【网络设备】H3C FW V7:安全域与域间策略
1 几个概念
- 安全域
逻辑概念,用于管理安全防护设备上安全需求相同的多个接口。 - 默认安全域
首次创建安全域、域间策略时,系统默认创建Local、Trust、DMZ、Management、Untrust、WAN和LAN。默认安全域不能被删除
- 域间策略
基于安全域,实现对报文流的检查。根据检查结果,对报文执行相应安全控制动作。 - 安全域间实例
指定域间策略 需要检测业务流的 源安全域和目的安全域。
2 安全域
2.1 安全域内的默认规则
设备上各接口报文转发,遵循的规则:
- 安全域中与非安全域接口之间的报文:
默认被丢弃。 - 同一安全域接口之间的报文:
默认被丢弃。 - 安全域接口之间的报文:
根据域间策略,放行或丢弃。若域间策略不存在或不生效,则报文被丢弃。
- 非安全域的接口之间的报文:
默认被丢弃。 - 目的地址或源地址为本机的报文:
默认被丢弃。
如果该报文与域间策略匹配,则由域间策略进行安全检查,并根据检查结果放行或丢弃。
2.2 安全域间实例
安全域间实例上应用域间策略,对指定的业务流进行域间策略检查。
2.2.1 匹配优先级关系
有具体安全域的安全域间实例 > any到any的安全域间实例。
2.2.2 默认规则
- Management和Local安全域间之间的报文默认被允许。
- Management和Local安全域间之间的报文只能匹配Management与Local安全域之间的安全域间实例
2.3 配置命令
2.3.1 创建安全域、添加域内成员
sys
security-zone name XXXimport interface G1/0/XX //添加三层接口成员import interface G1/0/XX vlan YY //添加二层接口和VLAN成员import vlan YY //添加VLAN成员import ip ip-address { mask-length | mask } [ vpn-instance vpn-instance-name ] //添加IPv4子网成员import ipv6 ipv6-address prefix-length [ vpn-instance vpn-instance-name ] //添加IPv6子网成员import service-chain path path-id [ reversed ] //添加服务链成员
2.3.2 设备管理:和Local域间,协议报文交互不受限
默认情况下,设备仅允许Local安全域和Management安全域之间的报文通信,进行设备管理。
若需通过其他安全域成员接口对设备进行管理,可通过配置域间策略放行Local安全域和其他安全域指定协议的报文。
sys
interface G1/0/XX
//允许和其他设备交互的协议,指定协议的报文不受策略控制。
manage { { http | https | ping | ssh | telnet } { inbound | outbound } | { netconf-http | netconf-https | netconf-ssh | snmp } inbound }
2.3.3 创建安全域间实例
sys
zone-pair security source { 安全域1 | any } destination { 安全域2 | any }
2.3.4 安全域内接口间报文处理的默认动作
对于同一安全域内接口间的报文,若设备上不存在当前域到当前域的域间策略,则设备默认会将其丢弃。
syssecurity-zone intra-zone default permit // 同一安全域内接口间报文默认为允许。
Trust域到Trust域之间访问受限
3 域间策略
3.1 域间策略
- 包过滤:
根据报文的五元组(源IP地址、源端口号、目的IP地址、目的端口号、传输层协议)实现对报文在不同安全域之间的转发进行控制。 - ASPF:(Advanced Stateful Packet Filter,高级状态包过滤)
可以对已放行报文进行信息记录,使已放行报文的回应报文在应用了包过滤策略的安全域之间可以正常通过。 - 安全策略:
安全策略基于全局配置和全局生效,不需要被引用。
安全策略不仅可以彻底替代包过滤,还可以基于用户和应用对报文进行转发控制,并可以对符合过滤条件的报文进行DPI(Deep Packet Inspection,深度报文检测)检测。
3.2 策略优先级
当安全策略与包过滤策略同时配置时,对报文的处理安全策略在包过滤之前。
报文与安全策略规则匹配成功后,不再进行包过滤处理。
【网络设备】H3C FW V7:安全域与域间策略相关推荐
- H3C防火墙-域间策略
一. 域间策略概述 如图1-1所示,域间策略是一种基于安全域实现对报文流的检查,并根 据检查结果对报文实行相应动作的域间策略.一个安全域中,可以包 含多个成员.例如,可以将公司安全防护设备上连接到内网 ...
