- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
06-策略中心
本章节下载: 06-策略中心 (897.59 KB)
策略中心
本章包含如下内容:
· 安全策略
· IP地址对象组
· MAC地址对象组
· 服务对象组
· 时间段
· 防病毒
· 安全域
· VRF
· IPSec策略
· IKE提议
· IPSec参数
· 配置管理
安全策略通过指定源/目的安全域、源IP/MAC地址、目的IP地址、服务、应用、终端、用户和时间段等过滤条件匹配出特定的报文,并根据预先设定的策略动作对此报文进行处理;若报文未匹配上任何策略,则丢弃该报文。当安全策略中未配置过滤条件时,则该策略将匹配所有报文。
设备上可以配置多个安全策略,每个策略均由名称和类型两类要素唯一标识。
安全策略的配置思路如下图所示:
图-1 安全策略配置指导图
1. 选择“策略中心 > 安全策略 > 安全策略”。
2. 在“安全策略”页面单击<新建>按钮,弹出“新建安全策略”弹出框。
3. 安全策略的具体配置内容如下表所示。
表-1 安全策略配置参数表
|
参数 |
说明 |
|
安全策略名称 |
安全策略的名称 |
|
源安全域 |
配置源安全域作为安全策略的过滤条件 |
|
目的安全域 |
配置目的安全域作为安全策略的过滤条件 |
|
类型 |
安全策略包括IPv4和IPv6两种类型 |
|
动作 |
安全策略动作包括如下:
允许:表示对符合安全策略过滤条件的报文进行允许通过处理 拒绝:表示对符合安全策略过滤条件的报文进行阻断处理 |
|
源IP/MAC地址 |
配置源IP地址或源MAC地址作为安全策略的过滤条件,源MAC地址过滤条件仅IPv4类型的安全策略支持 |
|
目的IP地址 |
配置目的IP地址作为安全策略的过滤条件 |
|
服务 |
配置服务作为安全策略的过滤条件 |
|
时间段 |
配置安全策略生效的时间段 |
|
VRF |
配置VPN实例作为安全策略的过滤条件 |
|
内容安全 |
若内容安全中引用了相关策略,则会对符合安全策略过滤条件的报文进行相应的DPI(Deep Packet Inspection,深度报文检测)业务处理 |
|
记录日志 |
开启记录日志功能后,对符合安全策略过滤条件的报文记录日志信息 |
|
策略匹配统计 |
开启此功能后,对符合安全策略过滤条件的报文进行数据统计 |
|
会话老化时间 |
若策略中配置了会话老化时间,则匹配了该策略且进入稳定状态的会话需要遵循策略中配置的老化时间进行老化
若策略中未配置会话老化时间,则该会话基于会话管理模块中配置的老化时间进行老化 |
|
长连接老化时间 |
若策略中配置了长连接老化时间,则匹配了该策略且进入稳定状态的长连接会话需要遵循策略中配置的长连接老化时间进行老化 若策略中未配置长连接老化时间,则该长连接会话基于会话管理模块中配置的长连接老化时间进行老化 |
|
启用策略 |
选择开启后,此安全策略才能生效 |
|
描述 |
安全策略的描述信息 |
4. 在“新建安全策略”弹出框中单击<确定>按钮。新建安全策略成功,并会在安全策略页面中显示。
安全策略模板的配置思路如下图所示:
图-2 安全策略模板配置指导图
1. 选择“策略中心 > 安全策略 > 安全策略模板”。
2. 在“安全策略模板”页面单击<新建>按钮,跳到“新建安全策略模板”页面。
3. 安全策略模板的具体配置内容如下表所示。
表-2 安全策略模板配置参数表
|
参数 |
说明 |
|
模板名称 |
安全策略模板的名称 |
|
描述 |
安全策略模板的描述信息 |
|
安全策略 |
新建或选择安全策略作为安全策略模板的内容 |
4. 在“新建安全策略模板”页面中单击<确定>按钮。新建安全策略模板成功,并会在安全策略模板页面中显示。
安全策略部署的配置思路如下图所示:
图-3 安全策略部署配置指导图
1. 选择“策略中心 > 安全策略 > 安全策略部署”。
2. 在“安全策略部署”页面单击<新建>按钮,跳到“新建安全策略任务”页面。
3. 安全策略部署的具体配置内容如下表所示。
表-3 安全策略部署配置参数表
|
参数 |
说明 |
|
任务名称 |
安全策略部署任务的名称 |
|
安全策略模板 |
安全策略部署任务的模板 |
|
策略部署方式 |
有四种部署方式: · 插入最前 · 插入指定安全策略ID之前 · 插入指定安全策略ID之后 · 插入最后 |
|
执行时间 |
任务执行时间,可以设定为立即执行或指定时间定时执行 |
|
设备 |
选择设备时展示在线设备和有在线设备的设备组,选择设备组时设备组中仅在线设备会被成功选择。 安全策略部署任务会在选择的设备上执行,任务中所选择的安全策略模板中的策略会部署到设备上。 |
