• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

18-安全配置指导

目录

11-安全策略配置

本章节下载 11-安全策略配置  (332.09 KB)

11-安全策略配置


1 安全策略

1.1  安全策略简介

安全策略是根据报文的属性信息对报文进行转发控制和DPI(Deep Packet Inspection,深度报文检测)深度安全检测的防控策略。

1.1.1  安全策略规则

安全策略对报文的控制是通过安全策略规则实现的,规则中可以设置匹配报文的过滤条件,处理报文的动作和对于报文内容进行深度检测等功能。

1. 规则的名称和编号

安全策略中的每条规则都由唯一的名称和编号标识。名称必须在创建规则时由用户手工指定;而编号既可以手工指定,也可以由系统自动分配。

2. 规则的过滤条件

每条规则中均可以配置多种过滤条件,具体包括:源安全域、目的安全域、源IP地址、源MAC地址、目的IP地址、用户、用户组、应用、应用组、VPN和服务。每种过滤条件中(除VPN外)均可以配置多个匹配项,比如源安全域过滤条件中可以指定多个源安全域等。

3. 规则与会话管理

规则基于会话对报文进行处理。规则允许报文通过后,设备会创建与此报文对应的会话表项,用于记录有关此报文的相关信息。

安全策略规则触发创建的会话,不仅可以根据报文的协议状态或所属的应用设置会话的老化时间,还可以基于规则设置会话的老化时间。规则中设置的会话老化时间优先级高于会话管理模块设置的会话老化时间。有关会话的详细介绍,请参见“安全配置指导”中的“会话管理”。

1.1.2  安全策略的报文处理流程

安全策略对报文的处理流程如图1-1所示:

图1-1 安全策略的报文处理流程

安全策略对报文的处理过程如下:

(1)     将报文的属性信息与过滤条件中的匹配项进行匹配。每种过滤条件的多个匹配项之间是或的关系,即报文与某一个过滤条件中的任意一项匹配成功,则报文与此过滤条件匹配成功;若报文与某一个过滤条件中的所有项都匹配失败,则报文与此过滤条件匹配失败。

(2)     若报文与某条规则中的所有过滤条件都匹配成功(用户与用户组匹配一项即可,应用与应用组匹配一项即可,源IP地址与源MAC地址匹配一项即可),则报文与此条规则匹配成功。若有一个过滤条件不匹配,则报文与此条规则匹配失败,报文继续匹配下一条规则。以此类推,直到最后一条规则,若报文还未与规则匹配成功,则设备会丢弃此报文。

(3)     若报文与某条规则匹配成功,则结束此匹配过程,并对此报文执行规则中配置的动作。

¡     若规则的动作为“丢弃”,则设备会丢弃此报文;

¡     若规则的动作为“允许”,则设备继续对报文做第4步处理;

(4)     若引用了DPI业务,则会对此报文进行DPI深度安全检测;若未引用DPI业务,则直接允许此报文通过。

1.1.3  安全策略加速功能

安全策略加速功能用来提高安全策略规则的匹配速度。当有大量用户同时通过设备新建连接时,若安全策略内包含大量规则,此功能可以提高规则的匹配速度,保证网络通畅;若安全策略加速功能失效,则匹配的过程将会很长,导致用户建立连接的时间超长,同时也会占用系统大量的CPU资源。

1.1.4  安全策略组

安全策略组可以实现对安全策略规则的批量操作,例如批量启用、禁用、删除和移动安全策略规则。只有当安全策略规则及其所属的安全策略组均处于启用状态时,安全策略规则才能生效。

1.2  安全策略配置限制和指导

·     当安全策略与包过滤同时配置时,因为安全策略对报文的处理在包过滤之前,报文与安全策略规则匹配成功后,不再进行包过滤处理,所以请合理配置安全策略和包过滤,否则可能会导致配置的包过滤不生效。

·     配置安全策略时,请按照“深度优先”的原则(即控制范围小的、条件细化的在前,范围大的在后)进行配置。

·     安全策略规则中不可配置包含用户或用户组的IP地址对象组作为过滤条件,如需过滤用户,推荐直接在安全策略规则中配置用户或用户组作为过滤条件。

1.3  安全策略配置流程图

安全策略的基本配置思路如图1-2所示,在配置安全策略之前需要完成的配置包括:创建安全域、配置接口并加入安全域、配置对象、配置DPI业务。

图1-2 安全策略配置流程图

1.4  配置准备

在配置安全策略之前,需完成以下任务:

·     配置时间段(请参见“ACL和QoS配置指导”中的“时间段”)。

·     配置IP地址对象组和服务对象组(请参见“安全配置指导”中的“对象组”)。

·     配置应用和应用组(请参见“安全配置指导”中的“APR”)。

·     配置安全域(请参见“安全配置指导”中的“安全域”)。

·     配置DPI业务(请参见“DPI深度安全配置指导”中的各模块)。

1.5  安全策略配置任务简介

安全策略配置任务如下:

(1)     配置IPv4安全策略规则

a.     配置安全策略缺省规则

b.     创建安全策略规则

c.     配置规则过滤条件

d.     配置规则动作

e.     启用安全策略规则

f.     (可选)配置规则生效时间

g.     (可选)配置规则引用DPI应用profile

h.     (可选)配置基于规则的会话老化时间

i.     (可选)配置规则与Track项联动

j.     (可选)开启规则记录日志功能

k.     (可选)开启规则匹配统计功能

(2)     配置IPv6安全策略规则

a.     配置安全策略缺省规则

b.     创建安全策略规则

c.     配置规则过滤条件

d.     配置规则动作

e.     启用安全策略规则

f.     (可选)配置规则生效时间

g.     (可选)配置规则引用DPI应用profile

h.     (可选)配置基于规则的会话老化时间

i.     (可选)配置规则与Track项联动

j.     (可选)开启规则记录日志功能

k.     (可选)开启规则匹配统计功能

(3)     (可选)管理安全策略

a.     移动安全策略规则

b.     激活安全策略加速功能

(4)     配置安全策略组

a.     创建安全策略组

b.     配置安全策略规则所属的安全策略组

c.     移动安全策略组

d.     重命名安全策略组

1.6  配置IPv4安全策略规则

1.6.1  配置安全策略缺省规则

1. 功能简介

当报文未匹配到任何自定义的安全策略规则时,则执行安全策略缺省规则相应的动作,若缺省规则的动作为drop,则丢弃该报文。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入IPv4安全策略视图。

security-policy ip

(3)     配置安全策略缺省规则的动作。

default rule action { drop | pass }

缺省情况下,安全策略缺省规则的动作是丢弃。

(4)     开启安全策略缺省规则匹配统计功能。

default rule counting enable

缺省情况下,安全策略缺省规则匹配统计功能处于关闭状态。

(5)     开启安全策略缺省规则记录日志的功能。

default rule logging enable

缺省情况下,安全策略规则记录日志的功能处于关闭状态。

1.6.2  创建安全策略规则

1. 功能简介

缺省情况下安全策略中不存在规则,设备仅允许Management安全域和Local安全域之间的报文通过。因此需要在如下场景中配置安全策略规则:

·     使设备能够正常处理各安全域之间的报文。

·     当设备接收的报文(如动态路由协议报文、隧道报文和VPN报文等)需要本机处理时,需要配置安全策略规则保证相应安全域与Local安全域之间的报文互通。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入IPv4安全策略视图。

security-policy ip

(3)     (可选)配置安全策略的描述信息。

description text

缺省情况下,未配置安全策略的描述信息。

(4)     创建安全策略规则,并进入安全策略规则视图。

rule { rule-id | [ rule-id ] name rule-name }

(5)     (可选)配置安全策略规则的描述信息。

description text

缺省情况下,未配置安全策略规则的描述信息。

1.6.3  配置规则过滤条件

1. 配置限制和指导

当安全策略规则中未配置任何过滤条件时,则该规则将匹配所有报文。

若规则中已引用对象组的内容为空,则此规则将不能匹配任何报文。

Management和Local安全域间之间的报文只能匹配Management与Local安全域之间的安全策略。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入IPv4安全策略视图。

