本帮助主要介绍以下内容:
对象组定义了一系列报文匹配规则,可以被其他业务模块等引用,作为匹配报文的条件。
对象组由一条或多条对象组成,每条对象定义了一个报文匹配规则。报文只要满足对象组中一条对象的匹配规则,则该报文匹配该对象组。
对象组分为以下几种:
IPv4地址对象组:包含IPv4地址对象,用于匹配报文中的IPv4地址。
IPv6地址对象组:包含IPv6地址对象,用于匹配报文中的IPv6地址。
MAC地址对象组:包含MAC地址对象,用于匹配报文中的MAC地址。
服务对象组:包含服务对象,用于匹配报文中的协议类型以及协议的特性(如TCP或UDP的源端口/目的端口、ICMP协议的消息类型/消息码等)。
为了简化配置,对象组还支持多级嵌套功能,即一个对象组可以引用另一个对象组,从而复用该对象组中的报文匹配规则。
包含了一些系统预定义的Internet服务,不支持用户自定义,设备可根据报文五元组查询对应的Internet服务,匹配对应的安全策略规则。在“Internet服务”界面可查看Internet服务对应的方向、每一条Internet服务内的总条目数以及被哪些安全策略引用。
本功能的支持情况与设备实际情况有关,请以设备实际情况为准。
时间段(Time Range)定义了一个时间范围。用户通过创建一个时间段并在某业务中将其引用,就可使该业务在此时间段定义的时间范围内生效。但如果一个业务所引用的时间段尚未配置或已被删除,该业务将不会生效。
在一个时间段中,可以使用以下两种方式定义时间范围:
周期时间段:表示以一周为周期(如每周一的8至12点)循环生效的时间段。
绝对时间段:表示在指定时间范围内(如2015年1月1日8点至2015年1月3日18点)生效的时间段。
每个时间段都以一个名称来标识,用户最多可创建1024个不同名称的时间段。一个时间段内可包含一或多个周期时间段(最多32个)和绝对时间段(最多12个),当一个时间段内包含有多个周期时间段和绝对时间段时,系统将先分别取各周期时间段的并集和各绝对时间段的并集,再取这两个并集的交集作为该时间段最终生效的时间范围。
NAT地址组由一个或多个IP地址段和端口范围组成,可以被NAT模块引用,用于NAT动态转换。
对于采用PAT模式的NAT动态转换,需要配置地址组成员和端口范围。此外,对于NAT444动态转换方案,还需配置端口块大小和增量端口块数。
对于采用NO-PAT模式的NAT动态转换,仅需配置地址组成员。
关于PAT模式与NO-PAT模式的详细介绍,请参见“NAT联机帮助”。
NAT地址组检测功能用于检测NAT地址组中地址的可用性,是通过在地址池中引用NQA模板来实现的,详细过程如下:
NAT地址组引用NQA探测模板后,设备会周期性的向NQA模板中指定的目的地址依次发送探测报文,其中探测报文的源IP地址是地址池中的IP地址。
若设备没有收到NQA探测应答报文,则将探测报文的源IP地址从地址池中排除,暂时禁止该IP地址用于地址转换。
被排除的IP地址还会继续作为探测报文的源IP地址对目的IP地址在下个探测周期进行探测,如果收到回应报文,则允许该IP地址重新用于地址转换。
AFT地址组由一个或多个IP地址段组成,可以被AFT模块引用,用于AFT动态转换。关于AFT的详细介绍,请参见“AFT联机帮助”。
AFT地址组的支持情况与设备型号有关,请以设备的实际情况为准。
还可以在AFT地址组中配置VRRP备份组,配置此功能后,所绑定VRRP备份组中的Master设备将使用虚拟IP地址和虚拟MAC地址响应ARP请求报文。在高可靠性组网环境中需要配置此功能。此功能的支持情况与设备型号有关,请以设备的实际情况为准。
地区包括预定义地区和自定义地区:
预定义地区:通过设备中的地区特征库定义,包括国家、省和城市,预定义地区中包含预设的IPv4地址。
自定义地区:用户手动创建的地区,可将对应的IP地址加入自定义地区中。
可以将具有相似特征的地区添加到一个地区组中。一个地区组,就是若干个地区的集合。如果报文被识别为属于某个地区,而该地区又属于某个地区组,则报文相当于被识别为属于某个地区组。基于地区的业务可以对属于同一个地区组的报文做统一处理。
在同一主机名对应多个IP地址的负载均衡场景中,DNS解析主机名获得的IP地址会在多个IP地址之间进行不断切换。缺省情况下,每次切换,对象组模块都会通告相关策略(如安全策略)变更IP地址,会造成相关策略频繁提交加速,大量耗费设备内存,此时可通过开启主机名对应IP地址的老化功能解决此问题。
