安全策略
本帮助主要介绍以下内容:
特性简介
安全策略基于报文的属性信息对报文进行转发控制和DPI(Deep Packet Inspection,深度报文检测)深度安全检测,有效识别和应对安全威胁。安全策略通过多种过滤条件(如源/目的安全域等)精确匹配报文的属性,并采取指定的动作对报文进行处理。安全策略广泛应用于企业网络和数据中心等场景,为网络的安全性提供全方位的保障。
图-1 安全策略示意图
安全策略的名称
设备上可以配置多个安全策略,每个策略均由名称和类型两类要素唯一标识。
安全策略的过滤条件
安全策略中可同时配置多种过滤条件,具体包括:源安全域、目的安全域、源IP/MAC地址、目的IP地址、源微分段、目的微分段、用户、应用、URL分类、终端、服务和时间段等。一条策略被匹配成功的条件是:策略中已配置的所有过滤条件必须均被匹配成功。
一类过滤条件中可以配置多个匹配项,比如一类过滤条件中可以指定多个目的安全域。一类过滤条件被匹配成功的条件是:过滤条件的任何一个匹配项被匹配成功即可。
安全策略的匹配顺序
设备上可以配置多个安全策略,设备缺省按照策略的创建顺序对报文进行匹配,先创建的先匹配。因此,首先需要将规划的所有策略按照“深度优先”的原则(即控制范围小的、条件细化的在前,范围大的在后)进行排序,然后按照此顺序配置每一个安全策略。
安全策略组
安全策略组可以实现对安全策略的批量操作,例如批量启用、禁用、删除和移动安全策略。将安全策略加入安全策略组时,会将指定范围内若干连续的安全策略加入同一个安全策略组。
只有当安全策略及其所属的安全策略组均处于启用状态时,安全策略才能生效。
安全策略自动部署
若用户首次部署设备,对网络流量或安全策略功能不够了解,无法配置合理的安全策略,此时可借助安全策略自动部署功能,自动完成安全策略配置。安全策略自动部署功能首先学习经过设备的业务流量,学习完成后,根据流量报文属性自动生成对应的安全策略,从而放行合法的业务流量。
策略导入导出功能
安全策略导入导出功能主要用于实现安全策略配置的快速迁移。
导出功能支持导出.cfg格式和.csv格式:
导出.cfg格式既可以一次性导出安全策略及其引用对象的配置;也可以单独导出某一具体模块的配置,导出后可在其他设备上导入以迁移安全策略配置。
导出.csv格式可以导出安全策略信息列表,导出后用于查看或本地留存,该格式不支持在设备上导入。
导入功能,以增量方式向当前配置文件中写入导入的配置,并会对重复的配置进行覆盖。导入过程中如果某条配置写入失败,则停止导入,且已成功写入的配置无法回退。导入文件的格式必须为.cfg。
移动安全策略功能
移动安全策略可用于调整安全策略的顺序,从而改变安全策略匹配的优先级,也可将某个安全策略移动到其他某个安全策略组里。移动安全策略支持两种方式:
通过<移动>按钮进行移动
选中待移动的安全策略,然后单击<移动>按钮,选择移动的位置即可。
通过拖拽方式进行移动
在安全策略列表中直接拖拽待移动的安全策略至左侧的安全策略组中,可将该安全策略移动至目标安全策略组中最后的位置;也可拖拽左侧安全策略组至其他组之前或者之后。
安全业务管理平台下发安全策略
当设备被安全业务管理平台纳管后,安全业务管理平台可向设备下发安全策略。设备安全策略页面中橙色底纹或绿色底纹的安全策略即安全业务管理平台下发的策略。橙色底纹的安全策略匹配优先级高于本地配置的安全策略;绿色底纹的安全策略匹配优先级低于本地配置的安全策略。
缺省策略配置记录日志功能
用户可以通过配置安全策略来处理业务流量,并通过开启记录日志功能生成日志。另外,当业务流量未经过安全策略处理时,可以通过缺省策略配置记录日志功能生成日志。通过同时开启这两个功能,可以确保所有业务流量经过设备时都会生成相应的日志。
流量日志
流量日志包括流量开始日志、流量结束日志和流量拒绝日志。
