H3C防火墻配置說明_第1頁
H3C防火墻配置說明_第2頁
H3C防火墻配置說明_第3頁
H3C防火墻配置說明_第4頁
H3C防火墻配置說明_第5頁
已閱讀5頁,還剩10頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、-. z.H3C防火墻配置說明*華三通信技術(shù)*所有侵權(quán)必究All rights reserved相關(guān)配置方法:平安要求-設(shè)備-路由器-功能-14 設(shè)備應(yīng)支持路由協(xié)議OSPF/ISIS/BGP等認(rèn)證,認(rèn)證字以不可逆密文方式存放。待確認(rèn)支持配置OSPF驗(yàn)證從平安性角度來考慮,為了防止路由信息外泄或者對(duì)OSPF路由器進(jìn)展惡意攻擊,OSPF提供報(bào)文驗(yàn)證功能。OSPF路由器建立鄰居關(guān)系時(shí),在發(fā)送的報(bào)文中會(huì)攜帶配置好的口令,接收?qǐng)?bào)文時(shí)進(jìn)展密碼驗(yàn)證,只有通過驗(yàn)證的報(bào)文才能接收,否則將不會(huì)接收?qǐng)?bào)文,不能正常建立鄰居。要配置OSPF報(bào)文驗(yàn)證,同一個(gè)區(qū)域的所有路由器上都需要配置區(qū)域驗(yàn)證模式,且配置的驗(yàn)證模式必須一

2、樣,同一個(gè)網(wǎng)段內(nèi)的路由器需要配置一樣的接口驗(yàn)證模式和口令。表1-29 配置OSPF驗(yàn)證操作命令說明進(jìn)入系統(tǒng)視圖system-view-進(jìn)入OSPF視圖ospf process-id | router-idrouter-id | vpn-instancevpn-instance-name *-進(jìn)入OSPF區(qū)域視圖areaarea-id-配置OSPF區(qū)域的驗(yàn)證模式authentication-mode md5 | simple 必選缺省情況下,沒有配置區(qū)域驗(yàn)證模式退回OSPF視圖quit-退回系統(tǒng)視圖quit-進(jìn)入接口視圖interfaceinterface-type interface-numb

3、er-配置OSPF接口的驗(yàn)證模式簡(jiǎn)單驗(yàn)證ospf authentication-mode simple cipher | plain password二者必選其一缺省情況下,接口不對(duì)OSPF報(bào)文進(jìn)展驗(yàn)證配置OSPF接口的驗(yàn)證模式MD5驗(yàn)證ospf authentication-mode hmac-md5 | md5 key-id cipher | plain password提高IS-IS網(wǎng)絡(luò)的平安性在平安性要求較高的網(wǎng)絡(luò)中,可以通過配置IS-IS驗(yàn)證來提高IS-IS網(wǎng)絡(luò)的平安性。IS-IS驗(yàn)證特性分為鄰居關(guān)系的驗(yàn)證和區(qū)域或路由域的驗(yàn)證。配置準(zhǔn)備在配置IS-IS驗(yàn)證功能之前,需完成以下任務(wù):配

4、置接口的網(wǎng)絡(luò)層地址,使相鄰節(jié)點(diǎn)網(wǎng)絡(luò)層可達(dá)使能IS-IS功能配置鄰居關(guān)系驗(yàn)證配置鄰居關(guān)系驗(yàn)證后,驗(yàn)證密碼將會(huì)按照設(shè)定的方式封裝到Hello報(bào)文中,并對(duì)接收到的Hello報(bào)文進(jìn)展驗(yàn)證密碼的檢查,通過檢查才會(huì)形成鄰居關(guān)系,否則將不會(huì)形成鄰居關(guān)系,用以確認(rèn)鄰居的正確性和有效性,防止與無法信任的路由器形成鄰居。兩臺(tái)路由器要形成鄰居關(guān)系必須配置一樣的驗(yàn)證方式和驗(yàn)證密碼。表1-37 配置鄰居關(guān)系驗(yàn)證操作命令說明進(jìn)入系統(tǒng)視圖system-view-進(jìn)入接口視圖interfaceinterface-type interface-number-配置鄰居關(guān)系驗(yàn)證方式和驗(yàn)證密碼isis authentication-

