在安全策略中引用地区和地区组
地区是公网IP地址在地理位置上的映射,地区组是地区的集合,因此,地区和地区组在本质上是IP地址组。使用地区和地区组,可以根据地理位置配置安全策略。例如,某企业对外提供Web服务,出于安全考虑,不允许A国家访问。此时,可以配置源地址为“A国家”、动作为“禁止”的安全策略,禁止A国家的用户访问该Web服务。
为了简化用户操作,华为防火墙提供了地区识别特征库,即预定义地区。目前,国内的预定义地区支持到省和城市级别,海外支持到国家级别。
地区识别特征库是按照国家和地区划分的IP地址组,由华为收集和维护,可以通过升级中心定期更新或者手动更新。由于地区识别特征库的更新有一定的滞后性,防火墙还提供了3种自定义配置手段。自定义配置的优先级高于预定义地区。
- 自定义地区:手动创建新的地区,并指定符合条件的IP地址。
- 向预定义地区中添加IP地址:当发现某地区中缺少某IP地址时,可以向预定义地区中添加。
- 排除预定义地区中的IP地址:当发现某地区中的IP地址归属错误时,可以将该地址加入到正确的地区或者未知区域,以排除该地址。
自定义地区
自定义地区是孤立的,跟预定义地区没有归属关系。私网IP地址用于本地局域网,不属于任何地理意义上的国家和地区,默认归属为“未知区域”。如果需要从地区维度来管理和展示本地局域网的业务,可以为局域网的私网IP地址创建自定义地区。
# 创建自定义地区HangZhouBranch,并添加本地局域网地址段。
location geo-location user-defined HangZhouBranch description Hangzhou branch add address 10.10.1.0 mask 24
向预定义地区中添加IP地址
IP地址的缺失可能会影响正常的业务访问。例如,管理员配置了允许A地区访问Web服务的安全策略,结果A地区的某个PC无法访问。如果安全策略配置正确,说明此PC的IP地址错误的划入了其他地区,此时可以将此IP地址加入A地区。
# 在预定义地区BeiJing中添加IP地址段10.20.20.20~10.20.20.30。
location geo-location pre-defined BeiJing add address range 10.20.20.20 10.20.20.30
排除预定义地区中的IP地址
排除IP地址是通过在其他地区中添加IP地址来实现的,不能通过命令在当前地区中直接删除IP地址。如果你清楚这些IP地址所属的真实地区,可以参照“向预定义地区中添加IP地址”,将这些IP地址添加到对应地区。如果不清楚,可以将这些IP地址添加到“未知区域”。
# 排除预定义地区BeiJing中的IP地址段10.10.10.1~10.10.10.20到未知区域。
location geo-location pre-defined unknown-zone add address range 10.10.10.1 10.10.10.20
在安全策略中引用地区组
下面以禁止某些国家访问DMZ区域的HTTPS服务为例,展示地区组的应用方法。
# 创建地区组Five。在命令行中添加国家时可以使用ISO标准定义的二位国家代码,或者直接输入国家名称。
location geo-location-set Five add geo-location AU //以二位国家代码形式添加Australia add geo-location CA add geo-location NewZealand //直接输入国家名称,注意大小写并去掉空格 add geo-location UnitedKingdom add geo-location UnitedStates
由于国家和地区很多,且命令行严格限制了国家和地区的输入规范,使用命令行配置地区组不方便,推荐在Web界面上操作。在“可选”区域的搜索框输入国家名,可以快速定位并选择该国家。
# 配置安全策略,禁止源地址为Five的流量访问HTTPS服务。
security-policy
rule name "Deny Five"
source-zone untrust
destination-zone dmz
source-address geo-location Five //以地区组方式指定源地址
service protocol https
action deny
