• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

F100-c-G2防火墙

2021-08-07提问
  • 0关注
  • 1收藏,1297浏览
粉丝:0人 关注:0人

问题描述:

现在目前的版本是7.1.064,但是设置安全策略没有security-policy-ip选项,请问怎么设置安全域到安全域互通的安全策略

最佳答案

yyu 五段
粉丝:4人 关注:0人

您好:

目前防火墙都是V7的,要看后面的Release的小版本,当前没有安全策略,可能是因为版本比较老,使用的是域间策略导致,可以使用域间策略配置:

https://www.h3c.com/cn/d_201912/1249148_30005_0.htm  

暂无评论

1 个回答
粉丝:105人 关注:0人

您好,参考

1.2.4  安全策略

安全策略基于全局配置和全局生效,不需要被引用。安全策略不仅可以彻底替代包过滤和对象策略,还可以基于用户和应用对报文进行转发控制,并可以对符合过滤条件的报文进行DPIDeep Packet Inspection,深度报文检测)检测。

举例:在安全策略中配置rule-1rule-2基于用户和应用实现只允许市场部的员工可以访问80端口,但禁止其浏览淘宝网;并对市场部员工访问网页的内容进行深度检测,防止黑客入侵。默认策略可以禁止财务部员工访问80端口。


配置举例:

object-group ip address market

0 network subnet 192.168.100.0 255.255.255.0

#

app-group 8_IPv4

 description "User-defined application group"

#

security-policy ip

rule 0 name market

  action pass

  source-zone trust

  destination-zone untrust

profile 8_IPv4

source-ip market

service http

rule 1 name market

source-zone trust

  destination-zone untrust

source-ip market

  application 淘宝

2 防火墙安全域

2.1.1  安全域介绍

防火墙基于安全域进行访问控制,将从接口的访问控制上升到基于安全域的访问控制。防火墙从体系结构上抛弃了传统防火墙的内外概念,各个域间的默认安全级别是一样的,之间的安全差异由用户来定制,具有极大的灵活性。防火墙可以根据企业的安全需求将不同网段划分成独立的安全域,通过在这些安全域间加载独立的访问控制策略来限制不同信任度网络之间的相互访问,也就是说,防火墙提供了更加细粒度的安全控制,这样即使某个低安全等级的区域出现了安全裂缝,但由于受到防火墙的控制,其它安全域也不会受其影响。

2.1.2  安全域分类

防火墙默认分为5个安全区域:untrustdmztrustlocalmanagement,安全域名称不同对应的功能也有区别:

untrust(不信任域):

通常用来定义Internet等不安全的网络,用于网络入口线的接入。

dmz(隔离区):

通常用来定义内部服务器所在网络,作用是把WEB,E-mail,等允许外部访问的服务器单独接在该区端口,使整个需要保护的内部网络接在信任区端口后,不允许任何访问,实现内外网分离,达到用户需求。DMZ可以理解为一个不同于外网或内网的特殊网络区域,DMZ内通常放置一些不含机密信息的公用服务器,比如WebMailFTP等。这样来自外网的访问者可以访问DMZ中的服务,但不可能接触到存放在内网中的公司机密或私人信息等,即使DMZ中服务器受到破坏,也不会对内网中的机密信息造成影响。

trust(信任域):通常用来定义内部用户所在的网络,也可以理解为应该是防护最严密的地区。

local(本地):local就是防火墙本身的区域,比如ping指令等网际控制协议的回复,需要local域的权限,总结为以下两点:
1
、凡是由防火墙主动发出的报文均可认为是从Local区域中发出
​​​​​​2凡是需要防火墙响应并处理(而不是转发)的报文均可认为是由Local区域接收

management(管理):除了console控制接口对设备进行配置,如果防火墙设备可以通过web界面配置的话,需要一根双绞线连接到管理接口,键入用户名和密码进行配置。

2.1.3  安全域访问规则

缺省情况下(除management区域)所有安全域之间均不能互访、同安全区域间终端也无法互访,安全域之间互访必须使用安全策略来实现。

举例:现场设备已经放通了Any域到Any域的安全策略后发现trust域内用户无法互访?

zone-pair security source Any destination Any

packet-filter 3000

#

acl advanced 3000

rule 0 permit ip

.#

答案是Any域到Any域不包括trust域到trust域、trust域到local域、local域到trust域,因此需要放通同安全域间安全策略,放通同安全域安全策略有两种方法:

1、通过“security-zone intra-zone default permit”命令放通同安全域间的数据互访。

<H3C>system-view

[H3C]security-zone intra-zone default permit

2、配置同安全域间安全策略。

zone-pair security source trust destination trust

packet-filter 3000

#

acl advanced 3000

rule 0 permit ip

#

3.2  H3C 防火墙安全策略与域间策略识别

3.2.1  安全策略和域间策略版本区别

防火墙D022之前版本(不包括D022版本)只能支持域间策略,最新版本防火墙即D022版本之后版本支持安全策略与域间策略共存。

查询防火墙版本方法:

1、查询到此台设备为D032版本:

<H3C>system-view

[H3C]probe

[H3C-probe]display system internal version

H3C SecPath F1070 V900R003B01D632SP20

Comware V700R001B64D032SP20

2、查询此板卡为D012版本:

[H3C-probe]display system internal version

H3C SecPath F1060 V900R003B01D612SP20

Comware V700R001B64D012SP20

3.2.2  安全策略和域间策略生效情况

安全策略与域间策略默认情况下只能一种生效,D022版本默认情况下域间策略生效,而在D032版本下则为安全策略生效。也可以通过命令查询当前设备生效的策略。

通过下面display命令查询:如果能查到命令“security-policy disable”则域间策略生效、没有查到任何命令则安全策略生效。

查询为域间策略生效:

[H3C]display current-configuration | include security-policy

 security-policy disable

查询为安全策略生效:

[H3C]display current-configuration | include security-policy

3.3  H3C 防火墙安全策略与域间策略相互转换

3.3.1  安全策略与域间策略转换限制

1、 只有配置对象策略的域间策略才能转换为安全策略,使用包过滤策略域间策略不能转换为安全策略。

2、 当将对象策略转换为安全策略后,设备会强制将转换后的安全策略作为主启动文件,之前转换的对象策略配置文件还保存在设备中。

3、 对象策略转换为安全策略时,如果需要转换的对象策略配置文件不是设备正在运行的配置文件时,转换为安全策略后,日志提示需要重启设备,此时设备重启后的启动文件为转换后的安全策略配置文件,并不是转换前的下一次启动配置文件,

3.3.2  安全策略与域间策略转换方法

1、转换前一定要查看当前启动文件是否是需要转换的启动文件。

<H3C>dis startup

MainBoard:

Next main startup saved-configuration file: flash:/startup.cfg

2、配置对象策略到安全策略的转换命令

<H3C>system-view

[H3C]security-policy switch-from object-policy startup.cfg abc.cfg                                  

Configuration switching begins...

Object policies in the specified configuration file have been switched to security policies.

Reboot the device to make the configuration take effect. Reboot now? [Y/N]:Y

注:startup.cfg为设备配置文件、abc.cfg为转换后的安全策略配置文件(其中abc可以自定义)

转换后设备会将包含安全策略的配置文件作为下次启动文件:

<H3C>dis startup

MainBoard:

Next main startup saved-configuration file: flash:/abc.cfg

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明