|
安全域 |
选择设备后,可以进行编辑安全域的操作,将安全域和设备指定接口绑定 |
|
VRF |
选择设备后,可以进行编辑VRF的操作,将VRF和设备指定接口绑定 |
4. 在“新建安全策略任务”页面中单击<确定>按钮。新建安全策略部署任务成功,并会在安全策略部署页面中显示。
5. 在任务执行完成后,单击操作栏<结果详情>按钮,查看每台设备任务执行的结果。
· 安全策略名称不能重复。
· 安全策略部署任务名称不能重复。
· 安全策略模板名称不能重复。
· 至少配置一条安全策略。
· 选择策略后可以对策略进行拖动排序,序号靠前的策略优先匹配。
· 安全策略部署任务模板名称不能重复。
· 先选定安全策略模板后才能选择设备。
· 至少选择一台设备。
· 选择设备组后在列表中只会展示该设备组中所有的在线设备。
IP地址对象组定义了一系列报文匹配规则,可以被其他业务模块等引用,作为匹配报文的条件。IP地址对象组由一条或多条IPv4或IPv6IP地址对象组成,每条地址对象定义了一个报文匹配规则。报文只要满足IP地址对象组中一条地址对象的匹配规则,则该报文匹配该IP地址对象组。地址对象分为主机地址、范围地址、子网地址三种。
包含一个主机名形式的地址或者一个或多个间断的IP地址。
包含由开始IP地址和结束IP地址共同确定的一个IP地址范围,还可以指定将这个范围内的某些IP地址排除在外。
包含由IP地址和通配符掩码共同确定的一个IP地址范围,还可以指定将这个范围内的某些IP地址排除在外。
IP地址对象组的配置思路如下图所示:
图-4 IP地址对象组配置指导图
主机地址的配置思路如下图所示:
图-5 主机地址配置指导图
范围地址的配置思路如下图所示:
图-6 范围地址配置指导图
子网地址的配置思路如下图所示:
图-7 子网地址配置指导图
IP地址对象组的具体配置步骤如下:
1. 选择“运维管理 > 策略管理 > 全局资源 > IP地址对象组”。
2. 在“IP地址对象组”页面单击<新建>按钮,进入“新建IP地址对象组”页面。
3. 新建IP地址对象组的具体配置内容如下表所示。
表-4 IP地址对象组配置参数表
|
参数 |
说明 |
|
IP地址对象组名称 |
IP地址对象组的名称 |
|
IP版本 |
IP的版本,包含IPv4和IPv6 |
|
地址对象列表 |
一个或者多个地址对象,包括主机地址、主机名称、范围地址、子网地址 |
|
描述 |
IP地址对象组的描述文字 |
4. 单击<确定>按钮,新建IP地址对象组成功,并会在IP地址对象组页面中显示。
主机地址的具体配置步骤如下:
1. 选择“运维管理 > 策略管理 > 全局资源 > IP地址对象组”。
2. 在“主机地址”页面单击<新建>按钮,进入“新建主机地址”页面。
3. 新建主机地址的具体配置内容如下表所示。
表-5 主机地址配置参数表
|
参数 |
说明 |
|
地址对象名称 |
主机地址的名称 |
|
地址类型 |
主机地址的地址类型,包含IP地址和主机名称 |
|
IP版本 |
IP的版本,包含IPv4和IPv6 |
|
IP地址列表 |
一个或多个间断的IP地址 |
|
描述 |
主机地址的描述文字 |
4. 单击<确定>按钮,新建主机地址成功,并会在主机地址页面中显示。
范围地址的具体配置步骤如下:
1. 选择“运维管理 > 策略管理 > 全局资源 > IP地址对象组”。
2. 在“范围地址”页面单击<新建>按钮,进入“新建范围地址”页面。
3. 新建范围地址的具体配置内容如下表所示。
表-6 范围地址配置参数表
|
参数 |
说明 |
|
地址对象名称 |
范围地址的名称 |
|
IP版本 |
IP的版本,包含IPv4和IPv6 |
|
IP地址范围 |
设置范围地址资源中包含的由开始IP地址和结束IP地址确定的一个地址范围 |
|
排除地址 |
设置需要排除在地址范围之外的IP地址 |
|
描述 |
范围地址的描述文字 |
4. 单击<确定>按钮,新建范围地址成功,并会在范围地址页面中显示。
子网地址的具体配置步骤如下:
1. 选择“运维管理 > 策略管理 > 全局资源 > IP地址对象组”。
2. 在“子网地址”页面单击<新建>按钮,进入“新建子网地址”页面。
3. 新建子网地址的具体配置内容如下表所示。
表-7 子网地址配置参数表
|
参数 |
说明 |
|
地址对象名称 |
子网地址的名称 |
|
IP版本 |
IP的版本,包含IPv4和IPv6 |
|
CIDR |
CIDR确定的一个地址范围 |
|
排除地址 |
设置需要排除在CIDR地址范围之外的IP地址 |
|
描述 |
子网地址资源的描述文字 |
