防火墙安全策略调用ips和av
- 0关注
- 0收藏,52浏览
场景1:所有untrust到其他域的放通策略防护需求一致
V7/V9版本可将这些策略加入同一个安全策略组,在组层面统一调用提前配置好的IPS、AV策略模板,组内所有规则自动继承配置,无需逐条配置,效率更高。
场景2:不同策略防护需求不同
若存在部分特殊流量免检测、部分策略需用不同防护等级的情况,仅在需要防护的放通策略上单独调用对应模板即可,deny策略无需调用(流量直接丢弃不会进入内容检测流程)。
关键配置命令
1. 提前配置IPS/AV模板(先将特征库升级到最新)
ips policy name ips_protect
rule 0 action protect
av policy name av_protect
rule 0 action protect
2. 策略组统一调用(同需求场景)
security-policy ip
policy-group name untrust_out_protect
content-security apply policy ips_protect ips
content-security apply policy av_protect av
// 组内添加所有需要统一防护的untrust到其他域的放通规则即可
3. 单条策略单独调用(异需求场景)
security-policy ip
rule name xxx
action pass
content-security apply policy ips_protect ips
content-security apply policy av_protect av
重要提醒
变更前备份当前配置,配置后验证业务可用性,若出现误拦截可在IPS/AV模板中添加例外规则。
看你的需求,都可以调用,也可以选择性调用。
注意防火墙的硬件规格,一般调用太多的话会影响设备性能。
客户要求: 高危那块的默认走拦截,中低危走告警,这个在web应该如何配置,
客户要求: 高危那块的默认走拦截,中低危走告警,这个在web应该如何配置,
不用,但前提是得用上 H3C Comware 防火墙更高效的“安全策略”架构。
在新架构下,你只需要定义一次 IPS/AV 的检测模板(Profile),然后在相关的安全策略规则中调用即可,无需为每一条策略都重新绑定。这比传统的每条策略都要单独配置的方式要简单得多,也方便统一管理。
目前 H3C Comware 防火墙主要有两套策略体系,它们的配置逻辑不太一样,我帮你梳理了一个对比:
| 特性 | 对象策略 (旧式/域间策略) | 安全策略 (新式/推荐) |
|---|---|---|
| 生效范围 | 基于安全域对,如 trust 到 untrust | 全局范围,基于Zone,不受安全域对限制 |
| IPS/AV引用 | 需要在每个域间策略下逐一调用 | 可以在 rule 规则中直接调用,实现精细化管控 |
| 配置逻辑 | 先定义 object-policy,再在 zone-pair 中应用 | 直接在 security-policy 下配置 rule 规则,结构更清晰 |
| 适用场景 | 传统防火墙环境 | 所有现代网络环境,强烈推荐使用 |
实战配置:如何全局复用 IPS/AV 检测?
假设你的需求是“对所有从 untrust 到 trust 的流量进行 IPS/AV 防护”,正确的做法是:
1. 第一步:定义安全检测模板(App-Profile)
这是最关键的一步。你只需要创建一个“应用-profile”,把 IPS 和 AV 的检测策略(比如都使用 default 默认策略)都放进去。具体命令如下:
[Device-app-profile-1] av apply policy default mode protect
[Device-app-profile-1] quit [Device] inspect activate
2. 第二步:创建并调用安全策略规则
在安全策略的规则中,直接引用上面创建好的 app-profile 1 即可。以后如果有新的安全域需要防护,直接新建规则引用 app-profile 1 就行。
[Device-security-policy-ip-1-untrust-to-trust_ips_av] source-zone untrust
[Device-security-policy-ip-1-untrust-to-trust_ips_av] destination-zone trust
[Device-security-policy-ip-1-untrust-to-trust_ips_av] action pass
[Device-security-policy-ip-1-untrust-to-trust_ips_av] profile 1
[Device-security-policy-ip-1-untrust-to-trust_ips_av] quit
[Device-security-policy-ip] accelerate enhanced enable
按需创建模板:不一定要用一个模板包揽所有功能。可以创建
high-security-profile(调用最严格的 IPS 策略)和standard-profile(只调用 AV)等多个模板,在需要时灵活调用。安全策略的匹配顺序:安全策略遵循“先精细后粗犷”的匹配原则。策略的排列顺序至关重要,设备会从上到下进行匹配。例如,如果你有专门针对服务器区的严格策略,应该放在更宽松的策略之前。
别忘了激活:修改安全策略后,建议执行
accelerate enhanced enable命令以加速策略生效。注意新旧体系互斥:在设备上,安全策略和对象策略是不能同时启用的。一旦你开始配置
security-policy,传统的基于域间实例的packet-filter或object-policy就会失效。
客户要求: 高危那块的默认走拦截,中低危走告警,这个在web应该如何配置
客户要求: 高危那块的默认走拦截,中低危走告警,这个在web应该如何配置
一、推荐方案:统一配置 IPS/AV 模板,批量引用(最省心)
1. 先建一个全局的 IPS+AV 安全配置
# 新建一个安全 profiles 实例
security-profile name INTERNET-IPS-AV
ips apply policy default # 启用IPS(用默认策略即可)
av apply policy default # 启用AV(用默认策略即可
2. 多条 untrust 出方向策略统一引用它
security-policy ip
rule 10 name Untrust-to-Trust
source-zone untrust
destination-zone trust
action pass
security-profile INTERNET-IPS-AV # 引用一次即可
rule 20 name Untrust-to-DMZ
source-zone untrust
destination-zone dmz
action pass
security-profile INTERNET-IPS-AV # 同一个profile
- 只维护 1 套 IPS+AV
- 以后要调整规则,只改 security-profile,不用动 N 条策略
二、如果你想更精细:不同业务不同 IPS 策略
security-profile name IPS-ONLY
ips apply policy default
security-profile name AV-ONLY
av apply policy default
security-profile name HIGH-SEC
ips apply policy high
av apply policy high
三、关键结论(直接回答你的问题)
- 不需要每条策略都重新配置一遍 IPS/AV。
- 只需要建一个公共的 security-profile,每条策略引用它即可。
- 授权只要全局有效,不是按策略计数。
- 不引用 profile = 不开启 IPS/AV,流量直接过。
四、Web 界面对应操作
- 【策略】→【安全配置文件】→ 新建勾选 IPS、AV,选择对应策略
- 【安全策略】→ 编辑每条 untrust 相关策略
- 在【安全配置文件】里选择你建好的文件
五、最简单一句话总结
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明