E8000E-X策略特性介绍.pptx

资源描述

E8000E-X策略特性介绍.pptx

《E8000E-X策略特性介绍.pptx》由会员分享，可在线阅读，更多相关《E8000E-X策略特性介绍.pptx（29页珍藏版）》请在冰点文库上搜索。

E8000E-X策略特性介绍.pptx

HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialSecurityLevel:

E8000E-XPolicy特性介绍HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage2第第第第1111章章章章策略特性介绍策略特性介绍策略特性介绍策略特性介绍第第22章章安全策略介绍及配置安全策略介绍及配置第第33章章NATNAT策略介绍及配置策略介绍及配置第第4章章审计策略介绍及配置审计策略介绍及配置第第5章章限流策略介绍及配置限流策略介绍及配置HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage3策略特性介绍l策略化的特性包括安全策略、NAT策略、审计策略及限流策略，分别对应V2R1版本的包过滤、NAT、Sessionlog、Ipcar特性。

在数据面查询的位置是不变的，主要是配置方式的变化。

l包过滤、NAT、Sessionlog、Ipcar之前的配置方式都是采用ACL定义过滤规则，然后将ACL应用于不同区域之间。

策略化以后这四个特性不再使用acl配置过滤规则，而是直接在各个特性的视图下单独配置规则。

HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidential策略配置与ACL配置区别3000类ACL规则举例POLICY规则举例样例aclnumber3000rule0permittcpsourceaddress-setsrcdestination1.1.1.10precedence1tos1logging策略配置中将各个属性分开来配置Permit-actionSource-policysourceDestinationpolicydestination等policy0action（不同的策略会不同）policyserviceservice-settcppolicysourceaddress-setsrcpolicydestination1.1.1.10policytime-rangeallpolicyprecedence1policytos1policylogging规则号的转换rule0policy0HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidential策略配置简介策略（policy）能够通过指定报文的源地址、目的地址、端口号、上层协议等信息组合定义网络中的数据流，是安全策略（Policy）、NAT策略（NAT-policy）、审计策略（Audit-policy）、限流策略（Car-policy）的基础。

安全策略还可以配置：

PolicyloggingNAT策略要配置地址池或静态映射：

address-groupINTEGER|STRING，static-mappingINTEGER限流策略要配置car-classSTRING策略idHUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidential策略配置与ACL配置区别策略特征：

（1）支持地址、服务的多选操作

（2）源地址、目的地址支持掩码格式，反掩码格式，范围地址格式（3）只存在服务，服务分三类：

预定义服务、自定义服务、服务组（4）支持使能、去使能状态；支持移动；支持复制。

（5）只能在单个域间或安全域生效；（6）对于安全策略、审计策略配置了动作该策略才生效，才会进行规则匹配；对于NAT策略必须配置了地址池和动作才生效，限流策略必须配置限流类和动作。

ACL特征：

（1）只支持配置单个地址、服务

（2）源地址、目的地址只支持反掩码格式（反掩码可不连续）（3）服务、TCP/UDP端口/端口集、ICMPtype和code、其他协议（4）不支持使能、去使能状态；不支持移动，不支持复制（5）ACL规则与应用无关，不指定ASPF，LONG-LINK，NAT（6）ACL能被多次引用，可以在多个域间被引用HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidential策略的相关概念地址集l地址集地址集（Ipaddress-set）用于将零散的IP地址或IP段归类命名，提高了IP地址管理的层次性。

策略支持引用地址集合，简化了配置、同时增加可读性和可维护性。

l地址集支持地址对象和地址组两种，地址对象只能配置地址，地址组可以配置地址，还可以配置地址对象和地址组。

ipaddress-setyidong1typeobjectaddress03.3.3.30address13.3.3.40ipaddress-setyidongtypegroupaddress03.3.3.50address1address-setyidong1l地址对象规格为8192，每个地址对象可以配置1024个元素。

l地址组规格为8192，每个地址组可以配置256个元素。

HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidential策略的相关概念服务集l服务集服务集（Ipservice-set）取代了之前的端口集，用于将协议、源端口和目的端口组合归类命名。

策略支持引用服务集合，简化了配置、同时增加可读性和可维护性。

l服务集支持服务对象和服务组两种，服务对象只能配置服务元素，服务组只能配置服务对象。

ipservice-setyidong1typeobjectservice0protocoludpsource-port400destination-port5000service1protocoltcpsource-port500destination-port400ipservice-setyidongtypegroupservice03.3.3.50service1service-setyidong1l服务对象规格为8192，每个地址对象可以配置64个元素。

l地址组规格为8192，每个地址组可以配置16个元素。

HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidential策略的相关概念服务集l预定义服务集预定义服务集（predefined-service），不用用户自己定义，系统定义好的一些服务，用户不能修改，通常是知名协议。

displaypredefined-service16:

10:

502013/04/08httptcp/80telnettcp/23ftptcp/21rasudp/1719dnsudp/53rtsptcporudp/554ilstcp/1002or389HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidential各策略特性配置举例样例：

以trust和untrust域间为例aclnumber3000rule0permittcpsource3.3.3.30destination2.2.2.20包包过滤:

FirewallinterzonetrustuntrustPacket-filter3000inbound安全策略安全策略policyinterzonetrustuntrustinboundpolicy0actionpermitpolicyserviceservice-settcppolicysource3.3.3.30policydestination2.2.2.20NAT:

Firewallinterzonetrustuntrustnatoutbound3000address-group10NAT策略策略nat-policyinterzonetrustuntrustoutboundpolicy0actionsource-natpolicyserviceservice-settcppolicysource3.3.3.30policydestination2.2.2.20address-group10HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidential各策略特性配置举例样例：

以trust和untrust域间为例Sessionlog:

Firewallinterzonetrustuntrustsessionlogenableacl-number3000inbound审计策略策略audit-policyinterzonetrustuntrustinboundpolicy0actionauditpolicyserviceservice-settcppolicysource3.3.3.30policydestination2.2.2.20ipcar:

Firewallzonetrustip-car3000classclass-number|session-limitsession-num|session-rate-limitsession-rate-num限流策略限流策略car-policyzonetrustpolicy0actioncarpolicyserviceservice-settcppolicysource3.3.3.30policydestination2.2.2.20car-classtestHUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidential策略匹配顺序l策略采用顺序匹配原则，按照用户配置规则的先后顺序进行匹配，显示的顺序即为策略的匹配顺序，前面的优先级高。

l以安全策略为例，数据流一旦与一条规则匹配成功，将不再继续向下匹配policyinterzonetrustuntrustinboundpolicy0actionpermitpolicyserviceservice-setudppolicysource3.3.3.30policydestination2.2.2.20policy1actiondenypolicysource3.3.3.40policy5actionpermitHUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidential策略支持调整功能l策略启用与禁用配置策略后默认是启用的，可以通过下面命令启用或禁用一条策略policypolicy-idenable|disable，l策略移动将策略1移动到策略2之前或之后，从而调整策略匹配优先级policymovepolicy-id1before|afterpolicy-id2l策略复制复制生成一个与指定策略完全相同的新策略。

policycopypolicy-idpolicy-new-idHUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidential策略的查询lV3R1不支持硬件tcam查询，ACL及策略查找全部采用软件查询。

l查询结构：

所有ACL和policy的规则生成一个查询结构。

l修改、添加、删除规则，或是修改地址集、服务集都需要重新生成查询结构。

l生成查询结构有两种方法：

1，自动生成，配置完毕后1分钟会构建生成查询结构。

2，手动使能生成，执行命令aclaccelerateenable会立即构建查询结构。

注意：

在查询结构生成之前新配置的规则不能生效。

HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage15第第11章章策略特性介绍策略特性介绍第第第第2222章章章章安全策略介绍与配置安全策略介绍与配置安全策略介绍与配置安全策略介绍与配置第第33章章NATNAT策略介绍及配置策略介绍及配置第第4章章审计策略介绍及配置审计策略介绍及配置第第5章章限流策略介绍及配置限流策略介绍及配置HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidential安全策略介绍l安全策略，即包过滤，作为一种网络安全保护机制，用于控制在两个不同安全级别网络之间数据的流入和流出，是防火墙安全功能的重要组成部分。

安全策略支持域间和域内配置。

l为了实现安全策略功能，需要配置一系列的过滤规则，当报文在两个安全区域之间流动时，防火墙的安全策略功能生效Internet公司总部内部网络未授权用户办事处HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidential安全策略的配置l安全策略配置方式与老的包过滤不同，但是功能完全相同。

老的包过滤是用acl来配置的，例如:

AdvancedACL3322,2rules,notbindingwithvpn-instanceAclsstepis5rule5permitudpsource3.3.3.30destination2.2.2.20rule10denyFirewallinterznetrustuntrustpacket-filter3322inboundl安全策略配置如下：

policyinterzonetrustuntrustinboundpolicy0actionpermitpolicyserviceservice-setudppolicysource3.3.3.30policydestination2.2.2.20policy1actiondenyHUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidential安全策略和域间缺省包过滤的关系防火墙任意两个安全区域之间都存在缺省包过滤缺省包过滤，也就是说可以用域间默认包过滤就可以实现简单的访问控制。

如果域间缺省包过滤是打开的，那么可以从配置中看到：

firewallpacket-filterdefaultpermitinterzonelocaltrustdirectioninboundfirewallpacket-filterdefaultpermitinterzonelocaltrustdirectionoutbound如果域间默认包过滤是关闭的，那么配置中就不显示任何信息。

