1 安全策略簡介
安全策略對報文的控制是通過安全策略規則實現的,規則中可以設置匹配報文的過濾條件,處理報文的動作和對於報文內容進行深度檢測等功能。
(1)規則的名稱和編號
安全策略中的每條規則都由唯一的名稱和編號標識。名稱必須在創建規則時由用戶手工指定;而編號既可以手工指定,也可以由系統自動分配。
(2)規則的過濾條件
每條規則中均可以配置多種過濾條件,具體包括:源安全域、目的安全域、源 IP 地址、源 MAC 地址、目的 IP 地址、用戶、用戶組、應用、應用組、VPN 和服務。每種過濾條件中(除 VPN 外)均可以配置多個匹配項,比如源安全域過濾條件中可以指定多個源安全域等。
(3)規則與會話管理
規則基於會話對報文進行處理。規則允許報文通過後,設備會創建與此報文對應的會話表項,用於記錄有關此報文的相關信息。
安全策略規則觸發創建的會話,不僅可以根據報文的協議狀態或所屬的應用設置會話的老化時間,還可以基於規則設置會話的老化時間。規則中設置的會話老化時間優先級高於會話管理模塊設置的會話老化時間。
2 安全策略對報文的處理
(1) 將報文的屬性信息與過濾條件中的匹配項進行匹配。每種過濾條件的多個匹配項之間是或的關係,即報文與某一個過濾條件中的任意一項匹配成功,則報文與此過濾條件匹配成功;若報文與某一個過濾條件中的所有項都匹配失敗,則報文與此過濾條件匹配失敗。
(2) 若報文與某條規則中的所有過濾條件都匹配成功(用戶與用戶組匹配一項即可,應用與應用組匹配一項即可,源 IP 地址與源 MAC 地址匹配一項即可),則報文與此條規則匹配成功。若有一個過濾條件不匹配,則報文與此條規則匹配失敗,報文繼續匹配下一條規則。以此類推,直到最後一條規則,若報文還未與規則匹配成功,則設備會丟棄此報文。
(3) 若報文與某條規則匹配成功,則結束此匹配過程,並對此報文執行規則中配置的動作。
若規則的動作爲“丟棄”,則設備會丟棄此報文;
若規則的動作爲“允許”,則設備繼續對報文做第 4 步處理;
(4) 若引用了 DPI 業務,則會對此報文進行 DPI 深度安全檢測;若未引用 DPI 業務,則直接允許此報文通過。
3 新舊轉換
設備啓動時,如果配置文件中僅存在對象策略,則設備會自動執行 security-policy disable
命令關閉安全策略功能;如果配置文件中對象策略和安全策略均不存在或存在安全策略,則設備自動開啓安全策略功能。安全策略功能與對象策略功能在設備上不能同時使用,當安全策略功能處於開啓狀態時,首次進入安全策略視圖後,對象策略功能立即失效。因此在管理員手工逐條將對象策略切換爲安全策略時,爲避免切換過程中造成業務長期中斷,建議管理員在對象策略切換完成後再開啓安全策略功能。配置回滾後,如果需要對象策略生效,配置回滾完成後,則建議用戶手工執行 security-policydisable 命令將安全策略功能關閉。
(1)查看內部版本號:
probe
dis system internal version
(2)轉換步驟
升級到D022版本
通過security-policy switch-from object-policy命令將舊的配置文件startup.cfg轉換爲新的security.cfg
重啓後完成轉換
4 配置安全策略
undo security-policy disable //開啓安全策略功能,缺省處於開啓狀態
security-policy ip
rule name test1
source-zone trust
source-ip test1-ip-object-name
destination-zone trust
destination-ip test1-ip-object-name
service test1-service
application application-name
action {drop|pass}
time-range time-range-name //缺省不限制生效時間
security-policy ip
move rule 10 before rule 5 //移動rule
rule 20 disable //禁用rule
display security-policy ip
display security-policy statistics
設備上的安全策略加速功能默認開啓,且不能手動關閉。但是激活安全策略規則加速功能時,內存資源不足會導致安全策略加速失效。
安全策略加速失效後,設備無法對報文進行快速匹配,但是仍然可以進行原始的慢速匹配。
安全策略規則中引用對象組的內容發生變化後,也需要重新激活該規則的加速功能。
安全策略規則中指定的 IP 地址對象組中包含通配符掩碼時,會影響安全策略的匹配速度。激活安全策略規則的加速功能時比較消耗內存資源,不建議頻繁激活加速功能。建議在所有安全策略規則配置和修改完成後,統一執行 accelerate enhanced enable 命令。
對象組是對象的集合,可以被對象策略、ACL 引用,作爲報文匹配的條件。對象組包括如下類型:
• • MAC 地址對象組可以配置 MAC 地址對象,MAC 地址對象與 MAC 地址對象組綁定,用於匹配報文中的 MAC 地址。
• • IPv4 地址對象組內可以配置 IPv4 地址對象,地址對象與 IPv4 地址或用戶綁定,用於匹配報文中的 IPv4 地址或報文所屬的用戶。
• • IPv6 地址對象組內可以配置 IPv6 地址對象,地址對象與 IPv6 地址或用戶綁定,用於匹配報文中的 IPv6 地址或報文所屬的用戶。
• • 服務對象組內可以配置服務對象,服務對象與協議類型以及協議的特性綁定(協議特性如 TCP或 UDP 的源端口/目的端口、ICMP 協議的消息類型/消息碼等),用於匹配報文中的可承載的上層協議。
object-group mac-address test1
[ object-id ] mac { mac-address | group-object group-object-name }
object-group ip address test2
[ object-id ] network { host { address ip-address | name host-name } |
subnet ip-address { mask-length | mask | wildcard wildcard } | range
ip-address1 ip-address2 | group-object object-group-name | user
user-name [ domain domain-name ] | user-group user-group-name [ domain
domain-name ] }
object-id network exclude ip-address //排除IP
security-zone security-zone-name
object-group service test3
[ object-id ] service { protocol [ { source { { eq | lt | gt } port | range
port1 port2 } | destination { { eq | lt | gt | } port | range port1 port2 } }