4. 单击<确定>按钮,新建子网地址成功,并会在子网地址页面中显示。
· 地址对象名称在组织内不能重复。
· 主机地址IP地址列表至少填一个IP地址。
· 地址范围后面输入框的IP地址不能小于前面输入框的IP地址。
· 排除地址中输入的IP地址不能超出地址范围。
· 排除地址中输入的IP地址不能超出CIDR地址范围。
· IP地址对象组名称在组织内不能重复。
· 地址对象列表至少包含一个地址对象。
MAC地址对象组定义了一系列报文匹配规则,可以被其他业务模块引用,作为匹配报文的条件。为了简化配置,对象组还支持多级嵌套功能,即一个MAC地址对象组可以引用另一个MAC地址对象组,从而复用该MAC地址对象组中的报文匹配规则。
MAC地址对象组的配置思路如下图所示:
图-8 MAC地址对象组配置指导图
MAC地址对象组的具体配置步骤如下:
1. 选择“运维管理 > 策略管理 > 全局资源 > MAC地址对象组”。
1. 在“MAC地址对象组”页面单击<新建>按钮,进入“新建MAC地址对象组”页面。
2. 新建MAC地址对象组的具体配置内容如下表所示。
表-8 MAC地址对象组配置参数表
|
参数 |
说明 |
|
对象组名称 |
MAC地址对象组的名称,同一组织内MAC地址对象组的名称不能相同 |
|
对象 |
包含一个或多个MAC地址对象组或者MAC地址 |
|
对象组 |
MAC地址对象组 |
|
MAC地址 |
MAC地址,格式为:HH-HH-HH-HH-HH-HH |
|
描述 |
MAC地址对象组的描述文字 |
3. 单击<确定>按钮,新建MAC地址对象组成功,并会在MAC地址对象组页面中显示。
· MAC地址对象组的嵌套层次最大为5层,譬如MAC地址对象组1、2、3、4分别引用对象组2、3、4、5,则对象组5不能再引用其他MAC地址对象组,MAC地址对象组1也不能再被其他对象组引用。
· 嵌套的对象组不能形成循环。
服务对象组包含服务对象(预定义对象和自定义对象),用于匹配报文中的协议类型以及协议的特性(如TCP或UDP的源端口/目的端口、ICMP协议的消息类型/消息码等)。
服务对象包括预定义对象和自定义对象,预定义对象是由系统管理员创建的匹配报文特性服务对象,而自定义对象是由用户本身创建的服务对象,两者都是服务对象组的组成部分。
服务对象组即通过选择预定义对象和自定义对象组成的一套用于匹配报文中协议类型和协议特性的规则。
服务对象组的配置思路如下图所示:
配置服务对象组指导图
新建服务对象组的具体配置步骤如下:
1. 选择“运维管理 > 策略管理 > 全局资源 > 服务对象组 > 服务对象组”。
2. 在“服务对象组”Tab页面单击<新建>按钮,弹出新建服务对象组弹窗。
3. 新建服务对象组的具体配置内容如下表所示。
表-9 新建服务对象组参数表
|
参数 |
说明 |
|
名称 |
服务对象组的名称 |
|
服务对象列表 |
归属于服务对象组的自定义和预定义对象 |
|
描述 |
服务对象组的描述 |
4. 单击<确定>按钮,新建服务对象组成功,并会在服务对象组Tab页面表格中显示。
新建自定义服务对象的具体配置步骤如下:
1. 选择“运维管理 > 策略管理 > 全局资源 > 服务对象组 > 自定义对象”。
2. 在“自定义对象”Tab页面单击<新建>按钮,打开新建自定义对象弹窗。
3. 新建自定义服务对象的具体配置内容如下表所示。
表-10 新建自定义服务对象配置参数表
|
参数 |
说明 |
|
服务对象名称 |
该自定义服务对象的名称 |
|
协议 |
用于匹配报文的协议类型,包含TCP、UDP、ICMP、ICMPV6和IP |
|
源端口 |
协议选择TCP和UDP时,表示报文的来源端口 |
|
目的端口 |
协议选择TCP和UDP时,表示报文的目的端口 |
|
类型 |
协议选择ICMP和ICMPV6时,表示报文的消息类型 |
|
消息码 |
协议选择ICMP和ICMPV6时,表示报文的发送后返回的消息代码 |
|
协议号 |
协议选择IP时,表示匹配报文的其他协议 |
|
描述 |
表示该服务对象的描述 |
4. 单击<确定>按钮,新建自定义对象成功,并会在自定义对象Tab页面表格中显示。
· 当起始端口和结束端口相同时,则表示源端口和目的端口都是一个定值。
· 起始端口的取值要小于等于结束端口。
时间段(Time Range)定义了一个时间范围。用户通过创建一个时间段并在某业务中将其引用,就可使该业务在此时间段定义的时间范围内生效。但如果一个业务所引用的时间段尚未配置或已被删除,该业务将不会生效。
