- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
25-TCP应用层传输方向控制配置举例
本章节下载: 25-TCP应用层传输方向控制配置举例 (1.40 MB)
目 录
本文档介绍了H3C SecPath G9000-X-G系列多级安全互联交换平台(以下简称为平台)对TCP通道业务单向传输的配置举例。
在一些特殊业务场景中,比如电力行业,用户会要求应用层数据必须单向传输,然而其应用层协议却是基于TCP协议的,源端、目标端分别和平台前置、后置机需要建立TCP连接的。原有的TCP通道,在两边完成TCP三次握手后,是允许双向数据交换的,无法进行单向交换限制。为了解决这个问题ESS 6702P01引入了TCP通道策略功能。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。本文档中所配置举例中,HOST终端到前置机路由可达,服务器到平台后置机路由可达。
本文假设您已了解平台特性。
Host访问服务器HTTP server的,但仅做单向数据推送,返回数据要求拦截住。部署平台后,配置TCP通道,并设置TCP策略,仅允许源端向目标端推送数据,不允许反向拉取数据。
图1 TCP配置举例组网图
· 首先,确保HOST终端到前置机路由可达,后置机到服务器路由可达。
· 其次,配置前置机、后置机网络设置。
· 第三,添加TCP“数据传输方向”策略,在本案例中只允许推送数据,即正向传输数据。
· 配置前置机到目标服务器方向的TCP通道。并将策略关联到TCP通道上。
· 实现HOST终端通过平台的单向数据流传输
表1 业务梳理:
|
访问源IP (源端发起访问的主机地址) |
监听地址 (连接客户端侧的接口地址) |
连接地址 (连接服务器侧的接口地址) |
目的地址 (服务器域名) |
|
192.168.20.3/24 |
192.168.90.247 |
192.168.90.231 |
192.168.90.205 |
本举例是在ESS 6702P01版本上进行配置和验证的。
通过平台前置机MAN管理口登录平台,打开浏览器输入https://192.168.0.1,(MAN口为前置机专用管理口)
系统管理员默认账号:admin;默认密码:adminh3c
安全管理员默认账号:secrecy;默认密码:secrecyh3c
图2 前置机登录页面
点击“网络管理”>“IP地址管理”,选中GE0/0,点击“+”设置平台前置系统的IP。
图3 设置前置系统IP
图4 添加IP
设置完后点“保存”退出。
图5 IP设置完成
点击“网络管理”>“路由配置”添加前置机路由。
图6 添加路由
图7 添加GE0/0路由
图8 路由设置完成
通过平台后置机MAN管理口登录平台,打开浏览器输入https://192.168.0.2,(MAN口为后置机专用管理口)
系统管理员默认账号:admin;默认密码:adminh3c
安全管理员默认账号:secrecy;默认密码:secrecyh3c
图9 后置机登录页面
点击“网络管理”>“IP地址管理”,选中GE0/0,点击“+”设置平台后置系统的IP。
图10 设置后置系统IP
图11 添加IP
设置完后点“保存”退出。
图12 IP设置完成
该配置在前、后置系统的安全管理员secrecy下操作
登录前置机secrecy,点击“策略管理”>“TCP”,点击“+”添加数据传输方向策略集。
图13 添加TCP数据传输方向策略
自定义“数据传输方向”策略集“名称”,选择“白名单”,然后点“保存”。
图14 策略集设置
策略集生成后,勾选前方选项框,并点击下方“+”添加具体策略。
图15 添加策略
自定义策略“名称”,选择数据传输“方向”。
图16 策略设置
正向表示,只允许和访问方向相同的数据通过,即只允许推送数据;
反向表示,只允许和访问方向相反的数据通过,即只允许拉取数据。
结合本举例需求,应该选择“正向”。
点击“保存”后,完成策略集及其策略内容的配置。
图17 策略集、策略设置完成
在前置机的“通道管理”中,点击“+”添加TCP监听通道,并勾选传输方向策略。
表2 必填参数说明:
|
参数 |
说明 |
注意事项 |
|
通道ID |
由用户自定义一个1~2000的自然数,将两侧的监听通道和连接通道关联上,形成一条完整的转发规则。 |
前后置同一个应用的通道需要配置相同的ID。部分通道类型只有监听通道,没有连接通道。这类通道配置后,可能会导致两侧自增长的ID错位,后续通道保存前请谨慎核对。 |
|
类型 |
应用类型:配置应用时请选择对应协议类型 |
前后置同一个应用的协议类型必须一致 |
|
通道方向 |
监听通道指入口规则 连接通道指出口规则 |
本端靠近访问源,则选择监听通道 本端靠近访问目标,则选择连接通道 |
|
端口类型 |
选择单个端口或者多个端口 |
前后置同一个应用的端口类型必须一致 |
|
监听地址 |
映射IP和映射端口。监听地址是连接客户端侧的前后置接口地址。这2个参数用于入口规则监听通道上。当访问的请求,其目标IP、目标端口符合监听地址、监听端口时,受理其访问请求,转发到另一端上。 |
同一个监听IP和监听端口的组合只能对应一个服务 |
|
监听端口 |
图18 TCP监听通道
保存并启用TCP监听通道,完成配置。
图19 前置TCP监听通道配置完成
登录后置机secrecy,在“通道管理”中,点击“+”添加TCP连接通道。
表3 必填参数说明:
|
参数 |
说明 |
注意事项 |
|
通道ID |
由用户自定义一个1~2000的自然数,将两侧的监听通道和连接通道关联上,形成一条完整的转发规则。 |
前后置同一个应用的通道需要配置相同的ID。部分通道类型只有监听通道,没有连接通道。这类通道配置后,可能会导致两侧自增长的ID错位,后续通道保存前请谨慎核对。 |
|
类型 |
应用类型:配置应用时请选择对应协议类型 |
前后置同一个应用的协议类型必须一致 |
|
通道方向 |
监听通道指入口规则 连接通道指出口规则 |
靠近访问源,则选择监听通道 靠近访问目标,则选择连接通道 |
|
端口类型 |
选择单个端口或者多个端口 |
前后置同一个应用的端口类型必须一致 |
|
连接地址 |
出口地址即连接服务器侧的前后置接口地址,重新封装数据包时,会以此IP作为源地址发出。 |
选择连接IP,即选择出口地址。请确保出口地址到目标服务器路由可达。 |
|
目的地址 |
另一端实际服务器的IP地址 |
|
|
目的端口 |
另一端实际服务器的服务端口 |
|
图20 TCP连接通道
保存并启用TCP连接通道,完成配置
图21 后置机TCP连接通道配置完成
同一个应用,前置机和后置机的通道ID ,必须得保持一致
电力行业这些TCP应用,其上层协议也是基于HTTP的。所以我们可以从源端用浏览简单测试一下数据传输的单向性。
通过Host访问http://192.168.90.247,抓包查看TCP数据传输方向。
图22 客户端、服务端或平台上抓包验证
上图证明,源端的应用层get请求已经穿过平台,而服务端返回的消息却被拦截下来,证明TCP通道的单向传输性已经生效。
通常源端的应用程序不会提交GET请求,而是提交POST请求,直接上传数据。这里采用浏览器访问的方式,只是为了方便现场人员测试验证。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
