资源描述
单击此处编辑母版标题样式,HUAWEI TECHNOLOGIES CO.,LTD.,Page,*,单击此处编辑母版文本样式,单击此处编辑母版文本样式,单击此处编辑母版文本样式,单击此处编辑母版文本样式,HUAWEI Confidential,谢谢,HUAWEI TECHNOLOGIES CO.,LTD.,HUAWEI Confidential,Security Level:,单击此处编辑母版标题样式,单击此处编辑母版文本样式,单击此处编辑母版文本样式,单击此处编辑母版文本样式,单击此处编辑母版文本样式,E8000E-X Policy,特性介绍,Page,2,内容介绍,第1章 策略特性介绍,第2章 平安策略介绍及配置,第3章 NAT策略介绍及配置,第4章 审计策略介绍及配置,第5章 限流策略介绍及配置,Page,3,策略特性介绍,策略化的特性包括平安策略、NAT策略、审计策略及限流策略,分别对应V2R1版本的包过滤、NAT、Session log、Ipcar特性。在数据面查询的位置是不变的,主要是配置方式的变化。,包过滤、NAT、Session log、Ipcar之前的配置方式都是采用ACL定义过滤规则,然后将ACL应用于不同区域之间。策略化以后这四个特性不再使用acl配置过滤规则,而是直接在各个特性的视图下单独配置规则。,策略配置与ACL配置区别,3000,类,ACL,规则举例,POLICY,规则举例,样例,acl number 3000,rule 0 permit tcp source address-set src destination 1.1.1.1 0 precedence 1 tos 1 logging,策略配置中将各个属性分开来配置,Permit -,action,Source -policy source,Destination policy destination,等,policy 0,action,(,不同的策略会不同,),policy service service-set tcp,policy source address-set src,policy destination 1.1.1.1 0,policy time-range all,policy precedence 1,policy tos 1,policy logging,规则号的转换,rule 0,policy 0,策略配置简介,策略(policy)能够通过指定报文的源地址、目的地址、端口号、上层协议等信息组合定义网络中的数据流,是平安策略(Policy)、NAT策略(NAT-policy)、审计策略(Audit-policy)、限流策略(Car-policy)的根底。,policy policyid,action,(不同的策略会不同),policy service service-set STRING&,policy source srcip wildcard|0|mask masklen|mask|address-set STRING&|range startip endip,policy destination dstip wildcard|0|mask masklen|mask|address-set STRING&|range startip endip,policy precedence|tos|time-range*,配置策略的动作,不用策略对应不同的动作,如policy为permit/deny,nat为source-nat/no-nat,配置效劳,包括协议,源,端口和目的端口,配置源,ip,地址,配置目的,ip,地址,配置其他属性,此外:,平安策略还可以配置:,Policy logging,NAT策略要配置地址池或静态映射:,address-group INTEGER|STRING,static-mapping INTEGER,限流策略要配置,car-class STRING,策略,id,策略配置与ACL配置区别,策略特征:,(1)支持地址、效劳的多项选择操作,(2)源地址、目的地址支持掩码格式,反掩码格式,范围地址格式,(3)只存在效劳,效劳分三类:预定义效劳、自定义效劳、效劳组,(4)支持使能、去使能状态;支持移动;支持复制。,(5)只能在单个域间或平安域生效;,(6)对于平安策略、审计策略配置了动作该策略才生效,才会进行规则匹配;对于NAT策略必须配置了地址池和动作才生效,限流策略必须配置限流类和动作。,ACL特征:,(1)只支持配置单个地址、效劳,(2)源地址、目的地址只支持反掩码格式(反掩码可不连续),(3)效劳、TCP/UDP 端口/端口集、ICMP type和code、其他协议,(4)不支持使能、去使能状态;不支持移动,不支持复制,(5)ACL规则与应用无关,不指定ASPF,LONG-LINK,NAT,(6)ACL能被屡次引用,可以在多个域间被引用,策略的相关概念地址集,地址集(Ip address-set)用于将零散的 IP 地址或 IP 段归类命名,提高了 IP 地址管理的层次性。策略支持引用地址集合,简化了配置、同时增加可读性和可维护性。,地址集支持地址对象和地址组两种,地址对象只能配置地址,地址组可以配置地址,还可以配置地址对象和地址组。,ip address-set yidong1 type object,address 0 3.3.3.3 0,address 1 3.3.3.4 0,ip address-set yidong type group,address 0 3.3.3.5 0,address 1 address-set yidong1,地址对象规格为8192,每个地址对象可以配置1024个元素。,地址组规格为8192,每个地址组可以配置256个元素。,策略的相关概念效劳集,效劳集(Ip service-set)取代了之前的端口集,用于将协议、源端口和目的端口组合归类命名。