一. 域間策略概述
如圖1-1所示,域間策略是一種基於安全域實現對報文流的檢查,並根 據檢查結果對報文實行相應動作的域間策略。乙個安全域中,可以包 含多個成員。例如,可以將公司安全防護裝置上連線到內網的介面作 為成員加入安全域 trust,連線 internet 的介面作為成員加入安全域 untrust,這樣管理員只需要部署這兩個安全域之間的域間策略即可。 如果後續網路環境發生了變化,則只需要調整相關安全域內的介面, 而域間策略不需要修改。
二. 域間策略分類
域間策略包括:包過濾、aspf、物件策略和安全策略。管理員可以根據不同的應用場景,選擇不同的域間策略對報文進行**控制。其中包過濾、aspf 和物件策略是基於安全域間例項進行配置,安全策略是基於全域性進行配置。
1. 包過濾
包過濾功能是根據報文的五元組(源ip位址、目的ip位址、源埠、目的埠、傳輸層協議)實現對報文在不同安全域之間的**進行控制。舉例如下:
如圖1-2所示,若希望只允許市場部員工可以訪問internet網頁,而財務部的員工不可以訪問internet網頁,則需要在邊界裝置的 trust 和 untrust 安全域之間的兩個方向上均應用包過濾策略。策略中需要配置兩條規則 rule-1 和 rule-2,保證市場部的員工可以訪問 internet 網頁。預設策略可以禁止財務部員工訪問 internet 網頁。
2. aspf(高階狀態包過濾)
aspf可以對已放行報文進行資訊記錄,使已放行報文的回應報文在應用了包過濾策略的安全域之間可以正常通過。舉例如下:
如圖 1-3 所示,為了保護內部網路,可以在邊界裝置的 trust 到untrust 安全域方向上應用包過濾策略和 aspf 策略,只允許市場部的員工訪問 internet 網頁,同時拒絕 untrust 網路中的主機訪問 trust
網路。但是包過濾策略會將使用者發起連線後返回的報文過濾掉,導致連線無法正常建立。利用 aspf功能可以解決此問題。預設策略可以禁止財務部員工訪問 internet 網頁。
3. 物件策略
物件策略基於全域性進行配置,基於安全域間例項進行應用。在安全域間例項上應用物件策略可以實現對報文的檢查,並根據檢查結果允許或拒絕其通過。舉例如下:
如圖 1-4 所示,若希望只允許市場部的員工可以訪問 internet 網頁, 但禁止其瀏覽**網,則需要配置圖 1-4 中的物件策略,並將物件策略應用在trust 到 untrust 安全域間例項上。預設策略可以禁止財務 部員工訪問 internet 網頁。
4. 安全策略
H3C防火牆 安全域
一.基本概念 安全域 是乙個邏輯概念,用於管理安全防護裝置上的安全需求相 同的多個介面,便於實現安全控制策略的統一管理。預設安全域 當首次建立安全策略或域間策略時,系統會自動建立 以下安全域 local trust dmz,management和untrust。預設安全域不能被刪掉。dmz 指介於嚴...
H3C防火牆DHCP配置
1,配置安全策略將trust到local域 local到trust域資料全放通策略 在 安全策略 中點選 新建 建立策略名稱為互通,源安全域 目的安全域選擇多選,並選中local ttrust。策略配置如下圖所示,點選 確定 完成策略配置。2,配置dhcp服務 在 網路 dhcp 服務 中開啟dhc...
H3C防火牆安全策略故障排查思路
空配情況誰和誰都不通,全部禁止,介面加了域並配置了策略之後才能訪問。並不像華為裝置的高區域級別到低區域級別能通,反之不可,華三的裝置不管區域的優先順序是多少,除非通過策略,預設誰和誰都不通。看,華三的防火牆新增新區域的時候並沒有讓填寫區域,這和華為的不一樣。主要思路有兩步 如何判斷報文是否到達防火牆...