FAQ-如何配置域间包过滤?

发布时间:  2012-10-24 浏览次数:  175 下载次数:  0
问题描述
Q:如何配置域间包过滤?
告警信息
处理过程
域间包过滤的配置包括ACL和Policy两种方式,USG5300 V100R002及之前版本使用ACL方式,USG5300 V100R003及之后版本使用Policy方式。

下面以图1所示组网为例,允许192.168.0.2/24访问Internet,禁止192.168.0.3访问Internet,分别介绍ACL方式和Policy方式如何配置基于IP地址的域间包过滤。域间包过滤的详细配置请参见产品文档。

图1 基于IP地址域间包过滤组网


ACL方式:
<sysname> system-view
[sysname] acl 3001
[sysname-acl-adv-3001] rule permit ip source 192.168.0.2 0  //可以在rule规则中配置源、目的、协议和生效时间段等参数。
[sysname-acl-adv-3001] rule deny ip source 192.168.0.3 0
[sysname-acl-adv-3001] quit
[sysname] firewall interzone trust untrust
[sysname-interzone-trust-untrust] packet-filter 3001 outbound

Policy方式:
<sysname> system-view
[sysname] policy interzone trust untrust outbound
[sysname-policy-interzone-trust-untrust-outbound] policy 1
[sysname-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.2 0  //policy id视图内可以配置源、目的、协议和时间段等参数。
[sysname-policy-interzone-trust-untrust-outbound-1] action permit
[sysname-policy-interzone-trust-untrust-outbound-1] quit
[sysname-policy-interzone-trust-untrust-outbound] policy 2   //可以配置多个policy id。在policy域间视图使用display this查看policy id的排序,排在上面的policy id匹配优先级高于排在下面的policy id。
[sysname-policy-interzone-trust-untrust-outbound-2] policy source 192.168.0.3 0
[sysname-policy-interzone-trust-untrust-outbound-2] action deny
根因
建议与总结
下面两个命令并非配置域间包过滤命令,关于ASPF的详细介绍和应用场景请参见具体的产品文档。

detect user-defined acl-number { inbound | outbound }命令用于配置自定义ASPF功能,生成三元组server-map表,并非配置域间包过滤。
aspf packet-filter acl-number { inbound | outbound }命令用于决定是否转发存在相应server-map表项的报文。
该命令的功能与包过滤功能类似。包过滤功能可以通过检测报文的五元组信息决定是否转发报文和建立会话,aspf packet-filter则可以决定是否转发存在相应server-map表项的报文。

由于ASPF功能建立的server-map表项放宽了会话的五元组限制,在保证了业务得到转发的同时,也使得某些端口的访问被放开,存在一定的安全隐患。所以一方面,在配置ASPF功能的时候,用于匹配流量的ACL应配置得越精确越好,另一方面,对于已经建立了sever-map表项的报文,虽然不会进行包过滤规则的检查,但是通过aspf packet-filter命令,也可以阻止其中的一部分报文被转发。

END