现在目前的版本是7.1.064,但是设置安全策略没有security-policy-ip选项,请问怎么设置安全域到安全域互通的安全策略
(0)
最佳答案
您好:
目前防火墙都是V7的,要看后面的Release的小版本,当前没有安全策略,可能是因为版本比较老,使用的是域间策略导致,可以使用域间策略配置:
(0)
您好,参考
安全策略基于全局配置和全局生效,不需要被引用。安全策略不仅可以彻底替代包过滤和对象策略,还可以基于用户和应用对报文进行转发控制,并可以对符合过滤条件的报文进行DPI(Deep Packet Inspection,深度报文检测)检测。
举例:在安全策略中配置rule-1和rule-2基于用户和应用实现只允许市场部的员工可以访问80端口,但禁止其浏览淘宝网;并对市场部员工访问网页的内容进行深度检测,防止黑客入侵。默认策略可以禁止财务部员工访问80端口。
配置举例:
object-group ip address market
0 network subnet 192.168.100.0 255.255.255.0
#
app-group 8_IPv4
description "User-defined application group"
#
security-policy ip
rule 0 name market
action pass
source-zone trust
destination-zone untrust
profile 8_IPv4
source-ip market
service http
rule 1 name market
source-zone trust
destination-zone untrust
source-ip market
application 淘宝
防火墙基于安全域进行访问控制,将从接口的访问控制上升到基于安全域的访问控制。防火墙从体系结构上抛弃了传统防火墙的内外概念,各个域间的默认安全级别是一样的,之间的安全差异由用户来定制,具有极大的灵活性。防火墙可以根据企业的安全需求将不同网段划分成独立的安全域,通过在这些安全域间加载独立的访问控制策略来限制不同信任度网络之间的相互访问,也就是说,防火墙提供了更加细粒度的安全控制,这样即使某个低安全等级的区域出现了安全裂缝,但由于受到防火墙的控制,其它安全域也不会受其影响。
防火墙默认分为5个安全区域:untrust、dmz、trust、local、management,安全域名称不同对应的功能也有区别:
untrust(不信任域):
通常用来定义Internet等不安全的网络,用于网络入口线的接入。
dmz(隔离区):
通常用来定义内部服务器所在网络,作用是把WEB,E-mail,等允许外部访问的服务器单独接在该区端口,使整个需要保护的内部网络接在信任区端口后,不允许任何访问,实现内外网分离,达到用户需求。DMZ可以理解为一个不同于外网或内网的特殊网络区域,DMZ内通常放置一些不含机密信息的公用服务器,比如Web、Mail、FTP等。这样来自外网的访问者可以访问DMZ中的服务,但不可能接触到存放在内网中的公司机密或私人信息等,即使DMZ中服务器受到破坏,也不会对内网中的机密信息造成影响。
trust(信任域):通常用来定义内部用户所在的网络,也可以理解为应该是防护最严密的地区。
local(本地):local就是防火墙本身的区域,比如ping指令等网际控制协议的回复,需要local域的权限,总结为以下两点:
1、凡是由防火墙主动发出的报文均可认为是从Local区域中发出
2、凡是需要防火墙响应并处理(而不是转发)的报文均可认为是由Local区域接收
management(管理):除了console控制接口对设备进行配置,如果防火墙设备可以通过web界面配置的话,需要一根双绞线连接到管理接口,键入用户名和密码进行配置。
缺省情况下(除management区域)所有安全域之间均不能互访、同安全区域间终端也无法互访,安全域之间互访必须使用安全策略来实现。
举例:现场设备已经放通了Any域到Any域的安全策略后发现trust域内用户无法互访?
zone-pair security source Any destination Any
packet-filter 3000
#
acl advanced 3000
rule 0 permit ip
.#
答案是Any域到Any域不包括trust域到trust域、trust域到local域、local域到trust域,因此需要放通同安全域间安全策略,放通同安全域安全策略有两种方法:
1、通过“security-zone intra-zone default permit”命令放通同安全域间的数据互访。
<H3C>system-view
[H3C]security-zone intra-zone default permit
2、配置同安全域间安全策略。
zone-pair security source trust destination trust
packet-filter 3000
#
acl advanced 3000
rule 0 permit ip
#
防火墙D022之前版本(不包括D022版本)只能支持域间策略,最新版本防火墙即D022版本之后版本支持安全策略与域间策略共存。
查询防火墙版本方法:
1、查询到此台设备为D032版本:
<H3C>system-view
[H3C]probe
[H3C-probe]display system internal version
H3C SecPath F1070 V900R003B01D632SP20
Comware V700R001B64D032SP20
2、查询此板卡为D012版本:
[H3C-probe]display system internal version
H3C SecPath F1060 V900R003B01D612SP20
Comware V700R001B64D012SP20
安全策略与域间策略默认情况下只能一种生效,D022版本默认情况下域间策略生效,而在D032版本下则为安全策略生效。也可以通过命令查询当前设备生效的策略。
通过下面display命令查询:如果能查到命令“security-policy disable”则域间策略生效、没有查到任何命令则安全策略生效。
查询为域间策略生效:
[H3C]display current-configuration | include security-policy
security-policy disable
查询为安全策略生效:
[H3C]display current-configuration | include security-policy
1、
2、
3、
1、转换前一定要查看当前启动文件是否是需要转换的启动文件。
<H3C>dis startup
MainBoard:
Next main startup saved-configuration file: flash:/startup.cfg
2、配置对象策略到安全策略的转换命令
<H3C>system-view
[H3C]security-policy switch-from object-policy startup.cfg abc.cfg
Configuration switching begins...
Object policies in the specified configuration file have been switched to security policies.
Reboot the device to make the configuration take effect. Reboot now? [Y/N]:Y
注:startup.cfg为设备配置文件、abc.cfg为转换后的安全策略配置文件(其中abc可以自定义)
转换后设备会将包含安全策略的配置文件作为下次启动文件:
<H3C>dis startup
MainBoard:
Next main startup saved-configuration file: flash:/abc.cfg
(0)
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论