5、mode md5 | simple cipher password level-1 | level-2 ip | osi 必選缺省情況下,接口沒有配置鄰居關(guān)系驗(yàn)證,既不會(huì)驗(yàn)證收到的Hello報(bào)文,也不會(huì)把驗(yàn)證密碼插入到Hello報(bào)文中參數(shù)level-1和level-2的支持情況和產(chǎn)品相關(guān),具體請(qǐng)以設(shè)備的實(shí)際情況為準(zhǔn)必須先使用isis enable命令使能該接口才能進(jìn)展參數(shù)level-1和level-2的配置。如果沒有指定level-1或level-2參數(shù),將同時(shí)為level-1和level-2的Hello報(bào)文配置驗(yàn)證方式及驗(yàn)證密碼。如果沒有指定ip或osi參數(shù),將檢查Hello報(bào)文中OSI的相

6、應(yīng)字段的配置內(nèi)容。配置區(qū)域驗(yàn)證通過配置區(qū)域驗(yàn)證,可以防止將從不可信任的路由器學(xué)習(xí)到的路由信息參加到本地Level-1的LSDB中。配置區(qū)域驗(yàn)證后,驗(yàn)證密碼將會(huì)按照設(shè)定的方式封裝到Level-1報(bào)文LSP、CSNP、PSNP中,并對(duì)收到的Level-1報(bào)文進(jìn)展驗(yàn)證密碼的檢查。同一區(qū)域內(nèi)的路由器必須配置一樣的驗(yàn)證方式和驗(yàn)證密碼。表1-38 配置區(qū)域驗(yàn)證操作命令說明進(jìn)入系統(tǒng)視圖system-view-進(jìn)入IS-IS視圖isis process-id vpn-instance vpn-instance-name -配置區(qū)域驗(yàn)證方式和驗(yàn)證密碼area-authentication-mode md5 |

7、simple cipher password ip | osi 必選缺省情況下,系統(tǒng)沒有配置區(qū)域驗(yàn)證,既不會(huì)驗(yàn)證收到的Level-1報(bào)文,也不會(huì)把驗(yàn)證密碼插入到Level-1報(bào)文中配置路由域驗(yàn)證通過配置路由域驗(yàn)證,可以防止將不可信的路由信息注入當(dāng)前路由域。配置路由域驗(yàn)證后,驗(yàn)證密碼將會(huì)按照設(shè)定的方式封裝到Level-2報(bào)文LSP、CSNP、PSNP中,并對(duì)收到的Level-2報(bào)文進(jìn)展驗(yàn)證密碼的檢查。所有骨干層Level-2路由器必須配置一樣的驗(yàn)證方式和驗(yàn)證密碼。表1-39 配置路由域驗(yàn)證操作命令說明進(jìn)入系統(tǒng)視圖system-view-進(jìn)入IS-IS視圖isis process-id vpn-i

8、nstance vpn-instance-name -配置路由域驗(yàn)證方式和驗(yàn)證密碼domain-authentication-mode md5 | simple cipher password ip | osi 必選缺省情況下,系統(tǒng)沒有配置路由域驗(yàn)證,既不會(huì)驗(yàn)證收到的Level-2報(bào)文,也不會(huì)把驗(yàn)證密碼插入到Level-2報(bào)文中配置BGP的MD5認(rèn)證通過在BGP對(duì)等體上配置BGP的MD5認(rèn)證,可以在以下兩方面提高BGP的平安性:為BGP建立TCP連接時(shí)進(jìn)展MD5認(rèn)證,只有兩臺(tái)路由器配置的密碼一樣時(shí),才能建立TCP連接,從而防止與非法的BGP路由器建立TCP連接。傳遞BGP報(bào)文時(shí),對(duì)封裝BGP報(bào)

