1.对象策略简介

对象策略基于全局进行配置,基于安全域间实例进行应用。在安全域间实例上应用对象策略可实现对报文流的检查,并根据检查结果允许或拒绝其通过。对象策略通过配置对象策略规则实现。

一个对象策略中可以包含多条对象策略规则。对象策略规则通过指定对象组来描述报文匹配条件的判断语句,匹配条件可以是报文的源 IP 地址、目的 IP 地址、服务类型、应用和应用组等设备依照这些规则匹配出特定的报文,并根据规则预先设定的动作对其进行处理。创建规则时可以不指定任何可选条件,则规则对任意报文生效。

2. 对象策略规则的编号

一个对象策略中可包含多条规则,每条规则都拥有唯一的编号进行标示,此编号在创建规则时由用

户手工指定或由系统自动分配。在自动分配编号时,系统会将对应对象策略中已使用的最大编号加

一作为新的编号,若新编号超出了编号上限(65534),则选择当前未使用的最小编号作为新的编号。

3.对象策略规则的匹配顺序

当一个对象策略中包含多条规则时,报文会按照配置顺序与这些规则进行匹配,一旦匹配上某条规则便结束匹配过程。对象策略规则的配置顺序可在对象策略视图下通过 display this 命令查看,配置顺序与规则的创建顺序有关,先创建的规则优先进行匹配。同时,也可以通过移动规则的位置来调整规则的配置顺序。根据对象策略规则的匹配原理,为使设备上部署的对象策略对流经设备的报文达到更好、更精准的控制效果,需要在配置对象策略规则时遵循“深度优先”的原则,即控制对象精细的先配置,控制对象范围大的后配置。创建规则时可以不指定任何可选条件,则规则对任意报文生效。

4.配置IPv4对象策略规则

object-policy ip object-policy-name

rule [ rule-id ] { drop | pass | inspect app-profile-name } [ [ source-ip

{ object-group-name | any } ] [ destination-ip { object-group-name |

any } ] [ service { object-group-name | any } ] [vrf vrf-name ]

[ application application-name ] [ app-group app-group-name ] [ counting ]

[ disable ] [ logging ] [ track [ negative ] track-entry-number ]

[ time-range time-range-name ] ] *     //配置对象策略规则

rule rule-id append { application application-name | app-group

app-group-name | destination-ip object-group-name | service

object-group-name | source-ip object-group-name }   //配置附加过滤条件

move rule rule-id before insert-rule-id   //移动rule

accelerate  //开启对象策略加速功能,默认关闭

zone-pair security source souce-zone-name destination destination-zone-name

object-policy apply ip object-policy-name   //应用对象策略

5.对象策略配置举例

实验案例1:

目的:PC_3能ping通PC_5,但PC_5无法ping通PC_3

PC_3地址设置为dhcp获取,PC_5配置地址为100.2.2.5,网关为100.2.2.254

其他设备配置同前面的案例,防火墙配置如下:

F1060-1:

interface g1/0/2ip address 200.2.2.10 24interface g1/0/3ip address 10.100.1.254 24ip route-static 0.0.0.0 0.0.0.0 200.2.2.254ip route-static 192.168.1.0 0.0.0.255 10.100.1.2

将对应端口加入安全域:

security-zone name Trust           import interface GigabitEthernet1/0/3security-zone name Untrustimport interface GigabitEthernet1/0/2

配置对象策略:

object-policy ip trust-untrustrule 0 passzone-pair security source Trust destination Untrustobject-policy apply ip trust-untrust

完成上述配置后,PC_3可以单向ping通PC_5。

同样的,需要配置local域和其他域的域间策略才可以让防火墙和其他设备可以互相ping通。另外需要注意的是:当安全策略(security-policy ip)激活时,对象策略(object-policy)会失效。所以,如果已经配置了security-policy ip,需要undo掉,否则object-policy无法生效。security-policy是object-policy的进化版,两者无法同时生效,security-policy优先级高于object-policy。

配置实例2:

基本配置同之前的安全策略:

time-range work 08:00 to 18:00 working-day  //配置时间段security-zone name database     //创建安全域import interface g1/2/5/1quitsecurity-zone name presidentimport interface g1/2/5/2quitsecurity-zone name financeimport interface g1/2/5/3quitsecurity-zone name marketimport interface g1/2/5/4quitobject-group ip address database   //创建IP地址对象组network subnet 192.168.0.0 24quitobject-group ip address presidentnetwork subnet 192.168.1.0 24quitobject-group ip address financenetwork subnet 192.168.2.0 24quitobject-group ip address marketnetwork subnet 192.168.3.0 24quitobject-group service web   //创建名为web的服务对象组service 6 destination eq 80quit

对象策略配置:

object-policy ip president-databaserule pass source-ip president destination-ip database service webquitobject-policy ip finance-databaserule pass source-ip finance destination-ip database service web time-range workquitobject-policy ip market-databaserule drop source-ip market destination-ip database service webquit

对象策略应用:

zone-pair security source president destination databaseobject-policy apply ip president-databasequitzone-pair security source finance destination databaseobject-policy apply ip finance-databasequitzone-pair security source market destination databaseobject-policy apply ip market-databasequit

H3C防火墙基础配置3-配置对象策略相关推荐

  1. H3C防火墙基础配置2-配置安全策略

    1 安全策略简介 安全策略对报文的控制是通过安全策略规则实现的,规则中可以设置匹配报文的过滤条件,处理报文的动作和对于报文内容进行深度检测等功能. (1)规则的名称和编号 安全策略中的每条规则都由唯一 ...