在一个时间段中,可以使用以下两种方式定义时间范围:1.周期时间段:表示以一周为周期(如每周一的8至12点)循环生效的时间段。2.绝对时间段:表示在指定时间范围内(如2021年11月11日8点至2021年11月13日18点)生效的时间段。
当一个时间段内包含有多个周期时间段和绝对时间段时,系统将先分别取各周期时间段的并集和各绝对时间段的并集,再取这两个并集的交集作为该时间段最终生效的时间范围。
用户通过新建时间段包括绝对时间段和周期时间段,定义了一个时间范围,用户在某个业务中引用,即可使该业务在此时间段定义的时间范围内生效。
时间段的配置思路如下图所示:
图-9 配置时间段指导图
新建时间段的具体配置步骤如下:
1. 选择“运维管理 > 策略管理 > 全局资源 > 时间段”。
2. 在“时间段”页面单击<新建>按钮,打开新建时间段弹窗。
3. 新建时间段的具体配置内容如下表所示。
表-11 新建时间段配置参数表
|
参数 |
说明 |
|
名称 |
时间段的名称 |
|
周期时间段 |
以一周为周期循环生效的时间段(如每周一的8至12点) |
|
绝对时间段 |
在指定时间范围内生效的时间段(如2015年1月1日8点至2015年1月3日18点) |
4. 单击<确定>按钮,新建时间段成功,并会在时间段页面表格中显示。
新建周期时间段的具体配置步骤如下:
1. 选择“运维管理 > 策略管理 > 全局资源 > 时间段”。
2. 在“时间段”页面单击<新建>按钮,在弹出的新建时间段弹窗中“周期时间段”一栏单击<新建>按钮。
3. 新建周期时间段的具体配置内容如下表所示。
表-12 新建周期时间段参数表
|
参数 |
说明 |
|
时间段 |
周期时间段的开始和结束时间,精确到秒 |
|
周期 |
周期时间段每周周几执行,可多选 |
4. 单击<确定>按钮,新建周期时间段成功,并会在周期时间段表格中显示。
新建绝对时间段的具体配置步骤如下:
1. 选择“运维管理 > 策略管理 > 全局资源 > 时间段”。
2. 在“时间段”页面单击<新建>按钮,在弹出的新建时间段弹窗中“绝对时间段”一栏单击<新建>按钮。
3. 新建绝对时间段的具体配置内容如下表所示。
表-13 新建绝对时间段参数表
|
参数 |
说明 |
|
时间段 |
时间段指定的时间范围,精确到分钟 |
4. 单击<确定>按钮,新建绝对时间段成功,并会在绝对时间段表格中显示。
新建周期时间段和绝对时间段时,请勿新建多个完全一样的时间段,因为生效的只会有一条。
· 为什么新建周期时间段和绝对时间段时,新建的数目和展示的数目不一致?
因为在新建时间段的过程中存在两个或多个完全相同的周期时间段或绝对时间段。
IPS(Intrusion Prevention System,入侵防御系统)是一种可以对应用层攻击进行检测并防御的安全防御技术。入侵防御通过分析流经设备的网络流量来实时检测入侵行为,并通过一定的响应动作来阻断入侵行为,实现保护企业信息系统和网络免遭攻击的目的。
用户通过新建入侵防御将入侵防御特征添加到入侵防御配置文件中,并且可以自定义防御特征的动作、抓包和日志等特征,达到自定义配置文件的目的。
入侵防御的配置思路如下图所示:
图-10 配置入侵防御指导图
新建配置文件的具体配置步骤如下:
1. 选择“运维管理 > 策略管理 > 全局资源 > 入侵防御”。
2. 在“配置文件”Tab页面单击<新建>按钮,弹出新建IPS配置文件弹窗。
3. 新建入侵防御配置文件的具体配置内容如下表所示。
表-14 新建入侵防御配置文件参数表
|
参数 |
说明 |
|
名称 |
入侵防御名称 |
|
统一特征动作 |
动作类型包括:缺省、黑名单、丢弃、允许、重置和重定向;如果动作为缺省,则对筛选出的特征执行各自的缺省动作 |
|
保护对象 |
入侵防御保护的具体服务对象 |
|
攻击分类 |
匹配上该入侵防御条目所包含的特征时给予的攻击方式分类 |
|
对象 |
该入侵防御的防护对象,分为客户端和服务端 |
|
缺省动作 |
入侵防御特征的缺省动作,入侵防御特征的缺省动作分为如下四种:丢弃、允许、重置、黑名单 |
|
严重级别 |
入侵防御特征的严重级别,入侵防御特征的严重级别分为如下四种:严重、高、中、低 |
|
IPS特征 |
该入侵防御所包含的IPS特征 |
4. 单击<确定>按钮,新建入侵防御配置文件成功,并会在配置文件Tab页面表格中显示。
· 选择完IPS特征后,可在入侵防御弹窗中编辑单条IPS特征。
· 可编辑的特征属性包括动作、日志和抓包三种。
· 编辑完后的特征不会改变原IPS特征。
· 统一缺省动作为缺省时,则按照对应的IPS特征执行动作、日志和抓包。
· 统一缺省动作选择黑名单、丢弃、允许、重置和重定向时,需要配置日志和抓包的开关。
· 不同角色下的特征配置是怎样的?