流量开始和结束日志适用于需要精确记录每个网络会话信息的场合,如金融机构、政府部门和大型企业的网络安全管理。它允许设备在会话建立时和结束时产生日志,记录关键流量信息。其中,对于流量开始日志,当流量匹配的安全策略变更时也会发送流量日志。
流量拒绝日志则用于记录因安全策略或其他原因被阻断的流量信息,适用于需要详细审计丢包原因的场景,便于排查网络问题、加强安全防护。
当安全策略动作为允许时,支持记录流量开始日志和流量结束日志;当安全策略动作为拒绝时支持记录流量拒绝日志。
流量日志中涵盖了大部分安全策略日志的内容,为避免产生不必要的重复日志及其带来的额外数据处理负担,建议仅开启流量日志。
vSystem相关说明
非缺省vSystem对于本特性的支持情况,请以页面的实际显示为准。
使用限制和注意事项
配置安全策略
安全策略只支持在相同IP类型的策略之间进行移动。
新建安全策略时,会将该策略放在相同IP类型策略的下面。
安全策略引用的地址对象组和服务对象组内容为空时,则此安全策略不会与任何报文匹配成功。有关对象组的详细介绍请参见“对象组联机帮助”。
安全策略中配置的会话老化时间优先级高于会话老化时间设置中配置的会话老化时间。
在跨VLAN模式Bridge转发的应用场景中,策略匹配统计功能仅统计安全策略和内容安全丢弃的报文,不统计安全策略和内容安全允许通过的报文。
源MAC地址过滤条件仅IPv4类型的安全策略支持。
配置策略组
配置策略所属的策略组后,其会被添加到该策略组的最后位置。
删除策略所属的策略组属性时:若该策略是原策略组的起始策略,则此策略会放在策略组的前面。若其位于原策略组的其他位置,则此策略会放在策略组的后面。
不允许移动空策略组,也不允许将策略组移动至空策略组前后。
不允许将策略组移动至其他策略组的起始策略后/结束策略前以及中间策略前后。
移动策略到其他策略组的策略前后,其会自动加入该策略组。
策略导入导出功能
设备仅支持导出自定义应用、自定义终端和自定义安全域,不支持导出预定义的应用、终端和安全域。
设备仅支持对导出的配置进行导入。
导出安全域和VRF时,只导出安全域或VRF的配置,不导出其与接口的绑定关系。因此,导入安全域或VRF配置后,请继续配置其与接口的绑定关系。
导出安全策略时,只导出安全策略的配置,不导出安全策略引用对象的具体配置。
同一时刻只允许一个用户进行导入导出操作。
安全业务管理平台下发安全策略
当设备处理被安全业务管理平台纳管状态时,安全管理平台下发的安全策略不允许在设备Web页面中编辑;仅当设备处于脱管状态时,这部分安全策略才可被编辑。
安全业务管理平台向设备下发安全策略时可指定下发在设备本地安全策略之前或之后,所以安全策略根据位置可分为三类:本地策略之前、本地策略、本地策略之后。当对某个安全策略执行移动操作时,仅可在本类位置范围内移动,即不可将本地策略之后的安全策略移动至本地策略中或本地策略之前。
导入导出安全策略功能仅支持设备本地的安全策略,无法导入或导出安全业务管理平台下发的安全策略。
配置指南
配置思路
安全策略功能的配置思路如下图所示:
配置准备
在配置安全策略之前,需要完成以下任务:
配置接口IP地址。接口在“网络 > 接口与VRF > 接口”页面配置。
配置路由,保证路由可达。路由在“网络 > 路由”页面配置。
创建安全域。安全域在“网络 > 安全域”页面配置。
配置接口加入安全域。可在安全域页面添加接口,也可在接口页面选择接口所属的安全域。
安全策略自动部署
当用户首次部署设备,对网络流量或安全策略功能不够了解,无法配置合理的安全策略时,可借助安全策略自动部署功能,自动完成安全策略配置。安全策略自动部署功能首先学习经过设备的业务流量,学习完成后,根据流量报文属性自动生成对应的安全策略,从而放行合法的业务流量。
选择“策略 > 安全策略”。
