30 元
下载资源

E8000E-X策略特性介绍

上传人:c****d 文档编号:243122458 上传时间:2024-09-16 格式:PPT 页数:28 大小:576KB
返回 下载 相关 举报
E8000E-X策略特性介绍_第1页
第1页 / 共28页
E8000E-X策略特性介绍_第2页
第2页 / 共28页
E8000E-X策略特性介绍_第3页
第3页 / 共28页
点击查看更多>>
资源描述
单击此处编辑母版标题样式,HUAWEI TECHNOLOGIES CO., LTD.,Page,*,单击此处编辑母版文本样式,单击此处编辑母版文本样式,单击此处编辑母版文本样式,单击此处编辑母版文本样式,HUAWEI Confidential,谢谢,HUAWEI TECHNOLOGIES CO., LTD.,HUAWEI Confidential,Security Level:,单击此处编辑母版标题样式,单击此处编辑母版文本样式,单击此处编辑母版文本样式,单击此处编辑母版文本样式,单击此处编辑母版文本样式,单击此处编辑母版标题样式,单击此处编辑母版文本样式,单击此处编辑母版文本样式,单击此处编辑母版文本样式,单击此处编辑母版文本样式,Page,*,E8000E-X Policy,特性介绍,Page,2,内容介绍,第,1,章 策略特性介绍,第,2,章 安全策略介绍及配置,第,3,章,NAT,策略介绍及配置,第,4,章 审计策略介绍及配置,第,5,章 限流策略介绍及配置,Page,3,策略特性介绍,策略化的特性包括安全策略、,NAT,策略、审计策略及限流策略,分别对应,V2R1,版本的包过滤、,NAT,、,Session log,、,Ipcar,特性。在数据面查询的位置是不变的,主要是配置方式的变化。,包过滤、,NAT,、,Session log,、,Ipcar,之前的配置方式都是采用,ACL,定义过滤规则, 然后将,ACL,应用于不同区域之间。策略化以后这四个特性不再使用,acl,配置过滤规则,而是直接在各个特性的视图下单独配置规则。,策略配置与ACL配置区别,3000,类,ACL,规则举例,POLICY,规则举例,样例,acl number 3000,rule 0 permit tcp source address-set src destination 1.1.1.1 0 precedence 1 tos 1 logging,策略配置中将各个属性分开来配置,Permit -, action,Source - policy source,Destination policy destination,等,policy 0,action,(,不同的策略会不同,),policy service service-set tcp,policy source address-set src,policy destination 1.1.1.1 0,policy time-range all,policy precedence 1,policy tos 1,policy logging,规则号的转换,rule 0,policy 0,策略配置简介,策略,(,policy,),能够通过指定报文的源地址、目的地址、端口号、上层协议等信息组合定义网络中的数据流,是安全策略,(,Policy,),、,NAT,策略,(,NAT-policy,),、审计策略,(,Audit-policy,),、限流策略,(,Car-policy,),的基础。,policy policyid ,action,(不同的策略会不同),policy service service-set STRING &,policy source srcip wildcard | 0 | mask masklen | mask | address- set STRING & | range startip endip ,policy destination dstip wildcard | 0 | mask masklen | mask | address-set STRING & | range startip endip ,policy precedence | tos | time-range *,配置策略的动作,不用策略对应不同的动作,如,policy,为,permit/deny,,,nat,为,source-nat/no-nat,配置服务,包括协议,源,端口和目的端口,配置源,ip,地址,配置目的,ip,地址,配置其他属性,此外:,安全策略还可以配置:,Policy logging,NAT,策略要配置地址池或静态映射:,address-group INTEGER | STRING ,,,static-mapping INTEGER,限流策略要配置,car-class STRING,策略,id,策略配置与ACL配置区别,策略特征:,(,1,)支持地址、服务的多选操作,(,2,)源地址、目的地址支持掩码格式,反掩码格式,范围地址格式,(,3,)只存在服务,服务分三类:预定义服务、自定义服务、服务组,(,4,)支持使能、去使能状态;支持移动;支持复制。,(,5,)只能在单个域间或安全域生效;,(,6,)对于安全策略、审计策略配置了动作该策略才生效,才会进行规则匹配;对于,NAT,策略必须配置了地址池和动作才生效,限流策略必须配置限流类和动作。