只有系统管理员可以升级和删除IPS特征库,其他角色只能查看。
防病毒功能是一种通过对报文应用层信息进行检测来识别和处理病毒报文的安全机制。防病毒功能凭借庞大且不断更新的病毒特征库可有效保护网络安全,防止病毒在网络中的传播。将具有防病毒功能的设备部署在企业网入口,可以将病毒隔离在企业网之外,为企业内网的数据安全提供坚固的防御。目前,该功能支持对基于以下应用层协议传输的报文进行防病毒检测:
· FTP(File Transfer Protocol,文件传输协议)
· HTTP(Hypertext Transfer Protocol,超文本传输协议)
· IMAP(Internet Mail Access Protocol,Internet邮件访问协议)
· NFS(Network File System Protocol,网络文件系统协议)
· POP3(Post Office Protocol-Version 3,邮局协议的第3个版本)
· SMB(Server Message Block Protocol,服务器信息块协议)
· SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)
病毒特征是设备上定义的用于识别应用层信息中是否携带病毒的字符串,由系统中的病毒特征库预定义。
缺省情况下,设备对所有匹配病毒特征的报文均进行防病毒动作处理。但是,当管理员认为已检测到的某个病毒为误报时,可以将该病毒特征设置为病毒例外,之后携带此病毒特征的报文经过时,设备将对此报文执行允许动作。
防病毒动作是指对符合病毒特征的报文做出的处理,包括如下几种类型:
· 告警:允许病毒报文通过,同时生成病毒日志。
· 阻断:禁止病毒报文通过,同时生成病毒日志。
· 重定向:将携带病毒的HTTP连接重定向到指定的URL,同时生成病毒日志。
· 允许:允许病毒报文通过。
用户根据实际需求新建自定义的防病毒配置文件。
可查看当前病毒库包含病毒的ID和病毒名称。
防病毒配置思路如下图所示:
图-11 配置防病毒策略指导图
新建配置文件的具体配置步骤如下:
1. 选择“运维管理 > 策略管理 > 全局资源 > 防病毒”。
2. 在“配置文件”Tab页面单击<新建>按钮,弹出新建防病毒配置文件弹窗。
3. 新建防病毒配置文件的具体配置内容如下表所示。
表-15 新建防病毒配置文件参数表
|
参数 |
说明 |
|
名称 |
防病毒配置文件的名称 |
|
描述 |
通过合理编写描述信息,便于管理员快速理解和识别防病毒配置文件的作用,有利于后期维护 |
|
上传 |
对HTTP、FTP、SMTP、IMAP、NFS和SMB协议上传方向的报文进行病毒检测。其中,SMTP协议只支持上传方向 |
|
下载 |
对HTTP、FTP、POP3、IMAP、NFS和SMB协议下载方向的报文进行病毒检测。其中,POP3协议只支持下载方向 |
|
动作 |
设备可根据报文的应用层协议类型和传输方向来对其进行病毒检测,如果检测到病毒,则对此报文执行此处指定的动作。动作包括:告警、阻断、重定向。IMAP协议只支持告警动作 |
|
病毒例外 |
如果发现某类检测出病毒的报文被误报时,可以通过执行此命令把该报文对应的病毒特征设置为病毒例外。当后续再有检测出包含此病毒特征的报文通过时,设备将对其执行允许动作 |
4. 单击<确定>按钮,新建防病毒配置文件成功,并会在配置文件Tab页面表格中显示。
· 首先需要在管理员帐号下导入病毒特征库,用户可在创建防病毒策略时添加病毒例外。
· 不同角色下的病毒库有何异同?
只有系统管理员可以升级和删除病毒库,其他角色只能查看。
安全域是一个逻辑概念,用于管理设备上安全需求相同的多个接口。管理员将安全需求相同的接口进行分类,并划分到不同的安全域,统一应用安全策略,简化配置,方便管理。管理员创建安全域后,可以给安全域添加多个成员,成员的类型包括:二层物理接口和VLAN、三层物理接口、三层以太网子接口、其它三层逻辑接口。配置安全域后,设备上各接口的报文转发遵循以下规则:
· 一个安全域中的接口与一个不属于任何安全域的接口之间的报文,会被丢弃。
· 属于同一个安全域的各接口之间的报文缺省会被丢弃。
· 安全域之间的报文由安全策略进行安全检查,并根据检查结果放行或丢弃。若安全策略不存在或不生效,则报文会被丢弃。
· 非安全域的接口之间的报文会被丢弃。
· 目的地址或源地址为本机的报文,缺省会被丢弃,若该报文与安全策略匹配,则由安全策略进行安全检查,并根据检查结果放行或丢弃。
安全域的配置思路如下图所示:
图-12 安全域配置指导图
安全域的具体配置步骤如下:
1. 选择“运维管理 > 策略管理 > 全局资源 > 安全域”。
2. 在“安全域”页面单击<新建>按钮,进入“新建安全域”页面。
3. 新建安全域的具体配置内容如下表所示。
表-16 安全域配置参数表
|
参数 |
说明 |
|
安全域名称 |
安全域的名称,同一组织内安全域的名称不能相同 |
|
描述 |
安全域的描述文字 |
4. 单击<确定>按钮,新建安全域成功,并会在安全域页面中显示。
5. 单击“关联接口”链接,跳转到关联接口页面,选择需要关联到该安全域的接口,单击<确定>按钮,关联接口成功。
· 同一个三层接口只允许加入一个安全域。
· 同一个“二层接口和VLAN”的组合只能加入到一个安全域中。