在“安全策略”页面单击<自动部署>按钮,进入“策略自动部署”页面。
图-3 自动部署功能
图-4 策略自动部署页面
单击<开始学习>按钮,进入“配置自动部署参数”页面。
图-5 配置自动部署参数页面
配置自动部署参数,具体配置内容如下表所示:
表-1 自动部署参数表
参数
说明
学习时长
表示学习流量的时间长度
接入外网的安全域
表示设备接入外网的接口所属的安全域
接入服务器的安全域
表示设备接入内网服务器的接口所属的安全域
高级设置
表示是否配置安全策略聚合参数,包括:
IPv4地址聚合的掩码长度
IPv6地址聚合的前缀长度
IPv4地址聚合的掩码长度
表示学习记录将源/目的IPv4地址聚合的掩码长度
IPv6地址聚合的前缀长度
表示学习记录将源/目的IPv6地址聚合的前缀长度
(可选)单击高级设置右侧的滑钮,配置自动部署高级设置。
为了精简安全策略的配置,设备在学习完成经过设备的业务流量后,可根据用户配置的自动聚合掩码长度/前缀长度进行智能聚合。具体内容如下:
表-2 自动部署高级设置参数说明
参数
说明
IPv4地址聚合的掩码长度
设备在聚合源或目的IPv4地址时,将按照此掩码长度进行聚合
IPv6地址聚合的前缀长度
设备在聚合源或目的IPv6地址时,将按照此前缀长度进行聚合
单击<确定>按钮,自动部署参数配置完成。
单击<开始学习>按钮,设备将开始学习流量报文,此时尽可能让设备转发所有合法的业务流量报文。
学习完成后,勾选学习记录,单击<生成策略>按钮,完成安全策略自动部署。
安全策略放行或阻断特定流量
如果管理员需要对特定的流量进行阻断或者放行时,可通过在安全策略中设置过滤条件来限定处理范围,并指定相应的处理动作。具体配置步骤如下:
选择“策略 > 安全策略”。
在“安全策略”页面单击<新建>按钮,进入“新建安全策略”页面。
图-6 新建安全策略
配置安全策略基础参数,具体配置内容如下表所示:
参数
说明
名称
用于唯一标识安全策略,同一类型安全策略的名称不能相同,默认系统会对此安全策略进行自动命名,管理员也可手动命名便于快速识别出策略
类型
表示安全策略匹配的报文类型,包括IPv4和IPv6,系统支持在一条安全策略中同时配置IPv4和IPv6地址
配置安全策略过滤条件。
通过设置过滤条件,可对安全策略处理报文的范围进行限制,若不设置过滤条件,则安全策略会对所有流经设备的报文都进行处理。具体内容如下表所示:
参数
说明
源安全域
表示安全策略仅对来自特定安全域的报文进行处理。例如,当组网环境中需要放行Trust安全域中的内网用户访问DMZ域的内网服务器时,需要将源安全域配置为Trust,目的安全域配置为DMZ,放行该域间的报文
目的安全域
表示安全策略仅对发往特定安全域的报文进行处理。例如,当组网环境中允许Trust安全域中的内网用户访问设备本地时,需要将目的安全域配置为Local,源安全域配置为Trust,放行该域间的报文
源地址
表示安全策略仅对来自特定地址对象组、IP/MAC地址、地区或微分段的报文进行处理。例如,当组网环境中不允许内网地址访问外网时,可将内网地址设置为源地址,阻断匹配该地址访的报文
其中,源MAC地址对象组过滤条件仅IPv4类型的安全策略支持
源地区、源地区组、源IP地址与源MAC地址匹配一项即认为匹配成功
用户
表示安全策略仅对特定身份识别用户的报文进行处理。例如,当组网环境中不允许特定的用户访问内部资源时,可将特定用户设置为过滤条件,阻断匹配该用户的报文
其中,用户与用户组匹配一项即认为匹配成功
目的地址
表示安全策略仅对发往特定IP地址对象组、IP地址、地区或微分段的报文进行处理。例如,当组网环境中仅允许外网用户访问特定的内网地址时,可将内网地址设置为目的地址,放行匹配该地址的报文
其中,目的地区、目的地区组、目的IP地址匹配一项即认为匹配成功
时间段
配置安全策略生效的时间段
