• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

防火墙禁止私接小路由器?

2023-02-06提问
  • 1关注
  • 0收藏,1056浏览
粉丝:2人 关注:0人

问题描述:

防火墙上此功能可以现在私接路由器或网卡共享吗?


组网及组网描述:


最佳答案

已采纳
粉丝:228人 关注:8人

可以,单IP允许的最大终端数:

单IP允许的最大终端数是指每个IP地址可被共享的最大终端数。当设备检测到某IP地址下共享的终端数大于所配置的最大终端数时,将对该IP地址执行共享上网管理策略中配置的动作;如果检测到的终端数小于配置的最大终端数,则允许此共享行为。


组网需求

图-1所示,Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。现有以下组网需求:

某公司内的各部门通过Device与Internet连接,管理员发现有员工在主机上开启代理软件,为其他主机共享网络(内部员工会在上网期间使用QQ等应用)。现在需要设备对共享上网行为进行检测,并将检测出存在共享上网行为的源IP地址冻结1小时并记录日志。

图-1 共享上网管理功能配置组网图

 

使用版本

本举例是在F1000-AI-55的R8860版本上进行配置和验证的。

配置步骤

1.     配置各接口IP地址并将接口加入对应的安全域

# 选择“网络 > 接口 > 接口”,进入接口配置页面。

# 单击接口GE1/0/1右侧的<编辑>按钮,配置如下。

·     安全域:Trust

·     选择“IPv4地址”页签,配置IP地址/掩码长度:10.1.1.1/24

·     其他配置项保持默认情况即可

# 单击<确定>按钮,完成接口IP地址和安全域的配置。

# 按照同样的步骤配置接口GE1/0/2,配置如下。

·     安全域:Untrust

·     选择“IPv4地址”页签,配置IP地址/掩码:20.1.1.1/24

·     其他的配置项保持默认情况即可

# 单击<确定>按钮,完成接口IP地址和安全域的配置。

2.     配置安全策略

# 选择“策略 > 安全策略> 安全策略”,单击<新建>按钮,选择新建策略,进入新建安全策略页面。

# 新建安全策略,并进行如下配置:

·     名称:test-a

·     源安全域:Trust

·     目的安全域:Untrust

·     类型:IPv4

·     动作允许

·     IPv4地址:10.1.1.2/24

·     其他配置项使用缺省值

# 单击<确定>按钮,完成安全策略的配置。

3.     升级应用识别特征库到最新版本(配置步骤略)

4.     配置共享策略

# 选择“策略 > 共享上网管理 > 共享策略”,单击<新建>按钮,进入新建共享策略页面,新建名为netsharepolicy的共享策略,配置如下。

·     源安全域:Trust

·     目的安全域:Untrust

·     应用检测:开启

·     IPID检测:关闭

·     单IP允许的最大终端数:1

·     动作:冻结

·     冻结时间:60分钟

·     记录日志:开启

·     启用策略:开启

·     其他配置项保持默认状态即可。

图-2 新建共享策略

 

# 单击<确定>按钮,完成共享策略的配置。

# 单击<提交>按钮,使共享策略生效。

验证配置

以上配置完成后,如果检测到某主机的IP地址存在共享上网行为,该IP地址将被冻结1小时。管理员可在“策略 > 共享上网管理 > 共享列表”中查看检测出存在共享上网行为的IP地址。


暂无评论

1 个回答

特性简介

共享上网管理功能可对通过NAT技术或代理技术进行共享上网的行为进行识别和管理。

基本概念

IP允许的最大终端数

IP允许的最大终端数是指每个IP地址可被共享的最大终端数。当设备检测到某IP地址下共享的终端数大于所配置的最大终端数时,将对该IP地址执行共享上网管理策略中配置的动作;如果检测到的终端数小于配置的最大终端数,则允许此共享行为。

冻结/解冻

设备支持两种方式进行冻结/解冻:

·     自动冻结/解冻:当报文源IP地址下共享的终端数超过配置的单IP允许的最大共享终端数,且共享策略动作为冻结时,该IP地址将被自动冻结,后续来自该IP地址的报文将被丢弃。当达到冻结时间后,被冻结的IP地址将自动解冻。

·     手工冻结/解冻:当IP地址处于未冻结状态时,可通过手工的方式进行冻结;当IP地址处于冻结状态且未达到冻结时间时,可通过手工的方式进行解冻。可在“共享上网管理 > 共享列表页面,对每个IP地址的状态执行相应的操作。

共享列表

共享列表中显示设备检测到的存在共享上网行为的所有IP地址以及相关信息,包括:位置、用户名、VRF、终端数量、共享策略名称、冻结剩余时间以及状态。管理员可在“共享上网管理 > 共享列表“页面查看相关内容。

共享上网检测方式

共享上网管理支持以下检测方式:

·     应用检测方式:设备在APRApplication Recognition,应用层协议识别)的基础上进一步提取应用中的信息,用于检测终端的共享上网行为。

·     IPID检测方式:设备可对报文的IPID字段的变化情况进行分析,检测终端的共享上网行为。同一主机发出报文的IPID字段连续变化并呈递增趋势,且起始值随机。如果在一段时间内,检测到相同源IP地址报文的IPID字段在同一区间连续变化并呈递增趋势,则认为此IP地址不存在共享行为;如果相同源IP地址报文的IPID字段在多个区间连续变化并呈递增趋势,则认为此IP地址存在共享行为。

共享上网管理实现流程

图-1 共享上网管理实现流程图

 

共享上网管理对报文的处理过程如下:

1.     如果未启用共享策略,则允许报文通过;如果共享策略处于启用状态,则进入步骤2处理。

2.     判断报文的源IP地址是否已经处于冻结状态。如果已冻结,则丢弃报文;如果未冻结,则进入步骤3处理。

3.     报文与共享策略中的过滤条件进行匹配。如果匹配失败,则允许报文通过;如果匹配成功,则对报文进行共享上网检测。

4.     如果未检测到报文的源IP地址存在共享行为,则允许报文通过;如果检测到报文的源IP地址存在共享行为,则将该IP地址下共享的终端数量与共享策略中配置的单IP允许的最大共享终端数进行比较:

     如果超过配置的最大终端数,则对报文执行共享策略中配置的动作;

     如果未超过,则允许报文通过。

使用限制和指导

·     共享策略在新建和删除后均需要激活才能生效。如需立即激活,请单击<提交>按钮。否则,设备默认40秒后自动激活。执行“提交”操作会暂时中断DPI业务的处理,可能导致其他基于DPI功能的业务同时出现中断。例如,安全策略无法对应用进行访问控制等。

·     执行“提交”操作后,界面上会提示设置成功,但是配置文件此时可能尚未完成激活,如果此时报文经过设备,可能会出现暂时无法识别的情况。

·     目前仅支持配置一个共享策略。

·     使用本功能前,需要将APR特征库升级到最新版本。

·     应用检测方式有如下限制:

     仅支持对部分应用(QQ、微信、58同城和美团)进行共享上网行为检测。

     如果应用本身进行了加密处理,则应用检测方式无法对其进行共享上网行为检测。

·     IPID检测方式有如下限制条件:

     检测的终端为Windows系统,且报文IPID呈规律性变化。

     仅支持检测IPv4类型地址。

     不支持对移动终端进行共享上网行为检测。

·     本功能的支持情况与设备型号有关,请以设备实际情况为准。

配置指南

共享上网管理功能的配置思路如下图所示:

图-2 共享上网管理配置指导图

 

在配置共享上网管理功能之前,需要先配置安全策略使流量可在设备上通过。有关安全策略的相关介绍请参见“安全策略联机帮助”。

配置共享策略具体步骤如下:

1.     在“策略 > 共享上网管理 > 共享策略”页面,单击<新建>按钮,进入“新建共享策略”页面。

2.     新建共享策略,具体配置内容如下表所示:

表-1 共享策略配置参数表

参数

说明

名称

配置共享策略的名称

描述信息

通过合理编写描述信息,便于管理员快速理解和识别本共享策略

源安全域

配置源安全域作为共享策略的过滤条件

目的安全域

配置目的安全域作为共享策略的过滤条件

IP地址

配置源IP地址作为共享策略的过滤条件

目的IP地址

配置目的IP地址作为共享策略的过滤条件

用户

配置用户作为共享策略的过滤条件

应用检测

开启应用检测功能后,设备将针对用户特定应用进行共享上网行为检测

IPID检测

开启IPID检测功能后,设备将使用报文的IPID字段(报文首部的标识字段)对共享上网行为进行检测

IP允许的最大终端数

用来限制可以同时使用相同IP地址的终端数量

动作

如果检测到某IP地址下共享上网的终端数超过了单IP允许的最大终端数,设备将执行以下动作对该IP地址进行管理

·     允许:表示允许报文通过

·     冻结:表示对该IP地址进行冻结,即来自该IP地址的报文将被丢弃

冻结时间

如果共享策略动作为冻结,则需要配置相应的冻结时间。达到冻结时间后,已冻结的IP地址将自动解冻

记录日志

表示记录共享上网日志,当某IP地址下共享上网的终端数超过了单IP允许的最大终端数时,设备将记录该IP地址的相关信息以及命中的共享上网策略的相关信息,方便用户查看

启用策略

选择开启后,此共享策略才能生效

 

3.     在“新建共享策略“页面,单击<确定>按钮,新建共享策略成功,并会在“共享策略”页面中显示。

4.     新建共享策略后,需要激活才能生效。如需立即激活,请单击<提交>按钮。否则,设备默认40秒后自动激活。

 

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明