· Management和Local安全域间之间的报文缺省会被允许。
· 请谨慎操作状态为UP的管理口,否则会导致设备网络中断。
VRF用来实现不同VPN的路由隔离,在VRF页面可以创建VRF,然后在创建安全策略时引用VRF。
新建VRF思路如下:
图-13 新建VRF指导图
新建VRF步骤如下:
1. 选择“策略管理 >全局资源> VRF”。
2. 单击<新建>按钮,进入“新建VRF”页面。
3. 新建VRF的具体配置内容如下表所示。
表-17 VRF配置参数表
|
参数 |
说明 |
|
VRF名称 |
VRF的名称 |
|
路由标识 |
用来区分不同VPN的相同IPv4地址前缀,格式为“IP_Address:nn”或“ASN:nn” |
|
描述 |
VRF描述 |
4. 单击<确认>按钮,新建VRF成功,之后可以进行关联接口操作,未关联接口的VRF不可被安全策略使用。
关联接口规则步骤如下:
1. 选择“策略管理 > 全局资源 > VRF”。
2. 只有新建成功的VRF才可以关联接口,单击表格“关联接口数”列中的“管理接口”链接,进入管理接口页面。
3. 选择各设备下的三层工作模式接口,关联VRF。
4. 单击<确定>按钮。
· 选择设备的接口时,接口原关联的VRF会替换为当前操作的VRF。
· 请谨慎操作状态为UP的管理口,否则会导致设备网络中断。
· 新建VRF成功后,需要关联接口才可以正常使用
IPsec协议为IP层上的网络数据安全提供了一整套安全体系结构,包括安全协议AH(Authentication Header,认证头)和ESP(Encapsulating Security Payload,封装安全载荷)、IKE(Internet Key Exchange,互联网密钥交换)以及用于网络认证及加密的一些算法等。其中,AH协议和ESP协议用于提供安全服务,IKE协议用于密钥交换。
IPSec策略的配置思路如下图所示:
图-14 IPSec策略配置指导图
具体配置步骤如下:
1. 选择“策略中心 > VPN管理 > IPSec策略 > IPSec策略”。
2. 单击<新建>按钮,弹出“新建IPSec策略”窗口。
3. IPSec策略的具体配置内容如下表所示。
表-18 IPSec策略配置参数表
|
参数 |
说明 |
|
名称 |
IPSec策略名称。 |
|
优先级 |
IPSec策略优先级,值越小优先级越高。 |
|
设备角色 |
设备的角色。 |
|
IP地址类型 |
IP地址类型。 |
|
对端地址 |
对端地址。可选择输入IP地址或域名。 |
|
协商模式 |
可选主模式(Main Mode)、野蛮模式(Aggressive Mode)和国密主模式三种IKE协商模式。在对身份保护要求不高的场合,使用交换报文较少的野蛮模式可以提高协商的速度;在对身份保护要求较高的场合,则应该使用主模式。当本端使用RSA-DE或者SM2-DE数字信封方式认证时,必须将本端的协商模式配置为国密主模式。。 |
|
认证方式 |
可选预共享密钥和数字认证。 |
|
预共享密钥 |
预共享密钥。 |
|
IKE提议模板 |
IKE提议模板。 |
|
IPSec参数模板 |
IPSec参数模板。 |
|
描述 |
IPSec策略的描述。 |
4. 单击<确定>按钮,新建IPSec策略成功,并会在IPSec策略页面中显示。
IPSec策略部署的配置思路如下图所示:
图-15 IPSec策略部署配置指导图
1. 选择“策略中心 > VPN管理 > IPSec策略 > IPSec策略部署”。
2. 单击<新建>按钮,弹出“新建IPSec策略任务”窗口。
3. IPSec策略任务的具体配置内容如下表所示。
表-19 IPSec策略任务配置参数表
|
参数 |
说明 |
|
任务名称 |
IPSec策略部署任务名称。 |
|
IPSec策略模板 |
IPSec策略模板。 |
|
执行时间 |
可选立即执行和定时执行。 |
|
选择设备 |
可选择对应的设备 |
4. 单击<确定>按钮,新建IPSec策略部署任务成功,并会在IPSec策略部署页面中显示。
IPSec策略名称不能重复。
IPSec策略任务名称不能重复。
IKE为IPsec协商建立SA(Security Association,安全联盟),并把建立的参数交给IPsec,IPsec使用IKE建立的SA对IP报文加密或认证处理。IKE使用了两个阶段为IPsec进行密钥协商以及建立SA:
1. 第一阶段,通信双方彼此间建立了一个已通过双方身份认证和对通信数据安全保护的通道,即建立一个IKE SA。第一阶段有主模式(Main Mode)、野蛮模式(Aggressive Mode)和国密主模式三种IKE协商模式。在对身份保护要求不高的场合,使用交换报文较少的野蛮模式可以提高协商的速度;在对身份保护要求较高的场合,则应该使用主模式。当本端使用RSA-DE或者SM2-DE数字信封方式认证时,必须将本端的协商模式配置为国密主模式。
2. 第二阶段,用在第一阶段建立的IKE SA为IPsec协商安全服务,即为IPsec协商IPsec SA,建立用于最终的IP数据安全传输的IPsec SA。
IKE提议的配置思路如下图所示:
图-16 IKE提议配置指导图
具体配置步骤如下:
1. 选择“策略中心 > VPN管理 > IKE提议”。
2. 单击<新建>按钮,弹出“新建IKE提议”窗口。
