E8000E-X策略特性介紹

1、E8000E-X Policy 特性介紹Page 2內(nèi)容介紹第1章 策略特性介紹 第2章 平安策略介紹及配置第3章 NAT策略介紹及配置第4章 審計(jì)策略介紹及配置第5章 限流策略介紹及配置Page 3策略特性介紹策略化的特性包括平安策略、NAT策略、審計(jì)策略及限流策略,分別對(duì)應(yīng)V2R1版本的包過(guò)濾、NAT、Session log、Ipcar特性。在數(shù)據(jù)面查詢(xún)的位置是不變的,主要是配置方式的變化。包過(guò)濾、NAT、Session log、Ipcar之前的配置方式都是采用ACL定義過(guò)濾規(guī)則, 然后將ACL應(yīng)用于不同區(qū)域之間。策略化以后這四個(gè)特性不再使用acl配置過(guò)濾規(guī)則,而是直接在各個(gè)特性的視圖下單

2、獨(dú)配置規(guī)則。策略配置與ACL配置區(qū)別3000類(lèi)ACL規(guī)則舉例POLICY規(guī)則舉例樣例acl number 3000 rule 0 permit tcp source address-set src destination 0 precedence 1 tos 1 logging策略配置中將各個(gè)屬性分開(kāi)來(lái)配置Permit - actionSource - policy sourceDestination policy destination等 policy 0 action（不同的策略會(huì)不同） policy service service-set tcp policy source addres

3、s-set src policy destination 0 policy time-range all policy precedence 1 policy tos 1 policy logging 規(guī)則號(hào)的轉(zhuǎn)換rule 0policy 0策略配置簡(jiǎn)介策略（policy）能夠通過(guò)指定報(bào)文的源地址、目的地址、端口號(hào)、上層協(xié)議等信息組合定義網(wǎng)絡(luò)中的數(shù)據(jù)流,是平安策略（Policy）、NAT策略（NAT-policy）、審計(jì)策略（Audit-policy）、限流策略（Car-policy）的根底。policy policyid action（不同的策略會(huì)不同） policy service ser

4、vice-set STRING & policy source srcip wildcard | 0 | mask masklen | mask | address- set STRING & | range startip endip policy destination dstip wildcard | 0 | mask masklen | mask | address-set STRING & | range startip endip policy precedence | tos | time-range *配置策略的動(dòng)作,不用策略對(duì)應(yīng)不同的動(dòng)作,如policy為permit/den

5、y,nat為source-nat/no-nat配置效勞,包括協(xié)議,源端口和目的端口配置源ip地址配置目的ip地址配置其他屬性此外：平安策略還可以配置：Policy loggingNAT策略要配置地址池或靜態(tài)映射：address-group INTEGER | STRING ,static-mapping INTEGER限流策略要配置car-class STRING策略id策略配置與ACL配置區(qū)別策略特征：（1）支持地址、效勞的多項(xiàng)選擇操作（2）源地址、目的地址支持掩碼格式,反掩碼格式,范圍地址格式（3）只存在效勞,效勞分三類(lèi)：預(yù)定義效勞、自定義效勞、效勞組（4）支持使能、去使能狀態(tài)；支持移動(dòng)；

6、支持復(fù)制。（5）只能在單個(gè)域間或平安域生效； （6）對(duì)于平安策略、審計(jì)策略配置了動(dòng)作該策略才生效,才會(huì)進(jìn)行規(guī)則匹配；對(duì)于NAT策略必須配置了地址池和動(dòng)作才生效,限流策略必須配置限流類(lèi)和動(dòng)作。ACL特征：（1）只支持配置單個(gè)地址、效勞（2）源地址、目的地址只支持反掩碼格式（反掩碼可不連續(xù)）（3）效勞、TCP/UDP 端口/端口集、ICMP type和code、其他協(xié)議（4）不支持使能、去使能狀態(tài)；不支持移動(dòng),不支持復(fù)制（5）ACL規(guī)則與應(yīng)用無(wú)關(guān),不指定ASPF,LONG-LINK,NAT （6）ACL能被屢次引用,可以在多個(gè)域間被引用策略的相關(guān)概念地址集地址集（Ip address-set） 用

7、于將零散的 IP 地址或 IP 段歸類(lèi)命名,提高了 IP 地址管理的層次性。策略支持引用地址集合,簡(jiǎn)化了配置、同時(shí)增加可讀性和可維護(hù)性。地址集支持地址對(duì)象和地址組兩種,地址對(duì)象只能配置地址,地址組可以配置地址,還可以配置地址對(duì)象和地址組。ip address-set yidong1 type object address 0 0 address 1 0 ip address-set yidong type group address 0 0 address 1 address-set yidong1 地址對(duì)象規(guī)格為8192,每個(gè)地址對(duì)象可以配置1024個(gè)元素。地址組規(guī)格為8192,每個(gè)地址組可