,ACL,特征:,(,1,)只支持配置单个地址、服务,(,2,)源地址、目的地址只支持反掩码格式(反掩码可不连续),(,3,)服务、,TCP/UDP,端口,/,端口集、,ICMP type,和,code,、其他协议,(,4,)不支持使能、去使能状态;不支持移动,不支持复制,(,5,),ACL,规则与应用无关,不指定,ASPF,,,LONG-LINK,,,NAT,(,6,),ACL,能被多次引用,可以在多个域间被引用,策略的相关概念,地址集,地址集,(,Ip address-set,),用于将零散的,IP,地址或,IP,段归类命名,提高了,IP,地址管理的层次性。策略支持引用地址集合,简化了配置、同时增加可读性和可维护性。,地址集支持地址对象和地址组两种,地址对象只能配置地址,地址组可以配置地址,还可以配置地址对象和地址组。,ip address-set yidong1 type object,address 0 3.3.3.3 0,address 1 3.3.3.4 0,ip address-set yidong type group,address 0 3.3.3.5 0,address 1 address-set yidong1,地址对象规格为,8192,,每个地址对象可以配置,1024,个元素。,地址组规格为,8192,,每个地址组可以配置,256,个元素。,策略的相关概念,服务集,服务集,(,Ip service-set,)取代了之前的端口集,,用于将协议、源端口和目的端口组合归类命名。策略支持引用服务集合,简化了配置、同时增加可读性和可维护性。,服务集支持服务对象和服务组两种,服务对象只能配置服务元素,服务组只能配置服务对象。,ip service-set yidong1 type object,service 0 protocol udp source-port 400 destination-port 5000,service 1 protocol tcp source-port 500 destination-port 400,ip service-set yidong type group,service 0 3.3.3.5 0,service 1 service-set yidong1,服务对象规格为,8192,,每个地址对象可以配置,64,个元素。,地址组规格为,8192,,每个地址组可以配置,16,个元素。,策略的相关概念,服务集,预定义服务集,(,predefined-service,),不用用户自己定义,系统定义好的一些服务,用户不能修改,通常是知名协议。,display predefined-service,16:10:50 2013/04/08,http tcp/80,telnet tcp/23,ftp tcp/21,ras udp/1719,dns udp/53,rtsp tcp or udp/554,ils tcp/1002 or 389,各策略特性配置举例,样例:以,trust,和,untrust,域间为例,acl number 3000,rule 0 permit tcp source 3.3.3.3 0 destination 2.2.2.2 0,包过滤,:,Firewall interzone trust untrust,Packet-filter 3000 inbound,安全策略,policy interzone trust untrust inbound,policy 0,action,permit,policy service service-set tcp,policy source 3.3.3.3 0,policy destination 2.2.2.2 0,NAT:,Firewall interzone trust untrust,nat outbound 3000 address-group 10,NAT,策略,nat-policy interzone trust untrust outbound,policy 0,action,source-nat,policy service service-set tcp,policy source 3.3.3.3 0,policy destination 2.2.2.2 0,address-group 10,各策略特性配置举例,样例:以,trust,和,untrust,域间为例,Session log:,Firewall interzone trust untrust,session log enable acl-number 3000 inbound,审计策略,audit-policy interzone trust untrust inbound,policy 0,action,audit,policy service service-set tcp,policy source 3.3.3.3 0,policy destination 2.2.2.2 0,ipcar:,Firewall zone trust,ip-car,3000, class,class-number,|,session-limit,session-num,|,session-rate-limit,session-rate-num,限流策略,car-policy zone trust,policy 0,action,car,policy service service-set tcp,policy source 3.3.3.3 0,policy destination 2.2.2.2 0,car-class test,策略匹配顺序,策略采用顺序匹配原则,按照用户配置规则的先后顺序进行匹配,显示的顺序即为策略的匹配顺序,前面的优先级高。