3. IKE提议的具体配置内容如下表所示。
表-20 IKE提议配置参数表
|
参数 |
说明 |
|
名称 |
IKE提议名称。 |
|
优先级 |
IKE提议的优先级,数字越小优先级越高。 |
|
认证方式 |
IKE提议的认证方式。可选择预共享密钥和数字认证,选择数字认证时需要选择数字认证的方式。 |
|
认证算法 |
IKE提议的认证算法。 |
|
加密算法 |
IKE提议的加密算法。 |
|
DH |
IKE提议的Diffie-Hellman算法。 |
|
IKE SA生存周期 |
IKE SA生存周期。 |
|
描述 |
IKE提议的描述。 |
4. 单击<确定>按钮,新建IKE提议成功,并会在IKE提议页面中显示。
IKE提议名称不能重复。
IPSec(IP Security,IP安全)是IETF制定的三层隧道加密协议,是一种传统的实现三层VPN(Virtual Private Network,虚拟专用网络)的安全技术。IPSec通过在特定通信方之间(例如两个安全网关之间)建立“通道”,来保护通信方之间传输的用户数据,该通道通常称为IPSec隧道。
IPSec参数的配置思路如下图所示:
图-17 IPSec参数配置指导图
具体配置步骤如下:
1. 选择“策略中心 > VPN管理 > IPSec参数”。
2. 单击<新建>按钮,弹出“新建IPSec参数”窗口。
3. IPSec参数的具体配置内容如下表所示。
表-21 IPSec参数配置参数表
|
参数 |
说明 |
|
名称 |
IPSec参数名称 |
|
封装模式 |
传输模式(Transport Mode):该模式下的安全协议主要用于保护上层协议报文。若要求端到端的安全保障,即数据包进行安全传输的起点和终点为数据包的实际起点和终点时,才能使用传输模式。通常传输模式用于保护两台主机之间的数据。 隧道模式(Tunnel Mode):该模式下的安全协议用于保护整个IP数据包。在安全保护由设备提供的情况下,数据包进行安全传输的起点或终点不为数据包的实际起点和终点时(例如安全网关后的主机),则必须使用隧道模式。通常隧道模式用于保护两个安全网关之间的数据。 |
|
安全协议 |
IPSec包括AH和ESP两种安全协议,它们定义了对IP报文的封装格式以及可提供的安全服务。 · AH协议定义了AH头在IP报文中的封装格式。AH可提供数据来源认证、数据完整性校验和抗重放功能,它能保护报文免受篡改,但不能防止报文被窃听,适合用于传输非机密数据。 · ESP协议定义了ESP头和ESP尾在IP报文中的封装格式。ESP可提供数据加密、数据来源认证、数据完整性校验和抗重放功能。虽然AH和ESP都可以提供认证服务,但是AH提供的认证服务要强于ESP。 在实际使用过程中,可以根据具体的安全需求同时使用这两种协议或仅使用其中的一种。设备支持的AH和ESP联合使用的方式为:先对报文进行ESP封装,再对报文进行AH封装。 |
|
ESP认证算法 |
ESP协议的认证算法。IPSec使用的认证算法主要是通过杂凑函数实现的。杂凑函数是一种能够接受任意长度的消息输入,并产生固定长度输出的算法,该算法的输出称为消息摘要。IPSec对等体双方都会计算一个摘要,接收方将发送方的摘要与本地的摘要进行比较,如果二者相同,则表示收到的IPSec报文是完整未经篡改的,以及发送方身份合法。目前,IPSec使用基于HMAC(Hash-based Message Authentication Code,基于散列的消息鉴别码)的认证算法和SM3认证算法。HMAC认证算法包括HMAC-MD5、HMAC-SHA。其中,HMAC-MD5算法的计算速度快,而HMAC-SHA算法的安全强度高。 |
|
ESP加密算法 |
ESP协议的加密算法。 IPSec使用的加密算法属于对称密钥系统,这类算法使用相同的密钥对数据进行加密和解密。目前设备的IPSec使用四种加密算法: · DES:使用56比特的密钥对一个64比特的明文块进行加密。 · 3DES:使用三个56比特(共168比特)的密钥对明文块进行加密。 · AES:使用128比特、192比特或256比特的密钥对明文块进行加密。 · SM:使用128比特的密钥对明文块进行加密。 这四个加密算法的安全性由高到低依次是:AES/SM、3DES、DES,安全性高的加密算法实现机制复杂,运算速度慢。 |
|
AH认证算法 |
AH协议的认证算法。 |
|
PFS |
PFS(perfect forward secrecy),可叫做完全前向保密。要求一个密钥只能访问由它所保护的数据;用来产生密钥的元素一次一换,不能再产生其他的密钥;一个密钥被破解,并不影响其他密钥的安全性。 |
|
描述 |
IPSec参数的描述。 |
4. 单击<确定>按钮,新建IPSec参数成功,并会在IPSec参数页面中显示。
IPSec参数名称不能重复。
配置管理用于对设备或设备组进行配置部署、配置备份、恢复初始配置操作,并可查看设备当前配置详情以及备份列表。
对设备/设备组进行配置部署操作,会生成配置部署任务并记录在任务管理中。
对设备/设备组的当前配置进行备份,会生成配置备份任务并记录在任务管理中。
对设备/设备组进行恢复初始配置操作,会生成恢复初始配置任务并记录在任务管理中。
展示设备所有配置备份任务,上传配置备份,设置备份策略(最大规格、超出动作、超出告警)。