security-policy ip

(3)     进入安全策略规则视图。

rule { rule-id | [ rule-id ] name rule-name }

(4)     配置源过滤条件。

¡     配置作为安全策略规则过滤条件的源安全域。

source-zone source-zone-name

缺省情况下,未配置源安全域过滤条件。

¡     配置作为安全策略规则过滤条件的源IPv4地址对象组。

source-ip object-group-name

缺省情况下,未配置源IPv4地址对象组过滤条件。

¡     配置作为安全策略规则过滤条件的源MAC地址对象组。

source-mac object-group-name

缺省情况下,未配置源MAC地址对象组过滤条件。

(5)     配置目的过滤条件。

¡     配置作为安全策略规则过滤条件的目的安全域。

destination-zone destination-zone-name

缺省情况下,未配置目的安全域过滤条件。

¡     配置作为安全策略规则过滤条件的目的IPv4地址对象组。

destination-ip object-group-name

缺省情况下,未配置目的IPv4地址对象组过滤条件。

(6)     配置作为安全策略规则过滤条件的服务对象组。

service { object-group-name | any }

缺省情况下,未配置服务对象组过滤条件。

(7)     配置应用类过滤条件。

¡     配置作为安全策略规则过滤条件的应用。

application application-name

缺省情况下,未配置应用过滤条件。

为使安全策略中配置的应用可以被识别,必须先放行应用所依赖的基础协议报文。

¡     配置作为安全策略规则过滤条件的应用组。

app-group app-group-name

缺省情况下,未配置应用组过滤条件。

(8)     配置用户类过滤条件。

¡     配置作为安全策略规则过滤条件的用户。

user username [ domain domain-name ]

缺省情况下,未配置用户过滤条件。

¡     配置作为安全策略规则过滤条件的用户组。

user-group user-group-name [ domain domain-name ]

缺省情况下,未配置用户组过滤条件。

(9)     配置安全策略规则对入接口指定VPN多实例中的报文有效。

vrf vrf-name

缺省情况下,安全策略规则对公网的报文有效。

1.6.4  配置规则动作

(1)     进入系统视图。

system-view

(2)     进入IPv4安全策略视图。

security-policy ip

(3)     进入安全策略规则视图。

rule { rule-id | [ rule-id ] name rule-name }

(4)     配置安全策略规则的动作。

action { drop | pass }

缺省情况下,安全策略规则动作是丢弃。

1.6.5  启用安全策略规则

1. 功能简介

此功能用来启用安全策略规则,未启用的安全策略规则不会对报文进行匹配和控制。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入IPv4安全策略视图。

security-policy ip

(3)     进入安全策略规则视图。

rule { rule-id | [ rule-id ] name rule-name }

(4)     启用安全策略规则。

undo disable

缺省情况下,安全策略规则处于禁用状态。

1.6.6  配置规则生效时间

(1)     进入系统视图。

system-view

(2)     进入IPv4安全策略视图。

security-policy ip

(3)     进入安全策略规则视图。

rule { rule-id | [ rule-id ] name rule-name }

(4)     配置安全策略规则生效的时间段。

time-range time-range-name

缺省情况下,不限制安全策略规则生效的时间。

1.6.7  配置规则引用DPI应用profile

1. 功能简介

通过在安全策略规则中引用DPI应用profile可实现对符合安全策略过滤条件的报文进行DPI相关业务的处理。有关DPI各业务的详细介绍,请参见“DPI深度安全配置指导”中的相关业务模块。

2. 配置限制和指导

此功能仅在安全策略规则动作为允许的情况下才生效。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入IPv4安全策略视图。