例如,组网环境中仅允许用户在工作时间内访问内网服务器时,可配置时间段为工作时间,放行匹配该时间段的报文
服务
表示安全策略仅对特定服务对象组和协议/端口号的报文进行处理
应用
表示安全策略仅对特定应用或应用组的报文进行处理。例如,当组网环境中不允许内网用户访问特定的应用时,可将特定的应用设置为过滤条件,阻断匹配该应用的报文
其中,应用与应用组匹配一项即认为匹配成功
URL分类
表示安全策略仅对特定URL分类的报文进行处理。例如,当组网环境中不允许内网用户访问特定的URL分类时,可将特定的URL分类设置为过滤条件,阻断匹配该URL分类的报文
动作
安全策略动作包括如下:
允许:表示对符合安全策略过滤条件的报文进行允许通过处理
拒绝:表示对符合安全策略过滤条件的报文进行阻断处理
启用策略
选择开启后,此安全策略才能生效
终端
配置终端或终端组作为安全策略的过滤条件
入接口VRF
配置入接口VPN实例作为安全策略的过滤条件,勾选“任意VRF”表示匹配所有入接口VPN实例
其中,终端和入接口VRF需要在“其它”下拉框中配置。
图-8 终端和入接口VRF过滤条件
配置安全策略动作,如需对匹配安全策略过滤条件的报文进行阻断,则动作配置为拒绝;否则,动作配置为允许。
启用安全策略,使安全策略配置生效。
(可选)配置安全策略扩展参数,具体内容如下所示:
图-9 安全策略扩展参数
表-5 安全策略扩展参数说明
参数
说明
所属策略组
配置当前新建的策略所属的策略组。当需要通过策略组批量管理安全策略时,可将策略添加到指定的策略组进行统一管理
描述信息
通过配置描述信息,便于管理员快速理解和识别此安全策略的作用
记录日志
开启记录日志功能后,对符合安全策略过滤条件的报文记录日志信息
记录流量日志-流量开始日志
开启本功能后,设备会在会话表创建或匹配的安全策略变更时生成并发送流量日志
仅当安全策略动作为允许时,支持记录流量开始日志
记录流量日志-流量结束日志
开启本功能后,设备会在删除会话表时生成并发送流量日志
如果未配置本功能,设备是否输出流量日志由全局流量日志输出功能控制(全局流量日志输出功能,需要在“系统 > 日志设置 > 日志管理”界面开启),即如果开启了全局流量日志输出功能,则设备会在删除会话表时生成并发送流量日志;如果未开启全局流量日志输出功能,则设备不发送流量日志
仅当安全策略动作为允许时,支持记录流量结束日志
记录流量日志-流量拒绝日志
开启本功能后,设备会在安全策略阻断流量时生成并发送流量日志
仅当安全策略动作为拒绝时支持记录流量拒绝日志
开启策略匹配统计
开启此功能后,对符合安全策略过滤条件的报文进行数据统计,并可指定统计时长,取值包括:
永久
自定义
会话老化时间
会话老化时间用于及时清理长时间未活动的会话表项。当会话达到指定的老化时间时,设备将删除该会话表项,以节约系统资源并维持网络设备的高效运行和稳定
若安全策略策略中未配置会话老化时间,则该会话基于会话管理模块中配置的老化时间进行老化
长连接老化时间
长连接老化时间用于处理某些特殊业务(如FTP文件下载或数据库查询)中两个连续报文间隔很长的情况,通过设定超长的老化时间确保这些会话信息长时间不被清理,以保障业务的正常运行,同时避免其他不需要如此长老化时间的会话占用系统资源
若安全策略中未配置长连接老化时间,则该长连接会话基于会话管理模块中配置的长连接老化时间进行老化
策略冗余分析
策略冗余分析可以通过分析安全策略中的过滤条件识别出冗余的策略,从而达到精简策略的目的。开启本功能后,新建的安全策略可添加到策略冗余分析页面的分析列表中,设备将对列表中的安全策略进行冗余分析
学习
开启学习功能后,设备将对匹配安全策略的报文进行学习并记录,管理员可通过学习结果分析制定更精细化的安全策略。
单击<确定>按钮,新建安全策略成功,并会在安全策略页面中显示。
