E8000E-X策略特性介绍.ppt

1、E8000E-X Policy 特性介绍,内容介绍,第1章 策略特性介绍 第2章 安全策略介绍及配置 第3章 NAT策略介绍及配置 第4章 审计策略介绍及配置 第5章 限流策略介绍及配置,策略特性介绍,策略化的特性包括安全策略、NAT策略、审计策略及限流策略，分别对应V2R1版本的包过滤、NAT、Session log、Ipcar特性。在数据面查询的位置是不变的，主要是配置方式的变化。 包过滤、NAT、Session log、Ipcar之前的配置方式都是采用ACL定义过滤规则， 然后将ACL应用于不同区域之间。策略化以后这四个特性不再使用acl配置过滤规则，而是直接在各个特性的视图下单独配置规

2、则。,策略配置与ACL配置区别,策略配置简介,策略（policy）能够通过指定报文的源地址、目的地址、端口号、上层协议等信息组合定义网络中的数据流，是安全策略（Policy）、NAT策略（NAT-policy）、审计策略（Audit-policy）、限流策略（Car-policy）的基础。,policy policyid action（不同的策略会不同） policy service service-set STRING & policy source srcip wildcard | 0 | mask masklen | mask | address- set STRING & | rang

3、e startip endip policy destination dstip wildcard | 0 | mask masklen | mask | address-set STRING & | range startip endip policy precedence | tos | time-range *,配置策略的动作，不用策略对应不同的动作，如policy为permit/deny，nat为source-nat/no-nat,配置服务，包括协议，源 端口和目的端口,配置源ip地址,配置目的ip地址,配置其他属性,此外： 安全策略还可以配置： Policy logging NAT策

4、略要配置地址池或静态映射： address-group INTEGER | STRING ， static-mapping INTEGER 限流策略要配置 car-class STRING,策略id,策略配置与ACL配置区别,策略特征： （1）支持地址、服务的多选操作 （2）源地址、目的地址支持掩码格式，反掩码格式，范围地址格式 （3）只存在服务，服务分三类：预定义服务、自定义服务、服务组 （4）支持使能、去使能状态；支持移动；支持复制。 （5）只能在单个域间或安全域生效； （6）对于安全策略、审计策略配置了动作该策略才生效，才会进行规则匹配；对于NAT策略必须配置了地址池和动作才生效，限流策

5、略必须配置限流类和动作。 ACL特征： （1）只支持配置单个地址、服务 （2）源地址、目的地址只支持反掩码格式（反掩码可不连续） （3）服务、TCP/UDP 端口/端口集、ICMP type和code、其他协议 （4）不支持使能、去使能状态；不支持移动，不支持复制 （5）ACL规则与应用无关，不指定ASPF，LONG-LINK，NAT （6）ACL能被多次引用，可以在多个域间被引用,策略的相关概念地址集,地址集（Ip address-set） 用于将零散的 IP 地址或 IP 段归类命名，提高了 IP 地址管理的层次性。策略支持引用地址集合，简化了配置、同时增加可读性和可维护性。 地址集支持地

6、址对象和地址组两种，地址对象只能配置地址，地址组可以配置地址，还可以配置地址对象和地址组。,ip address-set yidong1 type object address 0 0 address 1 0 ,ip address-set yidong type group address 0 0 address 1 address-set yidong1 ,地址对象规格为8192，每个地址对象可以配置1024个元素。 地址组规格为8192，每个地址组可以配置256个元素。,策略的相关概念服务集,服务集（Ip service-set）取代了之前

7、的端口集， 用于将协议、源端口和目的端口组合归类命名。策略支持引用服务集合，简化了配置、同时增加可读性和可维护性。 服务集支持服务对象和服务组两种，服务对象只能配置服务元素，服务组只能配置服务对象。,ip service-set yidong1 type object service 0 protocol udp source-port 400 destination-port 5000 service 1 protocol tcp source-port 500 destination-port 400 ,ip service-set yidong type group service 0

8、 0 service 1 service-set yidong1 ,服务对象规格为8192，每个地址对象可以配置64个元素。 地址组规格为8192，每个地址组可以配置16个元素。,策略的相关概念服务集,预定义服务集（predefined-service），不用用户自己定义，系统定义好的一些服务，用户不能修改，通常是知名协议。,display predefined-service 16:10:50 2013/04/08 http tcp/80 telnet tcp/23 ftp tcp/21 ras udp/1719 dns udp/53 rtsp tcp or udp/554 i

9、ls tcp/1002 or 389 ,各策略特性配置举例,各策略特性配置举例,策略匹配顺序,策略采用顺序匹配原则，按照用户配置规则的先后顺序进行匹配，显示的顺序即为策略的匹配顺序，前面的优先级高。 以安全策略为例，,数据流一旦与一条规则匹配成功，将不再继续向下匹配,policy interzone trust untrust inbound policy 0 action permit policy service service-set udp policy source 0 policy destination 0 policy 1 action deny