在未做任何配置的情况下，防火墙默认保留区域之间的默认包过滤是打开的。

安全策略要优先于优先于域间缺省包过滤：

HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidential安全策略举例l域间默认包过滤都关闭，并在域间配置如下安全策略trustuntrustoutboundinbound2.2.2.2AB只有udp的报文可以通过可以访问所有资源policyinterzonetrustuntrustinboundpolicy0actionpermitpolicyserviceservice-setudppolicysource3.3.3.30policydestination2.2.2.20policy1actiondenyPolicyinterzonetrustuntrustoutboundPolicy0actionpermit3.3.3.3HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage20第第11章章策略特性介绍策略特性介绍第第22章章安全策略介绍与配置安全策略介绍与配置第第第第3333章章章章NATNATNATNAT策略介绍与配置策略介绍与配置策略介绍与配置策略介绍与配置第第4章章审计策略介绍及配置审计策略介绍及配置第第5章章限流策略介绍及配置限流策略介绍及配置HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialNAT策略介绍lNAT（NetworkAddressTranslation，网络地址转换）是将IP数据报报头中的IP地址转换为另一个IP地址的过程。

在实际应用中，NAT主要用于实现私有网络访问外部网络的功能。

这种通过使用少量的公有IP地址代表较多的私有IP地址的方式，将有助于减缓可用IP地址空间枯竭的速度。

lNAT策略支持域间和域内配置。

HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialNAT策略的配置lNAT策略配置方式与老的NAT不同，但是功能完全相同。

老的NAT是用acl来配置的，例如:

AdvancedACL3322,2rules,notbindingwithvpn-instanceAclsstepis5rule5permitudpsource3.3.3.30destination2.2.2.20rule10denyFirewallinterznetrustuntrustnatinbound3322address-group10lNAT策略配置如下：

nat-policyinterzonetrustuntrustinboundpolicy0actionpermitpolicyserviceservice-setudppolicysource3.3.3.30policydestination2.2.2.20address-group10policy1actiondenyHUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage23NAT转换过程lNAT网关处于私有网络和公有网络的连接处。

当内部PC（192.168.1.3）向外部服务器（202.120.10.2）发送packet1时，数据报通过NAT网关lNAT网关查看报头内容，发现该数据报是发往外网的，那么它将packet1的源地址字段的私有地址192.168.1.3换成一个可在Internet上选路的公有地址202.169.10.1，并将该数据报发送到外部服务器，同时在NAT网关的网络地址转换表中记录这一映射l外部服务器给内部PC发送应答报文packet2（其初始目的地址为202.169.10.1），到达NAT网关后，NAT网关再次查看报头内容，然后查找当前网络地址转换表的记录，用原来的内部PC的私有地址192.168.1.3替换目的地址HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage24NAT策略配置举例l首先配置地址池：

配置公网地址池。

nataddress-group10Section202.169.10.1l配置域间NAT策略：

nat-policyinterzonetrustuntrustoutboundpolicy0actionsource-natpolicysource192.168.1.30policydestination202.120.10.20address-group10policy1actionno-natHUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage25第第11章章策略特性介绍策略特性介绍第第22章章安全策略介绍与配置安全策略介绍与配置第第3章章NAT策略介绍与配置策略介绍与配置第第第第44章章章章审计策略介绍与配置审计策略介绍与配置审计策略介绍与配置审计策略介绍与配置第第5章章限流策略介绍及配置限流策略介绍及配置HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidential审计策略介绍及配置l审计策略（Audit-policy）实现的是会话日志（sessionlog）的功能。

在审计策略中配置策略规则，命中其中规则的流量会向日志服务器发送会话日志。

审计策略支持域间和域内配置。

l配置域间审计策略audit-policyinterzonetrustuntrustoutboundpolicy0actionauditpolicysource192.168.1.20policydestination202.120.10.20policy1actionno-auditHUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage27第第11章章策略特性介绍策略特性介绍第第22章章安全策略介绍与配置安全策略介绍与配置第第3章章NAT策略介绍与配置策略介绍与配置第第4章章审计策略介绍与配置审计策略介绍与配置第第第第55章章章章限流策略介绍与配置限流策略介绍与配置限流策略介绍与配置限流策略介绍与配置HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidential限流策略介绍及配置l限流策略（car-policy）实现的是ipcar的功能。

在限流策略中配置策略规则，命中其中规则的流量会做带宽、会话速率或会话数限制。

限流策略是配置在域内的。

l配置域内限流策略l首先配置限流类：

car-classtestsession-limit2000session-rate-limit500cir5000l配置域内限流策略car-policyzonetrustpolicy0actioncarpolicysource192.168.1.20policydestination202.120.10.20car-classtestpolicy1actionno-car谢谢

展开阅读全文