开启DNS老化功能后,对象组针对每个主机名维护一个IP地址组。当通过DNS解析该主机名获得的IP地址不在该组内,会将新的IP地址添加至组内,并将该组新的IP地址范围告知相关策略;当获得的IP地址在该组内,则不会告知相关策略,并更新该IP地址的老化时间。若组内某个IP地址达到老化时间,则会将其从组内删除,并告知相关策略。从而减少相关策略加速次数,降低设备内存占用。
DNS老化功能的支持情况与设备型号有关,请以设备的实际情况为准。
域名地址查询功能可根据域名查找对应的IPv4地址和IPv6地址。在对象组中配置了域名后,可在此页面查看指定域名对应的IP地址。
查询结果有以下几种情况:
如果该域名解析到IP地址,将显示相应的IP地址。
如果该域名未被IP地址对象组正确引用或未建立域名和IP地址之间的对应关系,将显示“该域名未解析到IP地址”。
对象组的嵌套层次最大为5层,譬如对象组1、2、3、4分别引用对象组2、3、4、5,则对象组5不能再引用其他对象组,对象组1也不能再被其他对象组引用。
嵌套的对象组不能形成循环。
NAT地址组可以引用多个NQA探测模板。当引用多个NQA探测模板时,只要有一个NQA探测模板探测成功,则表示该地址可用于地址转换。
自定义地区名称不能与预定义地区名称相同。
不同自定义地区中手动添加的IPv4地址不允许重叠。
地区中的手动添加的IPv4地址允许与预定义地区中的预设IPv4地址重叠。当重叠时,预设IPv4地址不生效。
地区组的引用不能形成循环嵌套,譬如地区组a引用地区组b,则地区组b不能再引用地区组a。
地区组最大嵌套层次为3层,譬如地区组1、2分别引用地区组2、3,则地区组3不能再引用其他地区组,地区组1也不能再被其他地区组引用。
单击“对象 > 对象组 > IPv4地址对象组”。
在“IPv4地址对象组”页面单击<新建>按钮。
新建IPv4地址对象组。
表-1 新建IPv4地址对象组配置
参数 | 说明 |
对象组名称 | 对象组的名称,为1~63个字符的字符串,不区分大小写,且对象组的名称必须全局唯一 |
描述 | 对象组的描述信息,为1~127个字符的字符串,区分大小写 |
安全域 | 地址对象组所属的安全域 |
排除地址 | 地址对象组中排除的IPv4地址。只有在设置了全局排除地址时,地址对象组中排除的IPv4地址此参数才会显示。 |
单击<添加>按钮,进入添加对象页面,配置参数如下表所示。
表-2 添加对象配置
参数 | 说明 |
对象 | 添加对象的类型,包括:
|
排除地址 | 地址对象中排除的IPv4地址,该参数仅在“对象”参数为网段、IP地址范围、IP地址/通配符掩码时可选 |
描述 | 对象的描述信息,为1~127个字符的字符串,区分大小写 |
单击<确定>按钮,新建的IPv4地址对象组会在“IPv4地址对象组”页面显示。
单击“对象 > 对象组 > IPv6地址对象组”。
在“IPv6地址对象组”页面单击<新建>按钮。
新建IPv6地址对象组。
表-3 新建IPv6地址对象组配置
参数 | 说明 |
对象组名称 | 对象组的名称,为1~63个字符的字符串,不区分大小写,且对象组的名称必须全局唯一 |
描述 | 对象组的描述信息,为1~127个字符的字符串,区分大小写 |
安全域 | 地址对象组所属的安全域 |
排除地址 | 地址对象组中排除的IPv6地址。只有在设置了全局排除地址时,地址对象组中排除的IPv6地址此参数才会显示。 |
单击<添加>按钮,进入添加对象页面,配置参数如下表所示。
表-4 添加对象配置
参数 | 说明 |
对象 | 添加对象的类型,包括:
|
排除地址 | 地址对象中排除的IPv6地址,该参数仅在“对象”参数为网段、IP地址范围时可选 |
描述 | 对象的描述信息,为1~127个字符的字符串,区分大小写 |
单击<确定>按钮,新建的IPv6地址对象组会在“IPv6地址对象组”页面显示。
单击“对象 > 对象组 > MAC地址对象组”。
在“MAC地址对象组”页面单击<新建>按钮。
新建MAC地址对象组。
表-5 新建MAC地址对象组配置
说明 | |
对象组名称 | 对象组的名称,为1~63个字符的字符串,不区分大小写,且对象组的名称必须全局唯一 |
描述 | 对象组的描述信息,为1~127个字符的字符串,区分大小写 |
单击<添加>按钮,进入添加对象页面,配置参数如下表所示。
表-6 添加对象配置
参数 | 说明 |
类型 | 添加对象的类型,包括:
|
对象组 | 指定引用MAC地址对象组的名称,为1~63字符,不区分大小写,该参数仅在“类型”参数为对象组时可配置 |
MAC地址 | MAC地址,格式为HH-HH-HH-HH-HH-HH,该参数仅在“类型”参数为MAC地址时可配置 |
