所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

SD-WAN V100R018C00 配置指南

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置站点安全策略

配置站点安全策略

背景信息

一个站点只能绑定一个安全策略,安全策略可以包含URL过滤、IPS、防火墙三个功能中的一个或多个。

  • URL过滤

    URL过滤功能可以对用户访问的统一资源定位符URL(Uniform Resource Locator)进行控制,允许或禁止用户访问某些网页资源,达到规范上网行为的目的。当用户发起HTTP请求时,CPE设备作为企业网关通过URL过滤功能可以允许或禁止用户访问某些网站资源。例如: 当用户访问学习教育类的网站时,设备允许其访问。 当用户访问游戏暴力类的网站时,设备禁止其访问。

  • IPS

    入侵防御系统IPS(Intrusion Prevention System)是一种安全机制,通过分析网络流量可以检测出入侵行为(包括缓冲区溢出攻击、木马、蠕虫等),并通过一定的响应方式对其进行实时中止,从而保护企业信息系统和网络架构免受侵害。

  • 防火墙

    防火墙(Firewall)是一种隔离技术,使内网和外网分开,可以防止外部网络用户以非法手段通过外部网络进入内部网络,保护内网免受外部非法用户的侵入。

    • 入方向允许列表

      使能防火墙使能后,系统默认阻断从WAN侧网络主动访问内网的入方向业务,如果有入方向业务需求,可以通过配置入方向允许列表,允许WAN侧网络主动访问内网的业务报文通过。

    • 出方向禁止列表

      使能防火墙使能后,系统默认允许从内网主动访问WAN侧网络的出方向业务,如果需要禁止某些出方向业务,可以配置出方向禁止列表,阻断业务报文通过。

数据准备

表6-105 URL过滤信息

参数

数据

策略名称

test_security_URL

默认动作

允许

例外列表

-

启用预定义分类

ON

过滤级别

站点

Hub1、Hub2

表6-106 防火墙信息

参数

数据

策略名称

test_security_FW

入方向默认动作

拒绝

入方向列表

优先级

1

动作

允许

协议

TCP

源IP

10.1.1.1/32

源端口

-

目的IP

10.1.2.1/32

目的端口

-

出方向默认动作

允许

出方向列表

-

表6-107 IPS信息

参数

数据

策略名称

test_security_IPS

IPS模板

strict

操作步骤

  1. 依次单击配置 > 安全策略
  2. 配置安全策略。

    • 配置URL过滤策略
      1. 单击“URL”,进入URL过滤配置界面,选择需要配置的站点所属的“VPN”
      2. 单击“新建”,输入“策略名称”
      3. 选择“默认动作”
      4. “例外列表”位置,单击“新建”,在“URL”列输入需要例外的URL地址。
      5. (可选)启用预定义分类。
        1. 打开“启用预定义分类”开关。
        2. 选择“过滤级别”,如果选择“自定义”过滤级别,单击“设置”。在弹出的“设置过滤级别”窗口中,选择需要修改配置的类别,单击窗口左上角的“允许”“拒绝”。单击“确定”,完成自定义过滤级别配置。
      6. 单击“确定”

    • 配置防火墙策略
      1. 单击“防火墙”,进入防火墙配置界面,选择需要配置的站点所属的“VPN”
      2. 单击“新建”,输入“策略名称”
      3. “入方向允许列表”“出方向禁止列表”中,单击“新建”
      4. 选择“协议”,配置源/目的IP和端口。
      5. 单击“确定”

    • 配置IPS策略
      1. 单击“IPS”,进入IPS配置界面,选择需要配置的站点所属的“VPN”
      2. 单击“新建”,输入“策略名称”
      3. 选择IPS模板。
      4. 单击“确定”

  3. 配置站点绑定策略。

    1. 选择“URL”“防火墙”或者“IPS”,切换至要关联站点的安全策略的界面。
    2. 在策略列表的操作列单击,在弹出的“关联站点”窗口中,选择需要绑定该策略的站点。
    3. 单击,单击“确定”

  4. 下发安全策略到站点,并设置策略开始执行时间。

    1. 选择“URL”“防火墙”或者“IPS”,切换至要下发策略的界面。
    2. 选择需要提交的策略名称,单击“提交”,选择“提交选中”
    3. 在弹出的“提交”窗口中,选择“生效时间”,单击“确定”

表6-108 安全策略参数说明

参数

说明

URL过滤策略

策略名称

URL过滤策略名称,当设备识别出用户的报文为HTTP请求报文后,设备会进行进一步的内容过滤,提取出其中的URL字段并将其与配置的“例外列表”和“预定义分类”进行匹配,并根据配置的动作进行相应处理。

默认动作

  • 允许:系统对检测到的与URL分类匹配的HTTP请求报文不进行处理,允许其通过。
  • 拒绝:系统会阻断与URL分类匹配的HTTP请求。

例外列表

可以添加例外的URL网址。匹配例外列表的业务将执行和默认动作相反的动作。

启用预定义分类

为了简化用户的配置操作,系统为用户定制了高、中、低三种过滤级别,该配置只对URL预定义分类生效。

当前支持如下几种级别:

  • 高:代表相对比较严格的分类处理动作(例如:高级别对色情、P2P下载、视频等分类都进行了阻断)。
  • 中:代表相对比较中等的分类处理动作。
  • 低:代表相对比较宽松的分类处理动作(例如:低级别只对色情类的URL进行了阻断)。
  • 自定义:自定义URL的控制动作级别。

如果需要精细的策略控制,可以“自定义”过滤级别,设置每个类别的动作。

防火墙安全策略

策略名称

防火墙安全策略的名称。防火墙功能包含下面两部分:

  1. 开启包过滤防火墙。包过滤防火墙基于“入方向列表”和“出方向列表”识别数据报文,根据比较结果决定对报文进行转发或者丢弃。
  2. 开启状态监测防火墙ASPF(Application Specific Packer Filter),实现对应用层的FTP、SIP和RSTP协议进行检测,决定数据包是否被允许通过防火墙进入内部网络。ASPF除了阻止恶意的入侵,也能保证正常的数据报文不被ACL阻断。为了保护内部网络,一般情况下会在设备上配置ACL,以拒绝外部网络的主机访问内部网络。以FTP为例,ACL会将FTP服务器返回的报文过滤掉,导致连接无法正常建立。而使能了ASPF后,设备可以检测FTP会话,并创建一个临时访问控制列表(Temporary Access Control List,TACL),为FTP应用返回的报文在防火墙的外部接口上建立一个临时的返回通道。

入方向允许列表/出方向禁止列表

协议

通过选择名字或选择“Protocol Number”并输入数字来指定规则匹配报文的协议类型。

源IP

规则匹配报文的源IP地址。

源端口

规则匹配报文的源端口。

仅在协议为“tcp”或者“udp”时可以配置。

目的IP

规则匹配报文的目的IP地址。

目的端口

规则匹配报文的目的端口。

仅在协议为“tcp”或者“udp”时可以配置。

描述

描述规则的含义或注意事项,方便理解和维护。

IPS策略

策略名称

IPS(Intrusion Prevention System )安全策略的名称。

IPS模板

设备预置了多个IPS模板以适用于不同的应用场景。

单击“详情”,可以查看到选择的IPS模板的具体信息。

翻译
下载文档
更新时间:2019-03-04

文档编号:EDOC1100019695

浏览量:23005

下载量:378

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页