安全策略对特定流量进行DPI深度安全检测
当管理员需要对特定的流量进行DPI深度安全检测时,可通过配置过滤条件限定安全策略处理范围,并引用安全配置文件进行相应的业务处理。例如,当需要对特定安全域之间的流量进行应用层攻击检测和防御时,可通过在安全策略中配置源、目的安全域过滤条件,并引用入侵防御配置文件实现。
新建安全策略,配置基础参数和过滤条件。具体配置步骤请参见“
安全策略放行或阻断特定流量 ”章节。动作配置为允许,并在“内容安全”区域引用指定的安全配置文件。
通过引用特定的配置文件,可进行相应业务的处理。安全策略支持同时引用多个业务配置文件进行检测,但每个业务仅支持引用一个配置文件。具体内容如下所示:
图-10 安全策略引用安全配置文件
表-6 安全策略引用安全配置文件参数说明
参数
说明
Web应用防护配置文件
通过引用此配置文件,可对匹配安全策略的流量进行Web应用防护业务检测
Web应用防护业务可对Web攻击进行防御,实时阻断非法的请求,实现对Web服务器的有效防护
本参数的支持情况,请以设备实际情况为准。
入侵防御配置文件
通过引用此配置文件,可对匹配安全策略的流量进行入侵防御业务检测
入侵防御业务可实时检测入侵行为,例如木马、蠕虫等,并通过一定的响应动作来阻断入侵行为,实现保护企业信息系统和网络免遭攻击的目的
数据过滤配置文件
通过引用此配置文件,可对对匹配安全策略的流量进行数据过滤业务检测
数据过滤业务可对应用层协议报文中携带的内容进行过滤,以防止企业机密信息泄露、阻止非法和敏感信息的传播
文件过滤配置文件
通过引用此配置文件,可对匹配安全策略的流量进行文件过滤业务检测
文件过滤业务可根据文件类型对设备传输的文件进行过滤,可批量允许或阻断特定类型文件传输
防病毒配置文件
通过引用此配置文件,可对匹配安全策略的流量进行防病毒业务检测
防病毒业务可通过对报文应用层信息进行检测来识别和处理病毒报文,防止病毒在网络中的传播,有效保护网络安全
URL过滤配置文件
通过引用此配置文件,可对匹配安全策略的流量进行URL过滤业务检测
URL过滤可以对用户的URL请求进行访问控制,允许或禁止用户访问某些网页资源,达到规范上网行为的目的
APT防御配置文件
通过引用此配置文件,可对匹配安全策略的流量进行APT防御业务检测
设备通过与沙箱进行联动,将流量送入沙箱进行隔离分析,并根据沙箱返回的检测结果对流量实施阻断等处理,防止内网遭到APT攻击。APT防御配置文件中可以配置上送沙箱检测的文件需要符合的条件
启用安全策略,使安全策略配置生效。
单击<确定>按钮,新建安全策略成功,可到安全策略页面中进行查看。
安全策略组批量管理安全策略
安全策略组可以实现对安全策略的批量操作,例如批量启用、禁用、删除和移动安全策略。
新建安全策略组
选择“策略 > 安全策略”。
在“安全策略”页面单击<新建>按钮,选择新建策略组,进入“新建安全策略组”页面。
图-11 新建安全策略组
新建安全策略组,具体配置内容如下表所示:
表-7 安全策略组配置参数表
参数
说明
名称
表示安全策略组的名称
描述信息
通过配置描述信息,便于管理员快速理解和识别此安全策略组的作用
类型
表示将哪种类型的安全策略加入安全策略组,安全策略包括IPv4和IPv6两种类型
开始策略
表示加入安全策略组策略的起始策略的名称
将安全策略加入安全策略组时,起始策略要在结束策略前面,并且起始策略和结束策略之间的策略不能属于其他安全策略组。
结束策略
表示加入安全策略组策略的结束策略的名称
单击<确定>按钮,新建安全策略组成功,并会在安全策略页面中显示。
批量管理安全策略
在“安全策略”页面,单击安全策略组列表右侧的<启用/禁用>、<移动>和<删除>按钮,批量启用/禁用安全策略、批量移动安全策略的位置以及批量删除安全策略。
图-12 批量管理安全策略