* | icmp-type icmp-code | icmpv6-type icmpv6-code ] | group-object
object-group-name }
object-group rename old-object-group-name new-object-group-name//重命名
display object-group
5 安全策略配置舉例
實驗案例1:
目的:PC_3能ping通PC_5,但PC_5無法ping通PC_3
PC_3地址設置爲dhcp獲取,PC_5配置地址爲100.2.2.5,網關爲100.2.2.254
S5820V2:
dhcp server enable
dhcp server ip-pool vlan100
gateway-list 192.168.1.254
network 192.168.1.0 mask 255.255.255.0
address range 192.168.1.1 192.168.1.253
dns-list 10.100.1.10
quit
vlan 100
interface vlan 100
ip address 192.168.1.254 255.255.255.0
dhcp server apply ip-pool vlan100
interface g1/0/1
port access vlan 100
quit
interface Ten1/0/51
port link-mode route
ip address 10.100.1.2 255.255.255.0
quit
ip route-static 0.0.0.0 0.0.0.0 10.100.1.254
MSR36-20:
interface g0/0
ip address 200.2.2.254 255.255.255.0
interface g0/1
ip address 100.2.2.254 255.255.255.0
ip route-static 0.0.0.0 0.0.0.0 200.2.2.10
F1060-1:
interface g1/0/2
ip address 200.2.2.10 24
interface g1/0/3
ip address 10.100.1.254 24
ip route-static 0.0.0.0 0.0.0.0 200.2.2.254
ip route-static 192.168.1.0 0.0.0.255 10.100.1.2
將對應端口加入安全域:
security-zone name Trust
import interface GigabitEthernet1/0/3
security-zone name Untrust
import interface GigabitEthernet1/0/2
配置安全策略放行trust域到untrust域報文:
security-policy ip
rule 0 name trust-untrust
action pass
source-zone trust
destination-zone untrust
完成上述配置後,PC_3就可以單向ping通PC-5了。
拓展:
上述配置後,其他設備是無法ping通防火牆上配置的IP地址,防火牆也無法ping通其他設備的地址,原因是防火牆上的IP地址屬於local域,必須要配置local域與其他域之間的安全策略,才能ping通
配置其他域到local域的報文,否則防火牆和其他設備無法ping通:
security-policy ip
rule 1 name trust-local //放行trust域到local域的報文,配置後,trust域設備可以ping防火牆上的地址
action pass
source-zone trust
destination-zone local
rule 2 name local-all //放行local域到其他域的報文,配置後,防火牆可以ping通其他設備
action pass
source-zone local
實驗案例2:
time-range work 08:00 to 18:00 working-day //配置時間段
security-zone name database //創建安全域
import interface g1/2/5/1
quit
security-zone name president
import interface g1/2/5/2
quit
security-zone name finance
import interface g1/2/5/3
quit
security-zone name market
import interface g1/2/5/4
quit
object-group ip address database //創建IP地址對象組
network subnet 192.168.0.0 24
quit
object-group ip address president
network subnet 192.168.1.0 24
quit
object-group ip address finance
network subnet 192.168.2.0 24
quit
object-group ip address market
network subnet 192.168.3.0 24
quit
object-group service web //創建名爲web的服務對象組
service 6 destination eq 80
quit
# 進入 IPv4 安全策略視圖。制訂允許總裁辦在任意時間通過 HTTP 協議訪問財務數據庫服務器的安全策略規則,其規則名稱爲 president-database。
security-policy ip
rule 0 name president-database
source-zone president
destination-zone database
source-ip president
destination-ip database
service web
action pass
quit
制訂只允許財務部在工作時間通過 HTTP 協議訪問財務數據庫服務器的安全策略規則,其規則名稱爲 finance-database。
rule 1 name finance-database
source-zone finance
destination-zone database
source-ip finance
destination-ip database
service web
action pass
time-range work
quit
制訂禁止市場部在任何時間通過 HTTP 協議訪問財務數據庫服務器的安全策略規則,其規則名稱爲 market-database。
rule 2 name market-database
source-zone market
destination-zone database
source-ip market
destination-ip database
service web
action drop
quit
激活安全策略規則的加速功能。
accelerate enhanced enable