H3C防火牆基礎配置2-配置安全策略

1 安全策略簡介

     安全策略對報文的控制是通過安全策略規則實現的，規則中可以設置匹配報文的過濾條件，處理報文的動作和對於報文內容進行深度檢測等功能。

（1）規則的名稱和編號

       安全策略中的每條規則都由唯一的名稱和編號標識。名稱必須在創建規則時由用戶手工指定；而編號既可以手工指定，也可以由系統自動分配。

（2）規則的過濾條件

      每條規則中均可以配置多種過濾條件，具體包括：源安全域、目的安全域、源 IP 地址、源 MAC 地址、目的 IP 地址、用戶、用戶組、應用、應用組、VPN 和服務。每種過濾條件中（除 VPN 外）均可以配置多個匹配項，比如源安全域過濾條件中可以指定多個源安全域等。

(3)規則與會話管理

     規則基於會話對報文進行處理。規則允許報文通過後，設備會創建與此報文對應的會話表項，用於記錄有關此報文的相關信息。

     安全策略規則觸發創建的會話，不僅可以根據報文的協議狀態或所屬的應用設置會話的老化時間，還可以基於規則設置會話的老化時間。規則中設置的會話老化時間優先級高於會話管理模塊設置的會話老化時間。

 

 

2 安全策略對報文的處理

(1)  將報文的屬性信息與過濾條件中的匹配項進行匹配。每種過濾條件的多個匹配項之間是或的關係，即報文與某一個過濾條件中的任意一項匹配成功，則報文與此過濾條件匹配成功；若報文與某一個過濾條件中的所有項都匹配失敗，則報文與此過濾條件匹配失敗。

(2)  若報文與某條規則中的所有過濾條件都匹配成功（用戶與用戶組匹配一項即可，應用與應用組匹配一項即可，源 IP 地址與源 MAC 地址匹配一項即可），則報文與此條規則匹配成功。若有一個過濾條件不匹配，則報文與此條規則匹配失敗，報文繼續匹配下一條規則。以此類推，直到最後一條規則，若報文還未與規則匹配成功，則設備會丟棄此報文。

(3)  若報文與某條規則匹配成功，則結束此匹配過程，並對此報文執行規則中配置的動作。

若規則的動作爲“丟棄”，則設備會丟棄此報文；

若規則的動作爲“允許”，則設備繼續對報文做第 4 步處理；

(4)  若引用了 DPI 業務，則會對此報文進行 DPI 深度安全檢測；若未引用 DPI 業務，則直接允許此報文通過。

3 新舊轉換

    設備啓動時，如果配置文件中僅存在對象策略，則設備會自動執行 security-policy disable

    命令關閉安全策略功能；如果配置文件中對象策略和安全策略均不存在或存在安全策略，則設備自動開啓安全策略功能。安全策略功能與對象策略功能在設備上不能同時使用，當安全策略功能處於開啓狀態時，首次進入安全策略視圖後，對象策略功能立即失效。因此在管理員手工逐條將對象策略切換爲安全策略時，爲避免切換過程中造成業務長期中斷，建議管理員在對象策略切換完成後再開啓安全策略功能。配置回滾後，如果需要對象策略生效，配置回滾完成後，則建議用戶手工執行 security-policydisable 命令將安全策略功能關閉。

(1)查看內部版本號：

probe

   dis system internal version

 

(2)轉換步驟

升級到D022版本

通過security-policy switch-from object-policy命令將舊的配置文件startup.cfg轉換爲新的security.cfg

重啓後完成轉換

 

4 配置安全策略

undo security-policy disable  //開啓安全策略功能，缺省處於開啓狀態



security-policy ip

   rule name test1

     source-zone trust

     source-ip test1-ip-object-name

     destination-zone trust

     destination-ip test1-ip-object-name

     service test1-service

     application application-name

     action {drop|pass}

     time-range time-range-name  //缺省不限制生效時間



security-policy ip

  move rule 10 before rule 5  //移動rule

  rule 20 disable   //禁用rule

display security-policy ip

display security-policy statistics

 

   設備上的安全策略加速功能默認開啓，且不能手動關閉。但是激活安全策略規則加速功能時，內存資源不足會導致安全策略加速失效。

   安全策略加速失效後，設備無法對報文進行快速匹配，但是仍然可以進行原始的慢速匹配。

    安全策略規則中引用對象組的內容發生變化後，也需要重新激活該規則的加速功能。

    安全策略規則中指定的 IP 地址對象組中包含通配符掩碼時，會影響安全策略的匹配速度。激活安全策略規則的加速功能時比較消耗內存資源，不建議頻繁激活加速功能。建議在所有安全策略規則配置和修改完成後，統一執行 accelerate enhanced enable 命令。

 

對象組是對象的集合，可以被對象策略、ACL 引用，作爲報文匹配的條件。對象組包括如下類型：

• •  MAC 地址對象組可以配置 MAC 地址對象，MAC 地址對象與 MAC 地址對象組綁定，用於匹配報文中的 MAC 地址。

• •  IPv4 地址對象組內可以配置 IPv4 地址對象，地址對象與 IPv4 地址或用戶綁定，用於匹配報文中的 IPv4 地址或報文所屬的用戶。

• •  IPv6 地址對象組內可以配置 IPv6 地址對象，地址對象與 IPv6 地址或用戶綁定，用於匹配報文中的 IPv6 地址或報文所屬的用戶。

• •  服務對象組內可以配置服務對象，服務對象與協議類型以及協議的特性綁定（協議特性如 TCP或 UDP 的源端口/目的端口、ICMP 協議的消息類型/消息碼等），用於匹配報文中的可承載的上層協議。

