- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-安全策略
本章节下载: 01-安全策略 (440.96 KB)
本帮助主要介绍以下内容:
· 特性简介
○ 安全策略的名称
○ 安全策略加速功能
○ 安全策略组
○ 安全策略自动部署
○ 策略导入导出功能
○ 移动安全策略功能
○ 配置安全策略
○ 配置策略组
○ 策略导入导出功能
· 配置指南
○ 配置思路
○ 配置安全策略
○ 插入安全策略
○ 配置安全策略组
○ 安全策略自动部署
安全策略通过指定源/目的安全域、源IP/MAC地址、目的IP地址、服务、应用、URL分类、终端、用户和时间段等过滤条件匹配出特定的报文,并根据预先设定的策略动作对此报文进行处理;若报文未匹配上任何策略,则丢弃该报文。当安全策略中未配置过滤条件时,则该策略将匹配所有报文。
设备上可以配置多个安全策略,每个策略均由名称和类型两类要素唯一标识。
安全策略中可同时配置多种过滤条件,具体包括:源安全域、目的安全域、源IP/MAC地址、目的IP地址、用户、应用、URL分类、终端、服务和时间段等。一条策略被匹配成功的条件是:策略中已配置的所有过滤条件必须均被匹配成功。
一类过滤条件中可以配置多个匹配项,比如一类过滤条件中可以指定多个目的安全域。一类过滤条件被匹配成功的条件是:过滤条件的任何一个匹配项被匹配成功即可。
设备上可以配置多个安全策略,设备缺省按照策略的创建顺序对报文进行匹配,先创建的先匹配。因此,首先需要将规划的所有策略按照“深度优先”的原则(即控制范围小的、条件细化的在前,范围大的在后)进行排序,然后按照此顺序配置每一个安全策略。
安全策略加速功能用来提高安全策略的匹配速度。当有大量用户同时通过设备新建连接时,若设备上包含大量的安全策略,可以开启此功能提高策略的匹配速度,保证网络通畅;若不开启此功能,策略匹配的过程将会很长,导致用户建立连接的时间超长。
开启安全策略加速功能后,加速功能仅对开启加速之前的策略生效,之后新增或修改的策略只能进行慢速匹配。使用激活策略的加速功能可以使后续新增或修改策略的加速功能生效。激活策略的加速功能包括如下方式:
· 手动激活:是指新增或修改规则后,手动单击<立即加速>按钮使这些策略立即加速。
· 自动激活:是指设备按照固定时间间隔进行周期性判断是否需要安全策略加速,在一个时间间隔内若安全策略的过滤条件发生变化,则间隔时间到达后会进行安全策略加速,否则,不会进行加速。当每种类型安全策略小于等于100条时,此时间间隔为2秒;当每种类型安全策略大于100条时,此时间间隔为20秒。这种方式能够避免因忘记手工激活策略而导致新增或修改策略不生效的问题。
安全策略组可以实现对安全策略的批量操作,例如批量启用、禁用、删除和移动安全策略。将安全策略加入安全策略组时,会将指定范围内若干连续的安全策略加入同一个安全策略组。
只有当安全策略及其所属的安全策略组均处于启用状态时,安全策略才能生效。
若用户首次部署设备,对网络流量或安全策略功能不够了解,无法配置合理的安全策略,此时可借助安全策略自动部署功能,自动完成安全策略配置。安全策略自动部署功能首先学习经过设备的业务流量,学习完成后,根据流量报文属性自动生成对应的安全策略,从而放行合法的业务流量。
安全策略导入导出功能主要用于实现安全策略配置的快速迁移。
导出功能,既可以一次性导出安全策略及其引用对象的配置;也可以单独导出某一具体模块的配置。
导入功能,以增量方式向当前配置文件中写入导入的配置,并会对重复的配置进行覆盖。导入过程中如果某条配置写入失败,则停止导入,且已成功写入的配置无法回退。导入文件的格式必须为.cfg。
移动安全策略可用于调整安全策略的顺序,从而改变安全策略匹配的优先级,也可将某个安全策略移动到其他某个安全策略组里。移动安全策略支持两种方式:
· 通过<移动>按钮进行移动
选中待移动的安全策略,然后单击<移动>按钮,选择移动的位置即可。
· 通过拖拽方式进行移动
在安全策略列表中直接拖拽待移动的安全策略至左侧的安全策略组中,可将该安全策略移动至目标安全策略组中最后的位置;也可拖拽左侧安全策略组至其他组之前或者之后。
当设备被安全业务管理平台纳管后,安全业务管理平台可向设备下发安全策略。设备安全策略页面中橙色底纹或绿色底纹的安全策略即安全业务管理平台下发的策略。橙色底纹的安全策略匹配优先级高于本地配置的安全策略;绿色底纹的安全策略匹配优先级低于本地配置的安全策略。
非缺省vSystem对于本特性的支持情况,请以页面的实际显示为准。
· 安全策略只支持在相同IP类型的策略之间进行移动。
· 新建安全策略时,会将该策略放在相同IP类型策略的下面。
· 安全策略引用的地址对象组和服务对象组内容为空时,则此安全策略不会与任何报文匹配成功。有关对象组的详细介绍请参见“对象组联机帮助”。