,以安全策略为例,,数据流一旦与一条规则匹配成功,将不再继续向下匹配,policy interzone trust untrust inbound,policy 0,action permit,policy service service-set udp,policy source 3.3.3.3 0,policy destination 2.2.2.2 0,policy 1,action deny,policy source 3.3.3.4 0,policy 5,action permit,策略支持调整功能,策略启用与禁用,配置策略后默认是启用的,可以通过下面命令启用或禁用一条策略,policy,policy-id, enable | disable ,,,策略移动,将策略,1,移动到策略,2,之前或之后,从而调整策略匹配优先级,policy move policy-id1 before | after policy-id2,策略复制,复制生成一个与指定策略完全相同的新策略。,policy copy policy-id policy-new-id ,策略的查询,V3R1,不支持硬件,tcam,查询,,ACL,及策略查找全部采用软件查询。,查询结构:所有,ACL,和,policy,的规则生成一个查询结构。,修改、添加、删除规则,或是修改地址集、服务集都需要重新生成查询结构。,生成查询结构有两种方法:,1,,自动生成,配置完毕后,1,分钟会构建生成查询结构。,2,,手动使能生成,执行命令,acl accelerate enable,会立即构建查询结构。,注意:在查询结构生成之前新配置的规则不能生效。,Page,15,内容介绍,第,1,章 策略特性介绍,第,2,章 安全策略介绍与配置,第,3,章,NAT,策略介绍及配置,第,4,章 审计策略介绍及配置,第,5,章 限流策略介绍及配置,安全策略介绍,安全策略,即包过滤,作为一种网络安全保护机制,用于控制在两个不同安全级别网络之间数据的流入和流出,是防火墙安全功能的重要组成部分。安全策略支持域间和域内配置。,为了实现安全策略功能,需要配置一系列的过滤规则,当报文在两个安全区域之间流动时,防火墙的安全策略功能生效,Internet,公司总部,内部网络,未授权用户,办事处,安全策略的配置,安全策略配置方式与老的包过滤不同,但是功能完全相同。,老的包过滤是用,acl,来配置的,例如,:,Advanced ACL 3322, 2 rules,not binding with vpn-instance,Acls step is 5,rule 5 permit udp source 3.3.3.3 0 destination 2.2.2.2 0,rule 10 deny,Firewall interzne trust untrust,packet-filter 3322 inbound,安全策略配置如下:,policy interzone trust untrust inbound,policy 0,action permit,policy service service-set udp,policy source 3.3.3.3 0,policy destination 2.2.2.2 0,policy 1,action deny,安全策略和域间缺省包过滤的关系,防火墙任意两个安全区域之间都存在,缺省包过滤,,也就是说可以用域间默认包过滤就可以实现简单的访问控制。如果域间缺省包过滤是打开的,那么可以从配置中看到:,firewall packet-filter default permit interzone local trust direction inbound,firewall packet-filter default permit interzone local trust direction outbound,如果域间默认包过滤是关闭的,那么配置中就不显示任何信息。在未做任何配置的情况下,防火墙默认 保留区域之间的默认包过滤是打开的。,安全策略要,优先于,域间缺省包过滤:,安全策略举例,域间默认包过滤都关闭,并在域间配置如下安全策略,trust,untrust,outbound,inbound,2.2.2.2,A,B,只有,udp,的报文可以通过,可以访问所有资源,policy interzone trust untrust inbound,policy 0,action permit,policy service service-set udp,policy source 3.3.3.3 0,policy destination 2.2.2.2 0,policy 1,action deny,Policy interzone trust untrust outbound,Policy 0,action permit,3.3.3.3,Page,20,内容介绍,第,1,章 策略特性介绍,第,2,章 安全策略介绍与配置,第,3,章,NAT,策略介绍与配置,第,4,章 审计策略介绍及配置,第,5,章 限流策略介绍及配置,NAT策略介绍,NAT,(,Network Address Translation,,网络地址转换)是将,IP,数据报报头中的,IP,地址转换为另一个,IP,地址的过程。