security-policy ip

(3)     进入安全策略规则视图。

rule { rule-id | [ rule-id ] name rule-name }

(4)     配置安全策略规则的动作为允许。

action pass

缺省情况下,安全策略规则动作是丢弃。

(5)     配置安全策略规则引用DPI应用profile。

profile app-profile-name

缺省情况下,安全策略规则中未引用DPI应用profile。

1.6.8  配置基于规则的会话老化时间

1. 功能简介

此功能用来为匹配某条安全策略规则而生成的稳态会话和长连接会话设置老化时间。且此命令的配置仅影响后续生成的会话,对于已经生效的会话不产生作用。

此功能设置的会话老化时间优先级高于会话管理模块设置的会话老化时间。有关会话管理模块会话老化时间的详细介绍,请参见“安全配置指导”中的“会话管理”。

长连接老化时间仅在TCP会话进入稳态(TCP-EST状态)时生效。长连接会话老化时间优先级高于session aging-time命令配置的会话老化时间

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入IPv4安全策略视图。

security-policy ip

(3)     进入安全策略规则视图。

rule { rule-id | [ rule-id ] name rule-name }

(4)     配置基于安全策略规则的会话老化时间。

session aging-time time-value

缺省情况下,未配置基于安全策略规则的会话老化时间。

(5)     配置基于安全策略规则的长连接会话老化时间。

session persistent aging-time time-value

缺省情况下,未配置基于安全策略规则的长连接会话老化时间。

1.6.9  配置规则与Track项联动

1. 功能简介

在安全策略中可以配置规则与Track项进行联动,规则与Track项联动后,规则的状态由Track的状态决定。有关Track的详细配置请参见“可靠性配置指导”中的“Track”。

配置安全策略规则与Track项的Negative状态关联后,当安全策略规则收到Negative状态的Track通知时,将此规则置为有效状态(Active),当安全策略规则收到Positive状态的Track通知时,将此规则置为失效状态(Inactive)。

配置安全策略规则与Track项的Positive状态关联后,当安全策略规则收到Positive状态的Track通知时,将此规则置为有效状态(Active),当安全策略规则收到Negative状态的Track通知时,将此规则置为失效状态(Inactive)。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入IPv4安全策略视图。

security-policy ip

(3)     进入安全策略规则视图。

rule { rule-id | [ rule-id ] name rule-name }

(4)     配置安全策略规则与Track项联动。

track { negative | positive } track-entry-number

缺省情况下,安全策略规则未与Track项联动。

1.6.10  开启规则记录日志功能

1. 功能简介

开启此功能后,设备对匹配规则的报文生成安全策略日志信息,此日志信息将会被交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。有关信息中心的详细描述,请参见“设备管理配置指导”中的“信息中心”。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入IPv4安全策略视图。

security-policy ip

(3)     进入安全策略规则视图。

rule { rule-id | [ rule-id ] name rule-name }

(4)     开启对符合过滤条件的报文记录日志信息的功能。

logging enable

缺省情况下,对符合过滤条件的报文记录日志信息的功能处于关闭状态。

(5)     (可选)开启安全策略日志的实时发送功能。

security-policy log real-time-sending enable

缺省情况下,日志的实时发送功能处于关闭状态。

1.6.11  开启规则匹配统计功能

1. 功能简介

此功能用来对匹配规则的报文进行统计,可通过执行display security-policy statistics命令来查看相关报文的统计信息。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入IPv4安全策略视图。

security-policy ip

(3)     进入安全策略规则视图。

rule { rule-id | [ rule-id ] name rule-name }

(4)     开启安全策略规则匹配统计功能。

counting enable

缺省情况下,安全策略规则匹配统计功能处于关闭状态。

1.7  配置IPv6安全策略规则

1.7.1  配置安全策略缺省规则

1. 功能简介

当报文未匹配到任何自定义的安全策略规则时,则执行安全策略缺省规则相应的动作,若缺省规则的动作为drop,则丢弃该报文。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入IPv6安全策略视图。

security-policy ipv6

(3)     配置安全策略缺省规则的动作。

default rule action { drop | pass }

缺省情况下,安全策略缺省规则的动作是丢弃。

(4)     开启安全策略缺省规则匹配统计功能。

default rule counting enable

缺省情况下,安全策略缺省规则匹配统计功能处于关闭状态。

(5)     开启安全策略缺省规则记录日志的功能。

default rule logging enable

缺省情况下,安全策略规则记录日志的功能处于关闭状态。

1.7.2  创建安全策略规则

1. 功能简介

缺省情况下安全策略中不存在规则,设备仅允许Management安全域和Local安全域之间的报文通过。因此需要在如下场景中配置安全策略规则:

·     使设备能够正常处理各安全域之间的报文。

·     当设备接收的报文(如动态路由协议报文、隧道报文和VPN报文等)需要本机处理时,需要配置安全策略规则保证相应安全域与Local安全域之间的报文互通。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入IPv6安全策略视图。

security-policy ipv6

(3)     (可选)配置安全策略的描述信息。

description text

缺省情况下,未配置安全策略的描述信息。

(4)     创建安全策略规则,并进入安全策略规则视图。

rule { rule-id | [ rule-id ] name rule-name }

(5)     (可选)配置安全策略规则的描述信息。

description text

缺省情况下,未配置安全策略规则的描述信息。

1.7.3  配置规则过滤条件

1. 配置限制和指导

当安全策略规则中未配置任何过滤条件时,则该规则将匹配所有报文。

若规则中已引用对象组的内容为空,则此规则将不能匹配任何报文。

Management和Local安全域间之间的报文只能匹配Management与Local安全域之间的安全策略。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入IPv6安全策略视图。

security-policy ipv6

(3)     进入安全策略规则视图。

rule { rule-id | [ rule-id ] name rule-name }

(4)     配置源过滤条件。

¡     配置作为安全策略规则过滤条件的源安全域。

source-zone source-zone-name

缺省情况下,未配置源安全域过滤条件。

¡     配置作为安全策略规则过滤条件的源IPv6地址对象组。

source-ip object-group-name

缺省情况下,未配置源IPv6地址对象组过滤条件。

(5)     配置目的过滤条件。

¡     配置作为安全策略规则过滤条件的目的安全域。

destination-zone destination-zone-name

缺省情况下,未配置目的安全域过滤条件。

¡     配置作为安全策略规则过滤条件的目的IPv6地址对象组。

destination-ip object-group-name

缺省情况下,未配置目的IPv6地址对象组过滤条件。

(6)     配置作为安全策略规则过滤条件的服务对象组。

service { object-group-name | any }

缺省情况下,未配置服务对象组过滤条件。

(7)     配置应用类过滤条件。

¡     配置作为安全策略规则过滤条件的应用。

application application-name

缺省情况下,未配置应用过滤条件。

为使安全策略中配置的应用可以被识别,必须先放行应用所依赖的基础协议报文。

¡     配置作为安全策略规则过滤条件的应用组。

app-group app-group-name

缺省情况下,未配置应用组过滤条件。

(8)     配置用户类过滤条件。

¡     配置作为安全策略规则过滤条件的用户。

user username [ domain domain-name ]

缺省情况下,未配置用户过滤条件。

¡     配置作为安全策略规则过滤条件的用户组。

user-group user-group-name [ domain domain-name ]

缺省情况下,未配置用户组过滤条件。

(9)     配置安全策略规则对入接口指定VPN多实例中的报文有效。

vrf vrf-name

缺省情况下,安全策略规则对公网的报文有效。

1.7.4  配置规则动作

(1)     进入系统视图。

system-view

(2)     进入IPv6安全策略视图。

security-policy ipv6

(3)     进入安全策略规则视图。

rule { rule-id | [ rule-id ] name rule-name }

(4)     配置安全策略规则的动作。

action { drop | pass }

缺省情况下,安全策略规则动作是丢弃。

1.7.5  启用安全策略规则

1. 功能简介

此功能用来启用安全策略规则,未启用的安全策略规则不会对报文进行匹配和控制。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入IPv6安全策略视图。

security-policy ipv6

(3)     进入安全策略规则视图。

rule { rule-id | [ rule-id ] name rule-name }

(4)     启用安全策略规则。

undo disable

缺省情况下,安全策略规则处于禁用状态。

1.7.6  配置规则生效时间

(1)     进入系统视图。

system-view

(2)     进入IPv6安全策略视图。

security-policy ipv6

(3)     进入安全策略规则视图。

rule { rule-id | [ rule-id ] name rule-name }

(4)     配置安全策略规则生效的时间段。

time-range time-range-name

缺省情况下,不限制安全策略规则生效的时间。

1.7.7  配置规则引用DPI应用profile

1. 功能简介

通过在安全策略规则中引用DPI应用profile可实现对符合安全策略过滤条件的报文进行DPI相关业务的处理。有关DPI各业务的详细介绍,请参见“DPI深度安全配置指导”中的相关业务模块。

