· 特性简介
○ 安全域
○ 白名单
· 配置指南
○ 安全域
○ 白名单
○ 客户端验证
安全域是一个逻辑概念,用于管理设备上安全需求相同的多个接口。管理员将安全需求相同的接口进行分类,并划分到不同的安全域,统一应用安全策略,简化配置,方便管理。
管理员创建安全域后,可以给安全域添加多个成员,成员的类型包括:二层物理接口加VLAN、三层物理接口/三层以太网子接口/其它三层逻辑接口。
配置安全域后,设备上各接口的报文转发遵循以下规则:
一个安全域中的接口与一个不属于任何安全域的接口之间的报文,会被丢弃。
属于同一个安全域的各接口之间的报文缺省会被丢弃。
安全域之间的报文由安全策略进行安全检查,并根据检查结果放行或丢弃。若安全策略不存在或不生效,则报文会被丢弃。
非安全域的接口之间的报文会被丢弃。
目的地址或源地址为本机的报文,缺省会被丢弃,若该报文与安全策略匹配,则由安全策略进行安全检查,并根据检查结果放行或丢弃。
白名单功能即将特定的源IP地址加入白名单后,设备对于该地址发送的报文会跳过安全检查,而直接按照正常的转发流程进行处理,从而实现了报文的高速转发。
白名单不能直接指定IP地址,而需要通过引用地址对象组将IP地址加入白名单。白名单只能引用一个地址对象组,且只能由用户手工添加或删除。
· 同一个三层接口只允许加入一个安全域。
· 同一个“二层接口和VLAN”的组合只能加入到一个安全域中。
· 当报文未匹配对应安全域间实例时,若存在any到any的安全域间实例,则匹配any到any安全域间实例,否则直接丢弃报文。
· Management和Local安全域间之间的报文缺省会被允许。
· Management和Local安全域间之间的报文只能匹配Management与Local之间的安全域间实例,不会匹配any到any的安全域间实例。
1. 单击“网络 > 安全域”。
2. 在“安全域”页面单击<新建>按钮,进入新建安全域页面。
3. 新建安全域,具体配置内容如下表所示:
表-1 安全域配置
|
参数 |
说明 |
|
安全域名称 |
表示安全域的名称 |
|
VLAN成员列表 |
配置安全域的VLAN成员 |
|
二层成员列表 |
配置安全域的二层接口成员 |
|
三层成员列表 |
配置安全域的三层接口成员 |
|
攻击防范策略文件 |
配置安全域执行的攻击防范策略 |
|
白名单 |
配置安全域是否开启白名单功能 |
|
TCP客户端验证 |
在指定安全域上开启/关闭TCP客户端验证功能,包括: · 关闭:关闭TCP客户端验证 · SYN Cookie:开启双向代理模式的TCP客户端验证 · Safe Reset:开启单向代理模式的TCP客户端验证 |
|
DNS客户端验证 |
在指定安全域上开启/关闭DNS客户端验证功能 |
|
DNS reply验证 |
在指定安全域上开启/关闭DNS reply验证功能 |
|
HTTP客户端验证 |
在指定安全域上开启/关闭HTTP客户端验证功能 |
|
HTTPS客户端验证 |
在指定安全域上开启/关闭HTTPS客户端验证功能 |
|
SIP客户端验证 |
在指定安全域上开启/关闭SIP客户端验证功能 |
|
检查方式 |
· 严格方式:不仅检查报文的源地址是否在转发表中存在,而且检查报文的入接口与转发表是否匹配 · 松散方式:仅检查报文的源地址是否在转发表中存在,而不再检查报文的入接口与转发表是否匹配 |
|
例外规则 |
访问控制列表,用来抑制报文丢弃 可选择已创建的IPv4 ACL,也可以新创建IPv4 ACL。此处新建的IPv4 ACL,可在“对象 > ACL > IPv4”页面查看 |
|
允许匹配缺省路由 |
允许源地址查转发表时匹配缺省路由表项 |
|
开启链路层检查功能 |
允许对链路信息进行检查 |
4. 单击<确定>按钮,新建安全域成功,并会在安全域页面中显示。
通过配置白名单功能可以使来自指定IP地址的报文跳过设备的安全检查。
白名单只能通过引用地址对象组进行添加,当一个IP地址加入白名单后,直到用户手工将其删除,否则一直存在。地址对象组在“对象 > 对象组”页面配置。
1. 单击“网络 > 安全域 > 白名单”。
2. 在“白名单”页面单击<新建>按钮。
3. 手工添加白名单,具体配置内容如下表所示:
表-2 白名单配置
|
参数 |
说明 |
|
对象组类型 |
· IPv4 · IPv6 |
|
对象组名称 |
可以选择已创建的地址对象组,也可以新创建地址对象组。此处新建的地址对象组,可在“对象 > 对象组”页页面查看 |
4. 单击<确定>按钮,新建的白名单会在“白名单”页面显示。
通过手工添加受客户端验证保护的IP地址,对向该目的地址发送的连接请求进行代理。
受保护IP除了可以手工添加之外,还可以通过泛洪攻击防范自动添加。具体来讲就是,在客户端验证功能使能的前提下,若配置了泛洪攻击防范策略及相应的客户端验证功能,则设备检测到某服务器受到了指定类型的攻击时,设备会将该服务器IP地址添加到受保护IP列表中,并对后续指定类型的报文进行合法性检查。
1. 单击“网络 > 安全域 > 客户端验证”。
2. 在“客户端验证”页面单击<新建>按钮。
3. 新建客户端验证,具体配置内容如下表所示:
表-3 受保护IP配置
|
参数 |
说明 |
|
协议类型 |
客户端验证的协议类型,包括: · TCP:TCP客户端验证功能 · DNS:DNS客户端验证功能 · DNS reply:DNS reply验证功能 · HTTP:HTTP客户端验证功能 · HTTPS:HTTPS客户端验证功能 · SIP:SIP客户端验证功能 |
|
VRF |
受客户端验证保护的IP地址所属的VPN实例 可选择已创建的VRF,也可以新创建VRF。此处新建的VRF,可在“网络 > VRF”页面查看 |
|
IP地址类型 |
· IPv4 · IPv6 |
|
IP地址 |
受客户端验证保护的IP地址,即会对向该目的地址发送的连接请求进行代理 对于受TCP客户端验证保护的IP地址,发送的是TCP连接请求;对于受DNS客户端验证保护的IP地址,发送的是DNS query请求;对于受HTTP客户端验证保护的IP地址,发送的是HTTP GET/POST连接请求;对于受HTTPS客户端验证保护的IP地址,发送的是HTTPS请求;对于受SIP客户端验证保护的IP地址,发送的是UDP类型的INVITE请求 |
|
端口号 |
受客户端验证保护的端口号。缺省情况下,对于DNS客户端验证的受保护IP,则表示对端口53的DNS query连接请求做代理;对于HTTP客户端验证的受保护IP,则表示对端口80的HTTP GET/POST连接请求做代理;对于HTTPS客户端验证的受保护IP,则表示对端口443的HTTPS请求做代理;对于SIP客户端验证的受保护IP,则表示对端口5060的INVITE连接请求进行代理;对于TCP客户端验证的受保护IP,则表示对所有端口的TCP连接请求做代理 |
4. 单击<确定>按钮,新建的客户端验证会在“客户端验证”页面显示,该页面还会显示泛洪攻击防范自动添加的客户端验证。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
