关键词:域间策略
摘要:域间策略在安全域之间实现流识别功能,对于特定报文根据预先设定的操作允许或禁止该报文通过并实时监控流状态变化。
缩略语:
缩略语英文全名中文解释
ACL Access Control List 访问控制列表
目录
1 特性简介 (3)
2 应用场合 (3)
3 注意事项 (3)
4 配置举例 (3)
4.1 组网需求 (3)
4.2 配置思路 (4)
4.3 使用版本 (4)
4.4 配置步骤 (4)
4.4.2 接口加入域 (6)
4.4.3 配置时间段 (8)
4.4.4 配置地址对象 (9)
4.4.5 配置域间策略 (9)重大危险源辨识2009
4.5 验证结果 (11)
4.5.1 内部主机Public在上班时间访问外部网络 (11)
4.5.2 其他内部主机在上班时间访问外部网络 (12)
5 相关资料 (12)
5.1 相关协议和标准 (12)
5.2 其它相关资料 (12)
1 特性简介
域间策略是基于ACL(Access Control List,访问控制列表),在安全域之间实现流识别功能的。世界末日论
域间策略在一对源安全域和目的安全域之间维护一个ACL,该ACL中可以配置一系列的匹配规则,以识别出特定的报文,然后根据预先设定的操作允许或禁止该报文通过。 域间策略通过引用资源管理中的地址资源和服务资源,来根据报文的源IP地址、目的IP地址、源MAC地址、目的MAC地址、IP承载的协议类型和协议的特性(例如TCP或UDP的源端口/目的端口、ICMP协议的消息类型/消息码)等信息制定匹配规则。每条规则还可以通过引用资源管理中的时间段资源,来指定这条规则在该时间段定义的时间范围内有效。
2 应用场合
需要进行流识别,流状态监控、安全域间设置防火墙的任何场合。
3 注意事项
域间策略使用的ACL序号是系统自动分配的,当首次在两个安全域之间创建域间策略的规则时,系统自动为该域间策略创建一个ACL,并从6000开始,分配当前未使用的最小序号给该ACL;当该域间策略的规则全部被删除时,系统自动删除该ACL。
河南烟草局长在Web页面上,某源域和目的域间规则在规则列表中显示的前后顺序即为匹配顺序,显示在前的规则先进行匹配,显示在后的规则后进行匹配。缺省情况下,规则的匹配顺序为用户的配置顺序,即先配置的规则先进行匹配,后配置的规则后进行匹配。
4 配置举例
4.1 组网需求
本配置举例中,设备使用的是U200-S。本典型配置适合SecPath F5000-A5、SecPath F1000E、SecPath UTM 200-A/200-M/200-S防火墙
z如图1所示,公司内部网络通过Device与Internet互连。内部网络属于Trust安全域,外部网络属于Untrust安全域。
z要求正确配置域间策略,允许内部主机Public(IP地址为10.1.1.12/24)在任何时候访问外部网络;禁止内部其他主机在上班时间(星期一~星期五的8:00~18:00)访问外部网络。
图1 域间策略组网图
4.2 配置思路
z
配置接口地址 z
配置安全域 z
配置时间段 z
配置地址对象 z 配置域间策略
4.3 使用版本
kjava游戏SecPath F1000E :V300R001B01 R3166系列版本、V300R001B01 F3166系列版 SecPath F5000-A5:V300R002B01 R3206
系列版本
SecPath UTM 200-A/200-M/200-S 防火墙:V500R001B01 R5116系列版本
4.4 配置步骤
4.4.1 配置接口地址
1. 配置接口GE0/2地址
z 在左侧导航栏中点击“设备管理 > 接口管理”。
图2 接口管理
五点法
z点击GE0/2栏中的按钮,进入“接口编辑”界面。按照下图设置接口GE0/2,点击< 确定>返回“接口管理”界面。
图3接口编辑
弥撒曲
2. 配置接口GE0/1地址
z在左侧导航栏中点击“设备管理 > 接口管理”。
图4接口管理
z点击G0/1栏中的按钮,进入“接口编辑”界面。按照下图设置接口G0/1,点击< 确定>返回“接口管理”界面。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议