2. 配置限制和指导

此功能仅在安全策略规则动作为允许的情况下才生效。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入IPv6安全策略视图。

security-policy ipv6

(3)     进入安全策略规则视图。

rule { rule-id | [ rule-id ] name rule-name }

(4)     配置安全策略规则的动作为允许。

action pass

缺省情况下,安全策略规则动作是丢弃。

(5)     配置安全策略规则引用DPI应用profile。

profile app-profile-name

缺省情况下,安全策略规则中未引用DPI应用profile。

1.7.8  配置基于规则的会话老化时间

1. 功能简介

此功能用来为匹配某条安全策略规则而生成的稳态会话和长连接会话设置老化时间。且此命令的配置仅影响后续生成的会话,对于已经生效的会话不产生作用。

此功能设置的会话老化时间优先级高于会话管理模块设置的会话老化时间。有关会话管理模块会话老化时间的详细介绍,请参见“安全配置指导”中的“会话管理”。

长连接老化时间仅在TCP会话进入稳态(TCP-EST状态)时生效。长连接会话老化时间优先级高于session aging-time命令配置的会话老化时间

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入IPv6安全策略视图。

security-policy ipv6

(3)     进入安全策略规则视图。

rule { rule-id | [ rule-id ] name rule-name }

(4)     配置基于安全策略规则的会话老化时间。

session aging-time time-value

缺省情况下,未配置基于安全策略规则的会话老化时间。

(5)     配置基于安全策略规则的长连接会话老化时间。

session persistent aging-time time-value

缺省情况下,未配置基于安全策略规则的长连接会话老化时间。

1.7.9  配置规则与Track项联动

1. 功能简介

在安全策略中可以配置规则与Track项进行联动,规则与Track项联动后,规则的状态由Track的状态决定。有关Track的详细配置请参见“可靠性配置指导”中的“Track”。

配置安全策略规则与Track项的Negative状态关联后,当安全策略规则收到Negative状态的Track通知时,将此规则置为有效状态(Active),当安全策略规则收到Positive状态的Track通知时,将此规则置为失效状态(Inactive)。

配置安全策略规则与Track项的Positive状态关联后,当安全策略规则收到Positive状态的Track通知时,将此规则置为有效状态(Active),当安全策略规则收到Negative状态的Track通知时,将此规则置为失效状态(Inactive)。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入IPv6安全策略视图。

security-policy ipv6

(3)     进入安全策略规则视图。

rule { rule-id | [ rule-id ] name rule-name }

(4)     配置安全策略规则与Track项联动。

track { negative | positive } track-entry-number

缺省情况下,安全策略规则未与Track项联动。

1.7.10  开启规则记录日志功能

1. 功能简介

开启此功能后,设备对匹配规则的报文生成安全策略日志信息,此日志信息将会被交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。有关信息中心的详细描述,请参见“设备管理配置指导”中的“信息中心”。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入IPv6安全策略视图。

security-policy ipv6

(3)     进入安全策略规则视图。

rule { rule-id | [ rule-id ] name rule-name }

(4)     开启对符合过滤条件的报文记录日志信息的功能。

logging enable

缺省情况下,对符合过滤条件的报文记录日志信息的功能处于关闭状态。

(5)     (可选)开启安全策略日志的实时发送功能。

security-policy log real-time-sending enable

缺省情况下,日志的实时发送功能处于关闭状态。

1.7.11  开启规则匹配统计功能

1. 功能简介

此功能用来对匹配规则的报文进行统计,可通过执行display security-policy statistics命令来查看相关报文的统计信息。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入IPv6安全策略视图。

security-policy ipv6

(3)     进入安全策略规则视图。

rule { rule-id | [ rule-id ] name rule-name }

(4)     开启安全策略规则匹配统计功能。

counting enable

缺省情况下,安全策略规则匹配统计功能处于关闭状态。

1.8  移动安全策略规则

1. 功能简介

由于安全策略规则缺省按照其被创建的先后顺序进行匹配,因此为了使用户能够灵活调整规则的匹配顺序,可通过本功能来移动规则的位置,从而改变规则的匹配顺序。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入安全策略视图。

security-policy { ip | ipv6 }

(3)     移动安全策略规则。

¡     通过安全策略规则ID移动规则。

move rule rule-id before insert-rule-id

¡     通过安全策略规则名称移动规则。

move rule name rule-name1 { { after | before } name rule-name2 | bottom | down | top | up }