- H3C防火墙基础配置3-配置对象策略
1.对象策略简介 对象策略基于全局进行配置,基于安全域间实例进行应用.在安全域间实例上应用对象策略可实现对报文流的检查,并根据检查结果允许或拒绝其通过.对象策略通过配置对象策略规则实现. 一个对象策略 ...
- H3C S7500E V7 系列交换机产品及维护介绍--优化
H3C S7500E V7 系列交换机产品及维护介绍--优化 (单选题3道,多选题4道,判断题3道 满分100分) 一 . 单选题 (共3道题,共30分) 1.下面关于S7500E电源模块描述错误的是 ...
- Windows Server 2012 R2/2016 此工作站和主域间的信任关系失败
今天给客户Exchange 服务器出现了脱域的情况,当使用域帐户登录时出现了 "此工作站和主域间的信任关系失败"的情况. 造成这种的可能原因: 域内存在了多台SID一样的计算 ...
- server2003-多域间林之间信任配置方法详解(附图)
多域间林之间信任配置方法详解 -----冯刚 DATA:20091018 实验拓朴: 实验 环境描述: MICHAEL公司日常办使用的域是"michael.com.cn"(林1), ...
- 协议处理程序初始化失败_域间路由协议的内容有哪些 域间路由协议的内容介绍【详解】...
域间路由协议,域间路由协议的内容有哪些? 当前Internet被划分为多个自治系统,自治系统是一个实体,一般是指隶属于一个管理机构的路由器集合.每个自治系统可以制定自己的路由策略.自治系统内部的路由器 ...
- 域间套接字socketpair
『域间套接字socketpair』 pipe用来创建管道,但是单个管道只能单向通信,一端用于读,而另一端用于写.如果要实现进程双向通信,必须创建一对管道,而socketpair则可以用来创建双向通信的 ...
- 58域内路由和域间路由
域内路由与域间路由:自治系统内部的路由选择称为域内路由,自治系统之间的路由选择称为域间路由选择. 1. 内部网关协议(IGP) 即在一个自治系统内部使用的路由选择协议,它与互联网中的其他自治系统选用什 ...
- 华为路由协议ospf,域内路由,域间路由,域外路由
ospf链路状态路由协议(开放式最短路径优先) 用ip承载其报文,协议号为89. ospf链路状态(link state)路由协议基本原理: 路由信息传递与路由计算分离,基于spf算法,以累计链路开销 ...
- “此工作站和主域间的信任关系失败”之解决
某虚拟化的域控制器出现严重故障以至于不可修复,故使用之前Hyper-V中导出的备份恢复了域控制器. 恢复后基本功能正常,但部分工作站登录时提示"此工作站和主域间的信任关系失败". ...
最新文章
- c语言加密算法头文件下载(base64、md5、sha1)
- mysql 评论回复表设计_【数据库】评论回复表设计
- (仿头条APP项目)4.父类BaseFragment创建,用retrofit和gson获取并解析服务器端数据
- maven 分批打包_maven批量打包,并且显示打包结果
- java.lang.UnsatisfiedLinkError: No implementation found for void com.mchsdk.paysdk.net.MCHKeyTools.n
- ASP.NET Core 使用 JWT 自定义角色/策略授权需要实现的接口
- Java Web学习笔记03:JSP元素
- 十七、字符串类型String(一)
- WAP中推送技术的分析与设计
- hub设备_铝合金机身,既是HUB也是充电器,ORICO A3H7体验
- 物来顺应,未来不迎,当时不杂,既过不恋
- 04-Groovy-运算符
- Axure--使用阿里云搭建自己的原型发布站点
- AndroidStudio子线程更新UI的几种方式
- PC(Ubuntu)和树莓派实现无秘ssh
- 功能强大的离线浏览器(1)
- 硬核:科学家打造全套人工神经系统,让瘫痪病人重新控制身体
- Nginx篇之常见的配置跳转的方式
- 谁知nmn的功效与作用,nmn真实效果图,吐血整理
- Android进阶之路 - 使用Stetho查看真机数据库