- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
20-ACL控制配置监控模式举例
本章节下载: 20-ACL控制配置监控模式举例 (833.34 KB)
本文档介绍了H3C SecPath GAP2000的监控模式配置举例,并通过ACL规则对访问进行控制。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文假设您已了解H3C SecPath GAP2000特性。
如图1所示,客户端代表内网允许访问的终端。服务器属于外网对内开放的服务器。部署网闸后,配置ACL控制规则,使得仅允许内网客户端可以访问到外网的服务器。
图1 H3C SecPath GAP2000 ACL控制配置举例组网图
· 配置网闸监控网卡,本次选择GE0/1
· 网闸内、外端配置ACL规则
本举例是在ESS 6702P02版本上进行配置和验证的。
通过网闸内端MAN管理口登录网闸,打开浏览器输入https://192.168.0.1,(MAN口为内端专用管理口)
系统管理员默认账号:admin;默认密码:adminh3c
安全管理员默认账号:secrecy;默认密码:secrecyh3c
图2 内端登录页面
点击<网络管理>-<监控模式配置>-<监控网卡选择>,勾选GE0/1为监控网卡。
图3 勾选监控网卡
勾选即保存成功。
通过网闸外端MAN管理口登录网闸,打开浏览器输入https://192.168.0.2,(MAN口为外端专用管理口)
系统管理员默认账号:admin;默认密码:adminh3c
安全管理员默认账号:secrecy;默认密码:secrecyh3c
图4 外端登录页面
点击<网络管理>-<监控模式配置>-<监控网卡选择>,勾选GE0/1为监控网卡。
图5 设置外端系统IP
勾选即保存成功。
监控模式使用的网卡,不会在其他任何业务网卡区显示;
如果在使用监控模式时,有网络风暴风险,请勾选STP功能进行规避。
该配置在安全管理员secrecy下操作,未添加规则时默认为全局允许。
点击<ACL控制>-<拒绝>,将全局控制设置为拒绝状态(内、外端均设置全局拒绝)。
图6 全局设置
点击<地址对象管理>-添加<地址对象>-类型选择IP段(右侧下拉箭头)
图7 地址对象
点击<添加规则>
图8 配置内端监控模式ACL规则控制
表1 ACL规则控制参数说明
|
参数 |
说明 |
|
名称 |
ACL控制规则的名称定义 |
|
模式选择 |
支持监控模式和路由模式两种选择 |
|
监控网卡 |
选择需要使用的网卡 |
|
协议类型 |
监控模式支持:TCP、UDP、OPC、ICMP |
|
动作 |
设置规则的动作为允许或者拒绝 |
|
地址输入方式切换 |
地址对象:地址对象管理添加的客户端地址集 地址:直接在下方输入客户端IP和掩码 |
|
客户端地址 |
规则内控制访问的客户端地址 |
|
客户端端口段 |
规则内控制访问的客户端端口或者端口段 |
|
目的地址 |
规则内控制访问的目的端地址 |
|
目的端口段 |
规则内控制访问的目的端口或者端口段 |
|
记录日志 |
可选是否记录ACL规则命中的日志 |
|
策略集 |
监控模式下ACL规则不支持策略集挂载 |
图9 勾选配置好的规则,点击启动按钮
图10 启用成功
普通应用只需要配置入口端ACL规则,不需要在出口侧配置反向ACL规则;
OPC应用需要两端分别配置ACL控制规则;
OPC应用只支持DA数据访问接口;
手动添加的ACL规则的优先级高于ACL全局规则的优先级;
手动添加的多条ACL规则,位置越靠前的优先级越高;
验证以应用访问结果为准
图11 建立监听服务
图12 源端连接成功截图
图13 服务端接收数据成功
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