8、以配置256個(gè)元素。策略的相關(guān)概念效勞集效勞集（Ip service-set）取代了之前的端口集, 用于將協(xié)議、源端口和目的端口組合歸類(lèi)命名。策略支持引用效勞集合,簡(jiǎn)化了配置、同時(shí)增加可讀性和可維護(hù)性。效勞集支持效勞對(duì)象和效勞組兩種,效勞對(duì)象只能配置效勞元素,效勞組只能配置效勞對(duì)象。ip service-set yidong1 type object service 0 protocol udp source-port 400 destination-port 5000 service 1 protocol tcp source-port 500 destination-port 400 ip

9、 service-set yidong type group service 0 0 service 1 service-set yidong1 效勞對(duì)象規(guī)格為8192,每個(gè)地址對(duì)象可以配置64個(gè)元素。地址組規(guī)格為8192,每個(gè)地址組可以配置16個(gè)元素。策略的相關(guān)概念效勞集預(yù)定義效勞集（predefined-service）,不用用戶(hù)自己定義,系統(tǒng)定義好的一些效勞,用戶(hù)不能修改,通常是知名協(xié)議。display predefined-service 16:10:50 2013/04/08 http tcp/80 telnet tcp/23 ftp tcp/21 ras udp/1719 dns

10、udp/53 rtsp tcp or udp/554 ils tcp/1002 or 389 各策略特性配置舉例樣例：以trust和untrust域間為例acl number 3000 rule 0 permit tcp source 0 destination 0包過(guò)濾:Firewall interzone trust untrustPacket-filter 3000 inbound安全策略policy interzone trust untrust inbound policy 0 action permit policy service service-set tcp policy s

11、ource 0 policy destination 0 NAT:Firewall interzone trust untrustnat outbound 3000 address-group 10NAT策略nat-policy interzone trust untrust outbound policy 0 action source-nat policy service service-set tcp policy source 0 policy destination 0 address-group 10各策略特性配置舉例樣例：以trust和untrust域間為例Session log

12、:Firewall interzone trust untrustsession log enable acl-number 3000 inbound審計(jì)策略audit-policy interzone trust untrust inbound policy 0 action audit policy service service-set tcp policy source 0 policy destination 0 ipcar:Firewall zone trustip-car 3000 class class-number | session-limit session-num |

13、session-rate-limit session-rate-num 限流策略car-policy zone trust policy 0 action car policy service service-set tcp policy source 0 policy destination 0 car-class test策略匹配順序策略采用順序匹配原則,按照用戶(hù)配置規(guī)則的先后順序進(jìn)行匹配,顯示的順序即為策略的匹配順序,前面的優(yōu)先級(jí)高。以平安策略為例,數(shù)據(jù)流一旦與一條規(guī)則匹配成功,將不再繼續(xù)向下匹配policy interzone trust untrust inbound policy

14、0 action permit policy service service-set udp policy source 0 policy destination 0 policy 1 action deny policy source 0 policy 5 action permit策略支持調(diào)整功能策略啟用與禁用 配置策略后默認(rèn)是啟用的,可以通過(guò)下面命令啟用或禁用一條策略 policy policy-id enable | disable , 策略移動(dòng) 將策略1移動(dòng)到策略2之前或之后,從而調(diào)整策略匹配優(yōu)先級(jí) policy move policy-id1 before | after poli

15、cy-id2策略復(fù)制 復(fù)制生成一個(gè)與指定策略完全相同的新策略。 policy copy policy-id policy-new-id 策略的查詢(xún)V3R1不支持硬件tcam查詢(xún),ACL及策略查找全部采用軟件查詢(xún)。查詢(xún)結(jié)構(gòu)：所有ACL和policy的規(guī)則生成一個(gè)查詢(xún)結(jié)構(gòu)。修改、添加、刪除規(guī)則,或是修改地址集、效勞集都需要重新生成查詢(xún)結(jié)構(gòu)。生成查詢(xún)結(jié)構(gòu)有兩種方法：1,自動(dòng)生成,配置完畢后1分鐘會(huì)構(gòu)建生成查詢(xún)結(jié)構(gòu)。2,手動(dòng)使能生成,執(zhí)行命令acl accelerate enable會(huì)立即構(gòu)建查詢(xún)結(jié)構(gòu)。 注意：在查詢(xún)結(jié)構(gòu)生成之前新配置的規(guī)則不能生效。Page 15內(nèi)容介紹第1章 策略特性介紹 第2章

16、平安策略介紹與配置第3章 NAT策略介紹及配置第4章 審計(jì)策略介紹及配置第5章 限流策略介紹及配置平安策略介紹平安策略,即包過(guò)濾,作為一種網(wǎng)絡(luò)平安保護(hù)機(jī)制,用于控制在兩個(gè)不同平安級(jí)別網(wǎng)絡(luò)之間數(shù)據(jù)的流入和流出,是防火墻平安功能的重要組成局部。平安策略支持域間和域內(nèi)配置。為了實(shí)現(xiàn)平安策略功能,需要配置一系列的過(guò)濾規(guī)則,當(dāng)報(bào)文在兩個(gè)平安區(qū)域之間流動(dòng)時(shí),防火墻的平安策略功能生效Internet公司總部?jī)?nèi)部網(wǎng)絡(luò)未授權(quán)用戶(hù)辦事處平安策略的配置平安策略配置方式與老的包過(guò)濾不同,但是功能完全相同。 老的包過(guò)濾是用acl來(lái)配置的,例如:Advanced ACL 3322, 2 rules,not binding