 

object-group mac-address test1

   [ object-id ] mac { mac-address | group-object group-object-name }

 

object-group ip address test2

   [ object-id ] network { host { address ip-address | name host-name } |

subnet ip-address { mask-length | mask | wildcard wildcard } | range

ip-address1 ip-address2 | group-object object-group-name | user

user-name [ domain domain-name ] | user-group user-group-name [ domain

domain-name ] }

object-id network exclude ip-address   //排除IP

security-zone security-zone-name

object-group service test3

    [ object-id ] service { protocol [ { source { { eq | lt | gt } port | range

port1 port2 } | destination { { eq | lt | gt | } port | range port1 port2 } }

* | icmp-type icmp-code | icmpv6-type icmpv6-code ] | group-object

object-group-name }

object-group rename old-object-group-name new-object-group-name//重命名

display object-group

 

5 安全策略配置舉例

實驗案例1：

目的：PC_3能ping通PC_5，但PC_5無法ping通PC_3

PC_3地址設置爲dhcp獲取，PC_5配置地址爲100.2.2.5，網關爲100.2.2.254

S5820V2：

dhcp server enable

dhcp server ip-pool vlan100

gateway-list 192.168.1.254

 network 192.168.1.0 mask 255.255.255.0

 address range 192.168.1.1 192.168.1.253

 dns-list 10.100.1.10

 quit

vlan 100

interface vlan 100

ip address 192.168.1.254 255.255.255.0

 dhcp server apply ip-pool vlan100

interface g1/0/1

  port access vlan 100

  quit

interface Ten1/0/51

  port link-mode route

  ip address 10.100.1.2 255.255.255.0

  quit

ip route-static 0.0.0.0 0.0.0.0 10.100.1.254

 

MSR36-20：

interface g0/0

ip address 200.2.2.254 255.255.255.0

interface g0/1

ip address 100.2.2.254 255.255.255.0

ip route-static 0.0.0.0 0.0.0.0 200.2.2.10

 

 

F1060-1：

interface g1/0/2

  ip address 200.2.2.10 24

interface g1/0/3

  ip address 10.100.1.254 24

ip route-static 0.0.0.0 0.0.0.0 200.2.2.254

ip route-static 192.168.1.0 0.0.0.255 10.100.1.2

將對應端口加入安全域：

security-zone name Trust           

 import interface GigabitEthernet1/0/3

security-zone name Untrust

 import interface GigabitEthernet1/0/2

配置安全策略放行trust域到untrust域報文：

security-policy ip

  rule 0 name trust-untrust

    action pass

    source-zone trust

destination-zone untrust

完成上述配置後，PC_3就可以單向ping通PC-5了。

 

拓展：

上述配置後，其他設備是無法ping通防火牆上配置的IP地址，防火牆也無法ping通其他設備的地址，原因是防火牆上的IP地址屬於local域，必須要配置local域與其他域之間的安全策略，才能ping通

 

配置其他域到local域的報文，否則防火牆和其他設備無法ping通：

security-policy ip

 rule 1 name trust-local     //放行trust域到local域的報文，配置後，trust域設備可以ping防火牆上的地址

  action pass

  source-zone trust

  destination-zone local

 rule 2 name local-all     //放行local域到其他域的報文，配置後，防火牆可以ping通其他設備

  action pass

  source-zone local

 

 

實驗案例2：

time-range work 08:00 to 18:00 working-day  //配置時間段

security-zone name database     //創建安全域

   import interface g1/2/5/1

   quit

security-zone name president

   import interface g1/2/5/2

   quit

security-zone name finance

   import interface g1/2/5/3

   quit

security-zone name market

   import interface g1/2/5/4

   quit

object-group ip address database   //創建IP地址對象組

   network subnet 192.168.0.0 24

   quit

object-group ip address president

   network subnet 192.168.1.0 24

   quit

object-group ip address finance

   network subnet 192.168.2.0 24

   quit

object-group ip address market

   network subnet 192.168.3.0 24

   quit



object-group service web   //創建名爲web的服務對象組

   service 6 destination eq 80

   quit

# 進入 IPv4 安全策略視圖。制訂允許總裁辦在任意時間通過 HTTP 協議訪問財務數據庫服務器的安全策略規則，其規則名稱爲 president-database。

security-policy ip

  rule 0 name president-database

source-zone president

destination-zone database

source-ip president

destination-ip database

service web

action pass

quit

制訂只允許財務部在工作時間通過 HTTP 協議訪問財務數據庫服務器的安全策略規則，其規則名稱爲 finance-database。 

rule 1 name finance-database

source-zone finance

destination-zone database

source-ip finance

destination-ip database

service web

action pass

time-range work

quit

制訂禁止市場部在任何時間通過 HTTP 協議訪問財務數據庫服務器的安全策略規則，其規則名稱爲 market-database。  

rule 2 name market-database

source-zone market

destination-zone database

source-ip market

destination-ip database

service web

action drop

quit

 

激活安全策略規則的加速功能。

accelerate enhanced enable