1.9  激活安全策略加速功能

1. 功能简介

缺省情况下,系统按照固定时间间隔判断是否需要激活安全策略规则的加速功能,并对本周期内发生变化(新增、删除、修改或移动)的安全策略规则进行加速。当安全策略规则小于等于100条时,系统判断是否需要激活的时间间隔为2秒;当安全策略规则大于100条时,此时间间隔为20秒。如果希望对发生变化的安全策略规则立即进行加速,可执行accelerate enhanced enable命令手工激活安全策略规则加速功能。

激活加速功能后,若系统判定安全策略规则发生了变化(新增、删除、修改或移动),则会对当前所有的安全策略规则进行重新加速,否则,不会重新加速。

2. 配置限制和指导

激活安全策略规则加速功能时,内存资源不足会导致安全策略规则加速失败。加速失败后,本间隔内发生变化的安全策略规则未进行加速,从而导致变化的安全策略规则不生效,之前已经加速成功的规则不受影响。在下一个时间间隔到达后,系统会再次尝试对安全策略规则进行加速。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入安全策略视图。

security-policy { ip | ipv6 }

(3)     激活安全策略规则的加速功能。

accelerate enhanced enable

1.10  配置安全策略组

1.10.1  创建安全策略组

1. 功能简介

将安全策略规则加入安全策略组时,会将指定范围内若干连续的安全策略规则加入同一个安全策略组。

执行undo命令行时的具体功能如下:

·     undo group name group-name命令用来仅删除安全策略组,但不删除策略组中的规则。

·     undo group name group-name description命令用来仅删除安全策略组的描述信息。

·     undo group name group-name include-member命令用来删除安全策略组及其策略组中的所有规则。

2. 配置限制和指导

将安全策略规则加入安全策略组时,起始规则要在结束规则前面,并且起始规则和结束规则之间的规则不能属于其他安全策略组。

同一个安全策略组中的安全策略规则类型必须相同。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入安全策略视图。

security-policy { ip | ipv6 }

(3)     创建安全策略组,并将指定的安全策略规则加入此安全策略组。

group name group-name [ from rule-name1 to rule-name2 ] [ description description-text ] [ disable | enable ]

1.10.2  配置安全策略规则所属的安全策略组

(1)     进入系统视图。

system-view

(2)     进入安全策略视图。

security-policy { ip | ipv6 }

(3)     进入安全策略规则视图。

rule { rule-id | [ rule-id ] name rule-name }

(4)     配置安全策略规则所属的安全策略组。

parent-group group-name

1.10.3  移动安全策略组

1. 功能简介

通过移动安全策略组可以批量改变安全策略规则的优先级。

如果目标安全策略规则已经属于其他安全策略组,按照其在安全策略组中的位置,受如下原则的约束。

·     如果规则位于策略组中间位置,则不能移动。

·     如果规则位于策略组开始位置,只可以移动到目标规则之前。

·     如果规则位于策略组结束位置,只可以移动到目标规则之后。

2. 配置限制和指导

仅能在相同类型的安全策略规则或安全策略组之间移动安全策略组。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入安全策略视图。

security-policy { ip | ipv6 }

(3)     移动安全策略组。

group move group-name1 { after | before } { group group-name2 | rule rule-name }

1.10.4  重命名安全策略组

(1)     进入系统视图。

system-view

(2)     进入安全策略视图。

security-policy { ip | ipv6 }

(3)     重命名安全策略组。

group rename old-name new-name

1.11  安全策略显示和维护

1.11.1  清除安全策略的统计信息

请在用户视图下执行以下命令,清除安全策略的统计信息。

reset security-policy statistics [ ip | ipv6 ] [ rule rule-name ]

1.11.2  显示安全策略信息

可在任意视图下执行以下命令:

·     显示安全策略的配置信息。

display security-policy { ip | ipv6 }

·     显示安全策略的统计信息。

display security-policy statistics { ip | ipv6 } [ rule rule-name ]

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们