· 激活安全策略的加速功能时,即使对新增和修改的安全策略加速失败,也不影响之前已加速成功的策略。
· 安全策略中引用对象组的内容发生变化后,也需要重新激活该策略的加速功能。
· 安全策略中配置的会话老化时间优先级高于会话老化时间设置中配置的会话老化时间。
· 在跨VLAN模式Bridge转发的应用场景中,策略匹配统计功能仅统计安全策略和内容安全丢弃的报文,不统计安全策略和内容安全允许通过的报文。
· 源MAC地址过滤条件仅IPv4类型的安全策略支持。
· 在多Context应用场景中,配置非缺省Context的内容安全业务前,必须先激活缺省Context的应用层检测引擎。可通过在缺省Context的安全策略页面单击<提交>按钮,激活缺省Context的应用层检测引擎。
· 配置策略所属的策略组后,其会被添加到该策略组的最后位置。
· 删除策略所属的策略组属性时:若该策略是原策略组的起始策略,则此策略会放在策略组的前面。若其位于原策略组的其他位置,则此策略会放在策略组的后面。
· 不允许移动空策略组,也不允许将策略组移动至空策略组前后。
· 不允许将策略组移动至其他策略组的起始策略后/结束策略前以及中间策略前后。
· 移动策略到其他策略组的策略前后,其会自动加入该策略组。
· 设备仅支持导出自定义应用、自定义终端和自定义安全域,不支持导出预定义的应用、终端和安全域。
· 设备仅支持对导出的配置进行导入。
· 导出安全域和VRF时,只导出安全域或VRF的配置,不导出其与接口的绑定关系。因此,导入安全域或VRF配置后,请继续配置其与接口的绑定关系。
· 导出安全策略时,只导出安全策略的配置,不导出安全策略引用对象的具体配置。
· 同一时刻只允许一个用户进行导入导出操作。
· 当设备处理被安全业务管理平台纳管状态时,安全管理平台下发的安全策略不允许在设备Web页面中编辑;仅当设备处于脱管状态时,这部分安全策略才可被编辑。
· 安全业务管理平台向设备下发安全策略时可指定下发在设备本地安全策略之前或之后,所以安全策略根据位置可分为三类:本地策略之前、本地策略、本地策略之后。当对某个安全策略执行移动操作时,仅可在本类位置范围内移动,即不可将本地策略之后的安全策略移动至本地策略中或本地策略之前。
· 导入导出安全策略功能仅支持设备本地的安全策略,无法导入或导出安全业务管理平台下发的安全策略。
安全策略功能的配置思路如下图所示:
安全策略的具体配置步骤如下:
1. 选择“策略 > 安全策略”。
2. 在“安全策略”页面单击<新建>按钮,选择新建策略,进入“新建安全策略”页面。
3. 新建安全策略,具体配置内容如下表所示:
|
参数 |
说明 |
|
|
名称 |
表示安全策略的名称,同一类型安全策略的名称不能相同 |
|
|
自动命名 |
开启此功能后,系统将会对此安全策略进行自动命名。且源/目的安全域只能分别选择一个 |
|
|
类型 |
安全策略包括IPv4和IPv6两种类型 |
|
|
所属策略组 |
将此策略加入目标安全策略组 |
|
|
描述信息 |
通过配置描述信息,便于管理员快速理解和识别此安全策略的作用 |
|
|
源安全域 |
配置源安全域作为安全策略的过滤条件 |
|
|
源地址对象组/地区 |
配置源IP地址对象组、源MAC地址对象组或源地区作为安全策略的过滤条件,源MAC地址对象组过滤条件仅IPv4类型的安全策略支持 |
|
|
源IP地址 |
配置源IP地址、范围或子网作为安全策略的过滤条件 |
|
|
目的安全域 |
配置目的安全域作为安全策略的过滤条件 |
|
|
目的地址对象组/地区 |
配置目的IP地址对象组或目的地区作为安全策略的过滤条件 |
|
|
目的IP地址 |
配置目的IP地址、范围或子网作为安全策略的过滤条件 |
|
|
服务对象组 |
配置服务对象组作为安全策略的过滤条件 |
|
|
协议/端口号 |
配置协议或端口号作为安全策略的过滤条件 |
|
|
应用 |
配置应用或应用组作为安全策略的过滤条件 |
|
|
URL分类 |
配置URL分类作为安全策略的过滤条件 |
|
|
终端 |
配置终端或终端组作为安全策略的过滤条件 |
|
|
用户 |
配置身份识别用户作为安全策略的过滤条件 |
|
|
时间段 |
配置安全策略生效的时间段 |
|
|
入接口VRF |
配置入接口VPN实例作为安全策略的过滤条件,勾选“任意VRF”表示匹配所有入接口VPN实例 |
|
|
动作 |
安全策略动作包括如下: · 允许:表示对符合安全策略过滤条件的报文进行允许通过处理 · 拒绝:表示对符合安全策略过滤条件的报文进行阻断处理 |
|
|
Web应用防护配置文件 |
配置对符合安全策略过滤条件报文执行的Web应用防护配置文件 |