17、 with vpn-instance Acls step is 5 rule 5 permit udp source 0 destination 0 rule 10 deny Firewall interzne trust untrust packet-filter 3322 inbound 平安策略配置如下：policy interzone trust untrust inbound policy 0 action permit policy service service-set udp policy source 0 policy destination 0 policy 1 actio

18、n deny平安策略和域間缺省包過(guò)濾的關(guān)系 防火墻任意兩個(gè)平安區(qū)域之間都存在缺省包過(guò)濾,也就是說(shuō)可以用域間默認(rèn)包過(guò)濾就可以實(shí)現(xiàn)簡(jiǎn)單的訪問(wèn)控制。如果域間缺省包過(guò)濾是翻開(kāi)的,那么可以從配置中看到： firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound 如果域間默認(rèn)包過(guò)濾是關(guān)閉的,那么配置中就不顯示任何信息。在未做任何配置的情況下,防火墻默認(rèn)

19、保存區(qū)域之間的默認(rèn)包過(guò)濾是翻開(kāi)的。平安策略要優(yōu)先于域間缺省包過(guò)濾：平安策略舉例域間默認(rèn)包過(guò)濾都關(guān)閉,并在域間配置如下平安策略trustuntrustoutboundinbound AB只有udp的報(bào)文可以通過(guò)可以訪問(wèn)所有資源policy interzone trust untrust inbound policy 0 action permit policy service service-set udp policy source 0 policy destination 0 policy 1 action denyPolicy interzone trust untrust outboun

20、dPolicy 0 action permit Page 20內(nèi)容介紹第1章 策略特性介紹 第2章 平安策略介紹與配置第3章 NAT策略介紹與配置第4章 審計(jì)策略介紹及配置第5章 限流策略介紹及配置NAT策略介紹NAT（Network Address Translation,網(wǎng)絡(luò)地址轉(zhuǎn)換）是將IP數(shù)據(jù)報(bào)報(bào)頭中的IP地址轉(zhuǎn)換為另一個(gè)IP地址的過(guò)程。在實(shí)際應(yīng)用中,NAT主要用于實(shí)現(xiàn)私有網(wǎng)絡(luò)訪問(wèn)外部網(wǎng)絡(luò)的功能。這種通過(guò)使用少量的公有IP地址代表較多的私有IP地址的方式,將有助于減緩可用IP地址空間枯竭的速度。NAT策略支持域間和域內(nèi)配置。NAT策略的配置NAT策略配置方式與老的NAT不同,但是功能完

21、全相同。 老的NAT是用acl來(lái)配置的,例如:Advanced ACL 3322, 2 rules,not binding with vpn-instance Acls step is 5 rule 5 permit udp source 0 destination 0 rule 10 deny Firewall interzne trust untrust nat inbound 3322 address-group 10 NAT策略配置如下：nat-policy interzone trust untrust inbound policy 0 action permit policy se

22、rvice service-set udp policy source 0 policy destination 0 address-group 10policy 1 action denyPage 23NAT轉(zhuǎn)換過(guò)程N(yùn)AT網(wǎng)關(guān)處于私有網(wǎng)絡(luò)和公有網(wǎng)絡(luò)的連接處。當(dāng)內(nèi)部PC（）向外部效勞器（）發(fā)送packet 1 時(shí),數(shù)據(jù)報(bào)通過(guò)NAT網(wǎng)關(guān)NAT網(wǎng)關(guān)查看報(bào)頭內(nèi)容,發(fā)現(xiàn)該數(shù)據(jù)報(bào)是發(fā)往外網(wǎng)的,那么它將packet 1的源地址字段的私有地址換成一個(gè)可在Internet上選路的公有地址,并將該數(shù)據(jù)報(bào)發(fā)送到外部效勞器,同時(shí)在NAT網(wǎng)關(guān)的網(wǎng)絡(luò)地址轉(zhuǎn)換表中記錄這一映射外部效勞器給內(nèi)部PC發(fā)送應(yīng)答報(bào)文packet 2（其初始目的地址為）,到達(dá)NAT網(wǎng)關(guān)后,NAT網(wǎng)關(guān)再次查看報(bào)頭內(nèi)容,然后查找當(dāng)前網(wǎng)絡(luò)地址轉(zhuǎn)換表的記錄,用原來(lái)的內(nèi)部PC的私有地址替換目的地址Page 24NAT策略配置舉例首先配置地址池：配置公網(wǎng)地址池。 nat address-group 10 Section 配置域間NAT策略：nat-policy interzone trust untrust outbound policy 0 action source-nat po