在实际应用中,,NAT,主要用于实现私有网络访问外部网络的功能。这种通过使用少量的公有,IP,地址代表较多的私有,IP,地址的方式,将有助于减缓可用,IP,地址空间枯竭的速度。,NAT,策略支持域间和域内配置。,NAT策略的配置,NAT,策略配置方式与老的,NAT,不同,但是功能完全相同。,老的,NAT,是用,acl,来配置的,例如,:,Advanced ACL 3322, 2 rules,not binding with vpn-instance,Acls step is 5,rule 5 permit udp source 3.3.3.3 0 destination 2.2.2.2 0,rule 10 deny,Firewall interzne trust untrust,nat inbound 3322 address-group 10,NAT,策略配置如下:,nat-policy interzone trust untrust inbound,policy 0,action permit,policy service service-set udp,policy source 3.3.3.3 0,policy destination 2.2.2.2 0,address-group 10,policy 1,action deny,Page,23,NAT,转换过程,NAT,网关处于私有网络和公有网络的连接处。当内部,PC,(,192.168.1.3,)向外部服务器(,202.120.10.2,)发送,packet 1,时,数据报通过,NAT,网关,NAT,网关查看报头内容,发现该数据报是发往外网的,那么它将,packet 1,的源地址字段的私有地址,192.168.1.3,换成一个可在,Internet,上选路的公有地址,202.169.10.1,,并将该数据报发送到外部服务器,同时在,NAT,网关的网络地址转换表中记录这一映射,外部服务器给内部,PC,发送应答报文,packet 2,(其初始目的地址为,202.169.10.1,),到达,NAT,网关后,,NAT,网关再次查看报头内容,然后查找当前网络地址转换表的记录,用原来的内部,PC,的私有地址,192.168.1.3,替换目的地址,Page,24,NAT,策略配置举例,首先配置地址池:,配置公网地址池。,nat address-group 10,Section 202.169.10.1,配置域间,NAT,策略:,nat-policy interzone trust untrust outbound,policy 0,action source-nat,policy source 192.168.1.3 0,policy destination 202.120.10.2 0,address-group 10,policy 1,action no-nat,Page,25,内容介绍,第,1,章 策略特性介绍,第,2,章 安全策略介绍与配置,第,3,章,NAT,策略介绍与配置,第,4,章 审计策略介绍与配置,第,5,章 限流策略介绍及配置,审计策略介绍及配置,审计策略,(,Audit-policy,),实现的是会话日志,(,session log,),的功能。在审计策略中配置策略规则,命中其中规则的流量会向日志服务器发送会话日志。审计策略支持域间和域内配置。,配置域间审计策略,audit-policy interzone trust untrust outbound,policy 0,action audit,policy source 192.168.1.2 0,policy destination 202.120.10.2 0,policy 1,action no-audit,Page,27,内容介绍,第,1,章 策略特性介绍,第,2,章 安全策略介绍与配置,第,3,章,NAT,策略介绍与配置,第,4,章 审计策略介绍与配置,第,5,章 限流策略介绍与配置,限流策略介绍及配置,限流策略(,car-policy,)实现的是,ipcar,的功能。在限流策略中配置策略规则,命中其中规则的流量会做带宽、会话速率或会话数限制。限流策略是配置在域内的。,配置域内限流策略,首先配置限流类:,car-class test,session-limit 2000,session-rate-limit 500,cir 5000,配置域内限流策略,car-policy zone trust,policy 0,action car,policy source 192.168.1.2 0,policy destination 202.120.10.2 0,car-class test,policy 1,action no-car,
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 图纸专区 > 课件教案


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!