描述 | 对象的描述信息,为1~127个字符的字符串,区分大小写 |
单击<确定>按钮,新建的MAC地址对象组会在“MAC地址对象组”页面显示。
单击“对象 > 对象组 > 服务对象组”。
在“服务对象组”页面单击<新建>按钮。
新建服务对象组。
表-7 新建服务对象组配置
参数 | 说明 |
对象组名称 | 对象组的名称,为1~63个字符的字符串,不区分大小写,且对象组的名称必须全局唯一 |
描述 | 对象组的描述信息,为1~127个字符的字符串,区分大小写 |
单击<添加>按钮,进入添加对象页面,配置参数如下表所示。
表-8 添加对象配置
参数 | 说明 |
对象 | 添加对象的类型,包括:
|
类型 | 协议类型,包括:
|
协议号 | IP协议号,取值范围为0~255,仅在类型参数为“IP协议号”时可配置 |
消息类型 | ICMP/ICMPv6消息类型,取值范围为0~255,仅在类型参数为“ICMP”或“ICMPv6”时可配置 |
消息码 | ICMP/ICMPv6消息码,取值范围为0~255,仅在类型参数为“ICMP”或“ICMPv6”时,且消息类型已配置时才可配置 |
源端口 | 源端口地址范围,起始和终止端口号取值范围为0~65535,仅在类型参数为“TCP”、“UDP”、“SCTP”可配置 |
目的端口 | 目的端口地址范围,起始和终止端口号取值范围为0~65535,仅在类型参数为“TCP”、“UDP”、“SCTP”可配置 |
描述 | 对象的描述信息,为1~127个字符的字符串,区分大小写 |
单击<确定>按钮,新建的服务对象组会在“服务对象组”页面显示。
单击“对象 > 对象组 > 地区”。
在“地区””页面单击<新建>按钮。
新建地区。
表-9 新建地区配置
参数 | 说明 |
名称 | 表示地区的名称,为1~63个字符的字符串,不区分大小写,不能包含“-”字符 |
经度 | 表示地区的经度,取值范围为-180.00~180.00,单位为度。东经为正数,西经为负数 |
纬度 | 表示地区的纬度,取值范围为-90.00~90.00,单位为度。北纬为正数,南纬为负数 |
描述 | 地区的描述信息,为1~127个字符的字符串,区分大小写 |
IPv4地址 | 地区的IPv4地址配置可为单个IP地址或IP地址范围 |
单击<确定>按钮,新建的地区会在“地区”页面显示。
单击“对象 > 对象组 > NAT地址组”。
在“NAT地址组”页面单击<新建>按钮。
新建NAT地址组。
表-11 新建NAT地址组配置
参数 | 说明 |
地址组编号 | 表示地址组的编号 |
地址组名称 | 表示地址组的名称 |
地址组描述 | 表示地址组的描述信息 |
VRRP备份组 | 配置此功能后,所绑定VRRP备份组中的Master设备将使用虚拟IP地址和虚拟MAC地址响应ARP请求报文。在高可靠性组网环境中需要配置此功能。此功能不同设备的支持情况不同,请以设备Web页面的实际支持情况为准 |
端口范围 | 该NAT地址组内的所有公网IP地址可用于地址转换的端口都必须位于所指定的端口范围之内 |
端口块大小 | 表示分配端口块中所包含的端口数,当分配端口块中的端口资源耗尽(所有端口都被使用)时,如果对应的私网IP地址向公网发起新的连接,则无法从分配端口块中获取端口 |
增量端口块数 | 当分配端口块中的端口资源耗尽(所有端口都被使用)时,可以为对应的私网IP地址进行增量端口块分配 |
地址检测 | 此功能用于检测NAT地址组中地址的可用性,是通过在地址池中引用NQA模板来实现的。本功能仅对用于出方向地址转换的地址成员的可用性进行检测 |
地址组成员 | 对到达外部网络的数据报文进行地址转换时,报文的源地址将被转换为地址组成员中的某个地址 |
排除地址组成员 | 某些地址成员不能用做地址转换时,配置禁止用于地址转换的IP地址 |
单击<确定>按钮,完成NAT地址组配置。
单击“对象 > 对象组 > AFT地址组”。
在“AFT地址组”页面单击<新建>按钮。
新建AFT地址组。
表-12 新建AFT地址组配置
参数 | 说明 |
地址组编号 | 表示地址组的编号 |
VRRP备份组 | 配置此功能后,所绑定VRRP备份组中的Master设备将使用虚拟IP地址和虚拟MAC地址响应ARP请求报文。在高可靠性组网环境中需要配置此功能。此功能不同设备的支持情况不同,请以设备Web页面的实际支持情况为准 |
地址组成员 | 对到达外部网络的数据报文进行地址转换时,报文的源地址将被转换为地址组成员中的某个地址 |
单击<确定>按钮,完成AFT地址组配置。