策略支持引用效劳集合,简化了配置、同时增加可读性和可维护性。,效劳集支持效劳对象和效劳组两种,效劳对象只能配置效劳元素,效劳组只能配置效劳对象。,ip service-set yidong1 type object,service 0 protocol udp source-port 400 destination-port 5000,service 1 protocol tcp source-port 500 destination-port 400,ip service-set yidong type group,service 0 3.3.3.5 0,service 1 service-set yidong1,效劳对象规格为8192,每个地址对象可以配置64个元素。,地址组规格为8192,每个地址组可以配置16个元素。,策略的相关概念效劳集,预定义效劳集(predefined-service),不用用户自己定义,系统定义好的一些效劳,用户不能修改,通常是知名协议。,display predefined-service,16:10:50 2013/04/08,http tcp/80,telnet tcp/23,ftp tcp/21,ras udp/1719,dns udp/53,rtsp tcp or udp/554,ils tcp/1002 or 389,各策略特性配置举例,样例:以,trust,和,untrust,域间为例,acl number 3000,rule 0 permit tcp source 3.3.3.3 0 destination 2.2.2.2 0,包过滤,:,Firewall interzone trust untrust,Packet-filter 3000 inbound,安全策略,policy interzone trust untrust inbound,policy 0,action,permit,policy service service-set tcp,policy source 3.3.3.3 0,policy destination 2.2.2.2 0,NAT:,Firewall interzone trust untrust,nat outbound 3000 address-group 10,NAT,策略,nat-policy interzone trust untrust outbound,policy 0,action,source-nat,policy service service-set tcp,policy source 3.3.3.3 0,policy destination 2.2.2.2 0,address-group 10,各策略特性配置举例,样例:以,trust,和,untrust,域间为例,Session log:,Firewall interzone trust untrust,session log enable acl-number 3000 inbound,审计策略,audit-policy interzone trust untrust inbound,policy 0,action,audit,policy service service-set tcp,policy source 3.3.3.3 0,policy destination 2.2.2.2 0,ipcar:,Firewall zone trust,ip-car,3000,class,class-number,|,session-limit,session-num,|,session-rate-limit,session-rate-num,限流策略,car-policy zone trust,policy 0,action,car,policy service service-set tcp,policy source 3.3.3.3 0,policy destination 2.2.2.2 0,car-class test,策略匹配顺序,策略采用顺序匹配原则,按照用户配置规则的先后顺序进行匹配,显示的顺序即为策略的匹配顺序,前面的优先级高。,以平安策略为例,数据流一旦与一条规则匹配成功,将不再继续向下匹配,policy interzone trust untrust inbound,policy 0,action permit,policy service service-set udp,policy source 3.3.3.3 0,policy destination 2.2.2.2 0,policy 1,action deny,policy source 3.3.3.4 0,policy 5,action permit,策略支持调整功能,策略启用与禁用,配置策略后默认是启用的,可以通过下面命令启用或禁用一条策略,policy policy-id enable|disable,策略移动,将策略1移动到策略2之前或之后,从而调整策略匹配优先级,policy move policy-id1 before|after policy-id2,策略复制,复制生成一个与指定策略完全相同的新策略。,policy copy policy-id policy-new-id,策略的查询,V3R1不支持硬件tcam查询,ACL及策略查找全部采用软件查询。,查询结构:所有ACL和policy的规则生成一个查询结构。,修改、添加、删除规则,或是修改地址集、效劳集都需要重新生成查询结构。,生成查询结构有两种方法:1,自动生成,配置完毕后1分钟会构建生成查询结构。2,手动使能生成,执行命令acl accelerate enable会立即构建查询结构。,注意:在查询结构生成之前新配置的规则不能生效。,Page,15,内容介绍,第1章 策略特性介绍,第2章 平安策略介绍与配置,第3章
展开阅读全文