模板管理用于管理设备配置、部署或恢复初始配置所需的配置模板,并展示配置模板的模板名称、设备类型、适配型号、模板类型、描述、创建用户、创建时间。
用户对设备进行版本升级、特征库自动升级配置、配置部署、配置备份、备份回滚、恢复初始配置操作而生成的任务会记录在配置任务中,在配置任务中可以查看任务和对任务统一管理。
可对任务执行如下操作:
· 删除任务。
· 挂起任务,暂停任务执行。
· 恢复任务,恢复任务执行。
· 编辑任务,可以更改任务名称、执行时间(每月/每周/定时/立即不可改变)、持续时间。
图-18 配置部署配置指导图
配置部署步骤如下:
2. 选择“策略中心 > 配置管理 > 设备/设备组”。
3. 在设备列表选中对应的在线设备,单击<配置部署>按钮,弹出配置部署窗口。
4. 配置部署任务的具体配置内容如下表所示。
表-22 配置部署配置参数表
|
参数 |
说明 |
|
任务名称 |
任务的名称 |
|
模板名称 |
引用的配置模板 |
|
策略 |
设备下发配置使用的策略 |
|
执行时间 |
任务执行时间。包括:立即、定时 |
5. 单击<确认>按钮,新建配置部署任务。
图-19 配置部署 配置指导图
配置备份步骤如下:
1. 选择“策略中心 > 配置管理>点击tab页的【设备】或【设备组】”。
2. 在设备列表选中对应的在线设备,单击<配置备份>按钮,弹出配置备份窗口。
3. 配置备份的具体配置内容如下表所示。
表-23 配置备份参数表
|
参数 |
说明 |
|
任务名称 |
任务的名称 |
|
执行时间 |
任务执行时间,包括:立即、定时、每周、每月 |
|
持续时间 |
任务执行的时间范围 |
4. 单击<确认>按钮,新建配置备份任务。
图-20 配置部署 配置指导图
恢复初始配置步骤如下:
1. 选择“策略中心 > 配置管理>点击tab页的【设备】或【设备组】”。
2. 在设备列表选中对应的在线设备,单击<恢复初始配置>按钮,弹出恢复初始配置窗口。
3. 选择恢复初始配置模板,单击<确认>按钮完成恢复初始配置。
配置备份步骤如下:
1. 选择“策略中心 > 配置管理>点击tab页的【设备】或【设备组】”。
2. 在设备列表选中对应的在线设备中单击<备份列表>按钮,跳转至备份列表页面。
备份列表界面主要功能如下:
· 展示设备所有备份,来源于配置备份任务以及上传的备份文件。
· 设置设备备份规格,告警等,单击<备份配置>按钮,弹出备份配置窗口,配置参数如下表所示。
表-24 备份设置参数表
|
参数 |
说明 |
|
最大备份规格 |
备份的最大数量 |
|
备份规格超出 |
备份数量超出备份规格后执行的动作 |
|
告警 |
是否告警 |
· 新建设备备份,单击<上传备份>按钮,弹出“上传备份”窗口,上传配置文件作为备份文件。
表-25 上传配置备份 参数表
|
参数 |
说明 |
|
备份文件 |
只支持.txt和.cfg格式文件 |
· 备份比对,任意选择两个备份文件,单击<比对>按钮,可对配置内容进行比对。
新建配置模板步骤如下:
1. 选择“策略中心 > 配置管理>模板管理”。
2. 在“配置模板管理”页面,单击<新建>按钮, 跳转至新建配置模板页面。
3. 新建配置模板的具体配置内容如下表所示。
表-26 新建配置模板参数表
|
参数 |
说明 |
|
名称 |
模板的名称 |
|
模板类型 |
配置模板类型。包括:配置片段、配置文件、开局配置 |
|
设备类型 |
设备类型,包括:防火墙、应用控制网关、态势感知、安全网关等 |
|
适配型号 |
配置模板适配的设备型号 |
|
模板内容 |
模板类型选择【配置片段】或【开局配置】时会出现此选项,可根据右侧提示自定义模板内容 |
|
文件 |
模板类型选择【配置文件】时出现此选项,选择配置模板的配置内容是否从文件导入,否则在输入框中填写 |
|
描述 |
配置的描述 |
4. 单击<确认>按钮,新建配置模板完成。
· 新建配置部署、配置备份、恢复初始配置任务时,为确保任务执行成功,请保持选中设备在任务执行时间内在线。
· 配置部署、恢复初始配置任务必须引用与设备型号适配的模板。
· 配置备份若选择周期执行,可选择持续时间,但是执行时间必须在设置的持续时间内。(如:执行时间为每月2号,持续时间段为3号至28号,则此任务不会被执行)。
· 设备离线时,无法查看当前配置,无法下载当前配置,页面表格中<配置详情>、<配置下载>按钮不可点击。
· 备份配置缺省最大规格为100,超出最大规格覆盖备份,不产生告警。
· 删除任务:状态为进行中的任务不可删除。
· 挂起任务:执行时间为立即,状态为已完成、进行中、挂起的任务不能挂起。
· 恢复任务:只能恢复状态为挂起的任务。
· 编辑任务:执行时间为立即、状态为已完成、进行中的任务不能编辑。
· 勾选设备,对其配置部署或恢复初始配置,模板始终没有可用模板?
首先检查有无适配所有勾选设备的配置模板(模板适配型号需包含所有勾选设备的型号)。
其次检查设备信息有无型号,设备刚添加后会等待约5分钟上报设备信息,待设备信息有型号才可选择可用模板。
· 勾选了多个备份记录,<比对>按钮无法点击?
因为比对只支持对两个备份记录进行比对,所以当勾选不足或超出两个时,<比对>按钮不可点击。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