10、 policy source 0 policy 5 action permit,策略支持调整功能,策略启用与禁用 配置策略后默认是启用的，可以通过下面命令启用或禁用一条策略 policy policy-id enable | disable ， 策略移动 将策略1移动到策略2之前或之后，从而调整策略匹配优先级 policy move policy-id1 before | after policy-id2 策略复制 复制生成一个与指定策略完全相同的新策略。 policy copy policy-id policy-new-id ,策略的查询,V3R1不支持硬件tcam查询，AC

11、L及策略查找全部采用软件查询。 查询结构：所有ACL和policy的规则生成一个查询结构。 修改、添加、删除规则，或是修改地址集、服务集都需要重新生成查询结构。 生成查询结构有两种方法：1，自动生成，配置完毕后1分钟会构建生成查询结构。2，手动使能生成，执行命令acl accelerate enable会立即构建查询结构。 注意：在查询结构生成之前新配置的规则不能生效。,Page 15,内容介绍,第1章 策略特性介绍 第2章 安全策略介绍与配置 第3章 NAT策略介绍及配置 第4章 审计策略介绍及配置 第5章 限流策略介绍及配置,安全策略介绍,安全策略，即包过滤，作为一种网络安全保护机制，用于

12、控制在两个不同安全级别网络之间数据的流入和流出，是防火墙安全功能的重要组成部分。安全策略支持域间和域内配置。 为了实现安全策略功能，需要配置一系列的过滤规则，当报文在两个安全区域之间流动时，防火墙的安全策略功能生效,安全策略的配置,安全策略配置方式与老的包过滤不同，但是功能完全相同。 老的包过滤是用acl来配置的，例如:,Advanced ACL 3322, 2 rules,not binding with vpn-instance Acls step is 5 rule 5 permit udp source 0 destination 0 rule 10 d

13、eny Firewall interzne trust untrust packet-filter 3322 inbound,安全策略配置如下：,policy interzone trust untrust inbound policy 0 action permit policy service service-set udp policy source 0 policy destination 0 policy 1 action deny,安全策略和域间缺省包过滤的关系,防火墙任意两个安全区域之间都存在缺省包过滤，也就是说可以用域间默认包过滤就可以实现简单的

14、访问控制。如果域间缺省包过滤是打开的，那么可以从配置中看到： firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound 如果域间默认包过滤是关闭的，那么配置中就不显示任何信息。在未做任何配置的情况下，防火墙默认 保留区域之间的默认包过滤是打开的。,安全策略要优先于域间缺省包过滤：,安全策略举例,域间默认包过滤都关闭，并在域间配置如下安全策略,

15、trust,untrust,outbound,inbound,,A,B,只有udp的报文可以通过,可以访问所有资源,policy interzone trust untrust inbound policy 0 action permit policy service service-set udp policy source 0 policy destination 0 policy 1 action deny Policy interzone trust untrust outbound Policy 0 action permit,3.3.3

16、.3,Page 20,内容介绍,第1章 策略特性介绍 第2章 安全策略介绍与配置 第3章 NAT策略介绍与配置 第4章 审计策略介绍及配置 第5章 限流策略介绍及配置,NAT策略介绍,NAT（Network Address Translation，网络地址转换）是将IP数据报报头中的IP地址转换为另一个IP地址的过程。在实际应用中，NAT主要用于实现私有网络访问外部网络的功能。这种通过使用少量的公有IP地址代表较多的私有IP地址的方式，将有助于减缓可用IP地址空间枯竭的速度。 NAT策略支持域间和域内配置。,NAT策略的配置,NAT策略配置方式与老的NAT不同，但是功能完全相同。 老的NAT是

17、用acl来配置的，例如:,Advanced ACL 3322, 2 rules,not binding with vpn-instance Acls step is 5 rule 5 permit udp source 0 destination 0 rule 10 deny Firewall interzne trust untrust nat inbound 3322 address-group 10,NAT策略配置如下：,nat-policy interzone trust untrust inbound policy 0 action permit po

18、licy service service-set udp policy source 0 policy destination 0 address-group 10 policy 1 action deny,Page 23,NAT转换过程,NAT网关处于私有网络和公有网络的连接处。当内部PC（）向外部服务器（）发送packet 1 时，数据报通过NAT网关 NAT网关查看报头内容，发现该数据报是发往外网的，那么它将packet 1的源地址字段的私有地址换成一个可在Internet上选路的公有地址

19、，并将该数据报发送到外部服务器，同时在NAT网关的网络地址转换表中记录这一映射 外部服务器给内部PC发送应答报文packet 2（其初始目的地址为），到达NAT网关后，NAT网关再次查看报头内容，然后查找当前网络地址转换表的记录，用原来的内部PC的私有地址替换目的地址,NAT策略配置举例,首先配置地址池： 配置公网地址池。 nat address-group 10 Section 配置域间NAT策略：,nat-policy interzone trust untrust outbound policy 0 action source-nat policy source 0 policy destination 0 address-group 10 policy 1 action no-nat,Page 25,内容介绍,第1章 策略特性介绍 第2章 安全策略介绍与配置 第3章 NAT策略介绍与配置 第4章 审计策略介绍与配置 第5章 限流策略介绍及配置,审计策略介绍及配置,审计策略（Au