  2. H3C防火墙RBM+VRRP 组网配置

    基本组网如上,本实验采用HCL模拟器完成.fw1与fw2建立RBM,上下行采用vrrp对接.sw3.sw4为2层交换机,当防火墙RBM连接意外断开时,可以通过交换机透传vrrp报文,靠vrrp自身的协 ...

  3. H3C防火墙基础配置操作

    之前部署了一个虚拟防火墙,后面预计会出一个V7防火墙配置的系列专题.我一直在跟设备打交道,操作变更后都是要写入到配置文件的,简单操作也会花样出现问题,在此先介绍一下设备配置相关的基本操作. 本文中所用 ...

  4. H3C防火墙F1060上网以及配置策略路由

    网络拓扑图和背景说明 要求: 1.中控室网段通过防火墙使用10M专线上网,不与办公网互通. 2.办公网网段通过防火墙使用100M专线上网,可以互通. 拓扑图 防火墙配置: 通过策略路由控制不同网段访问 ...

  5. H3C 防火墙策略介绍

    注意点: H3C防火墙有安全策略和域间策略,安全策略的优先级大于域间策略,会优先匹配安全策略,匹配不到才会匹配域间策略 域间策略:any to any的域间策略优先级低于具体的区域到具体的区域的域间策 ...

  6. h3c防火墙配置基础

    防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险.数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性, ...

  7. h3c防火墙服务器ip修改,H3C防火墙安全策略配置建议

    文/丁坚 前面对H3C防火墙自身的加固做了详细的解释,本篇着重介绍运营商防火墙安全策略配置及建议. 防火墙作通常位于网络的边界,其主要职责,是保护客户网络的机密性,保障客户网络的可用性.同时,作为网络 ...

  8. 山石网科防火墙基础上网配置_WebUI(最新版)

    1. 需求分析 部分用户需要在WebUI界面下进行防火墙基础上网配置,本文展示如何在WebUI下配置防火墙的基础上网步骤. 2. 解决方案 2.1 软硬件信息 软件平台 SG-6000-E1700 硬 ...

  9. 山石网科Hillstone防火墙基础上网配置_CLI命令行(最新版)

    1. 需求分析 部分用户需要在命令行界面下进行防火墙基础上网配置,本文展示如何在命令行下配置防火墙的基础上网步骤. 2. 解决方案 2.1 软硬件信息 硬件平台 SG-6000-E1700 软件平台 ...

最新文章

  1. RMAN_学习笔记1_RMAN Structure概述和体系结构
  2. 用python实现微信消息群发和微信自动回复
  3. MyBatis查询两个字段,返回Map,一个字段作为key,一个字段作为value的实现
  4. RandomAecessFile open failed: EISDIR (Is a directory)
  5. Mybatis 强大的结果映射器ResultMap
  6. Python项目之我的第一个爬虫----爬取豆瓣图书网,统计图书数量
  7. 10月末周网络安全报告:应用程序漏洞占比93.1%
  8. 【XSY1594】棋盘控制 概率DP
  9. 分享一个CSS3的网格系统架构 - ResponsiveAeon
  10. 《C++ Primer 5th》笔记(8 / 19):IO库
  11. ubuntu python版本切换_ubuntu 16.04下python版本切换的方法
  12. 数据分析训练营还有这些内容(Spark)
  13. 红帽linux5.6,Redhat Enterpris linux 5.6 安装
  14. 最小化安装CentOS 7后,图形界面的安装(GNOME、KDE等)
  15. 信息系统项目管理师学习笔记
  16. Easyrecovery12.0.0.2 官方版下载
  17. 写给大学男同胞的几条择偶建议
  18. 尚硅谷周阳学习微服务《二》
  19. 一元四次方程求根实现
  20. 领导说要搞微服务,我该怎么搭建开发和测试环境?

热门文章

  1. 树状数组——快速定位中位数
  2. 带你打造一套 APM 监控系统 之 卡顿监控
  3. 旧书网购_基于旧书的新工作簿
  4. 看过Django后回头来看Flask(1)
  5. 1062 最简分数 (C++)
  6. Window server 2008 R2 无法安装tools 解决办法
  7. python获取windows当前的输入法是中文还是英文
  8. 搜索引擎高级搜索指令详解
  9. 记第一次写出自己的简单python爬虫:GCZW3
  10. M0、M3、M4简单对比