|
|
入侵防御配置文件 |
配置对符合安全策略过滤条件报文执行的入侵防御配置文件 |
|
|
数据过滤配置文件 |
配置对符合安全策略过滤条件报文执行的数据过滤配置文件 |
|
|
文件过滤配置文件 |
配置对符合安全策略过滤条件报文执行的文件过滤配置文件 |
|
|
防病毒配置文件 |
配置对符合安全策略过滤条件报文执行的防病毒配置文件 |
|
|
URL过滤配置文件 |
配置对符合安全策略过滤条件报文执行的URL过滤配置文件 |
|
|
APT防御配置文件 |
配置对符合安全策略过滤条件报文执行的APT防御配置文件 |
|
|
记录日志 |
开启记录日志功能后,对符合安全策略过滤条件的报文记录日志信息 |
|
|
开启策略匹配统计 |
开启此功能后,对符合安全策略过滤条件的报文进行数据统计 |
|
|
统计时长 |
若开启策略匹配统计功能,需配置统计的时间长度,取值包括: · 永久 · 自定义 |
|
|
会话老化时间 |
若策略中配置了会话老化时间,则匹配了该策略且进入稳定状态的会话需要遵循策略中配置的老化时间进行老化 若策略中未配置会话老化时间,则该会话基于会话管理模块中配置的老化时间进行老化 |
|
|
长连接老化时间 |
若策略中配置了长连接老化时间,则匹配了该策略且进入稳定状态的长连接会话需要遵循策略中配置的长连接老化时间进行老化 若策略中未配置长连接老化时间,则该长连接会话基于会话管理模块中配置的长连接老化时间进行老化 |
|
|
启用策略 |
选择开启后,此安全策略才能生效 |
|
|
策略冗余分析 |
选择开启后,新建安全策略完成将进入策略冗余分析页面 |
|
|
学习 |
开启学习功能后,可对匹配安全策略的报文进行学习从而进行宽泛策略分析 |
|
4. 单击<确定>按钮,新建安全策略成功,并会在安全策略页面中显示。
5. 在“安全策略”页面,单击第一个<立即加速>按钮,立即激活这些策略的加速功能。
插入安全策略的具体配置步骤如下:
1. 选择“策略 > 安全策略”。
2. 在“安全策略”页面,单击<插入>按钮,选择插入方式。若在某个已有安全策略之前或之后插入安全策略,则需要先勾选该安全策略,再执行插入操作。
3. 配置待插入的安全策略,具体配置内容请参见表-1。
4. 单击<确定>按钮,插入安全策略成功,并会在安全策略页面中显示。
5. 在“安全策略”页面,单击第一个<立即加速>按钮,立即激活这些策略的加速功能。
安全策略组的具体配置步骤如下:
1. 选择“策略 > 安全策略”。
2. 在“安全策略”页面单击<新建>按钮,选择新建策略组,进入“新建安全策略组”页面。
3. 新建安全策略组,具体配置内容如下表所示:
表-2 安全策略组配置参数表
|
参数 |
说明 |
|
名称 |
表示安全策略组的名称 |
|
描述信息 |
通过配置描述信息,便于管理员快速理解和识别此安全策略组的作用 |
|
类型 |
表示将哪种类型的安全策略加入安全策略组,安全策略包括IPv4和IPv6两种类型 |
|
开始策略 |
表示加入安全策略组策略的起始策略的名称 将安全策略加入安全策略组时,起始策略要在结束策略前面,并且起始策略和结束策略之间的策略不能属于其他安全策略组。 |
|
结束策略 |
表示加入安全策略组策略的结束策略的名称 |
4. 单击<确定>按钮,新建安全策略组成功,并会在安全策略页面中显示。
安全策略自动部署的具体配置步骤如下:
1. 选择“策略 > 安全策略”。
2. 选择“网络 > 安全策略”。
3. 在“安全策略”页面单击<策略自动部署>按钮,进入“策略自动部署”页面。
4. 单击<配置自动部署参数>按钮,进入“配置自动部署参数”页面。
5. 配置自动部署参数,具体配置内容如下表所示:
表-3 自动部署参数表
|
参数 |
说明 |
|
学习时长 |
表示学习流量的时间长度 |
|
接入外网的安全域 |
表示设备接入外网的接口所属的安全域 |
|
接入服务器的安全域 |
表示设备接入内网服务器的接口所属的安全域 |
|
高级设置 |
表示是否配置安全策略聚合参数,包括: · IPv4地址聚合的掩码长度 · IPv6地址聚合的前缀长度 |
|
IPv4地址聚合的掩码长度 |
表示学习记录将源/目的IPv4地址聚合的掩码长度 |
|
IPv6地址聚合的前缀长度 |
表示学习记录将源/目的IPv6地址聚合的前缀长度 |
6. 单击<确定>按钮,自动部署参数配置完成。
7. 单击<开始学习>按钮,设备将开始学习流量报文,此时尽可能让设备转发所有合法的业务流量报文。
8. 学习完成后,勾选学习记录,单击<生成策略>按钮,完成安全策略自动部署。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