9、文的TCP報(bào)文段進(jìn)展MD5運(yùn)算,從而保證BGP報(bào)文不會(huì)被篡改。表1-41 配置BGP的MD5認(rèn)證操作命令說明進(jìn)入系統(tǒng)視圖system-view-進(jìn)入BGP視圖或BGP-VPN實(shí)例視圖進(jìn)入BGP視圖bgp as-number二者必選其一進(jìn)入BGP-VPN實(shí)例視圖bgp as-numberipv4-familyvpn-instancevpn-instance-name配置BGP的MD5認(rèn)證peer group-name | ip-address password cipher | simple password必選缺省情況下,BGP不進(jìn)展MD5認(rèn)證平安要求-設(shè)備-防火墻-功能-2防火墻應(yīng)具備記錄V

10、PN日志功能,記錄VPN訪問登陸、退出等信息。待確認(rèn)暫不支持平安要求-設(shè)備-防火墻-功能-5防火墻應(yīng)具備日志容量告警功能,在日志數(shù)到達(dá)指定閾值時(shí)產(chǎn)生告警。待確認(rèn)暫不支持平安要求-設(shè)備-防火墻-功能-3防火墻應(yīng)具備流量日志記錄功能,記錄通過防火墻的網(wǎng)絡(luò)連接。待確認(rèn)支持Userlog日志設(shè)置Flow日志要生成Userlog日志,需要配置會(huì)話日志功能,詳細(xì)配置請(qǐng)參見HYPERLINK press/data/infoblade/ware%20V5平臺(tái)中文/1.1.98%20WEB分冊(cè)平安/5%20日志管理/平臺(tái)Web配置手冊(cè)%20日志管理.htm l _Ref2770770431.6 HYPERLIN

11、K press/data/infoblade/ware%20V5平臺(tái)中文/1.1.98%20WEB分冊(cè)平安/5%20日志管理/平臺(tái)Web配置手冊(cè)%20日志管理.htm l _Ref277077045會(huì)話日志。Userlog日志簡(jiǎn)介Userlog日志是指用戶訪問外部網(wǎng)絡(luò)流信息的相關(guān)記錄。設(shè)備根據(jù)報(bào)文的5元組源IP地址、目的IP地址、源端口、目的端口、協(xié)議號(hào)對(duì)用戶訪問外部網(wǎng)絡(luò)的流進(jìn)展分類統(tǒng)計(jì),并生成Userlog日志。Userlog日志會(huì)記錄報(bào)文的5元組和發(fā)送、接收的字節(jié)數(shù)等信息。網(wǎng)絡(luò)管理員利用這些信息可以實(shí)時(shí)跟蹤、記錄用戶訪問網(wǎng)絡(luò)的情況,增強(qiáng)網(wǎng)絡(luò)的可用性和平安性。Userlog日志有以下兩種輸出

12、方式,用戶可以根據(jù)需要使用其中一種:以系統(tǒng)信息的格式輸出到本設(shè)備的信息中心,再由信息中心最終決定日志的輸出方向。以二進(jìn)制格式封裝成UDP報(bào)文輸出到指定的Userlog日志主機(jī)。Userlog日志有1.0和3.0兩個(gè)版本。兩種Userlog日志的格式稍有不同,具體差異請(qǐng)參見HYPERLINK press/data/infoblade/ware%20V5平臺(tái)中文/1.1.98%20WEB分冊(cè)平安/5%20日志管理/平臺(tái)Web配置手冊(cè)%20日志管理.htm l _Ref193187689表1-2和HYPERLINK press/data/infoblade/ware%20V5平臺(tái)中文/1.1.98%

13、20WEB分冊(cè)平安/5%20日志管理/平臺(tái)Web配置手冊(cè)%20日志管理.htm l _Ref193187696表1-3。表1-2 1.0版本Userlog日志信息字段描述SourceIP源IP地址DestIP目的IP地址SrcPortTCP/UDP源端口號(hào)DestPortTCP/UDP目的端口號(hào)StartTime流起始時(shí)間,以秒為單位,從1970/1/1 0:0開場(chǎng)計(jì)算EndTime流完畢時(shí)間,以秒為單位,從1970/1/1 0:0開場(chǎng)計(jì)算ProtIP承載的協(xié)議類型Operator操作字,主要指流完畢原因Reserved保存表1-3 3.0版本Userlog日志信息字段描述ProtIP承載的協(xié)

14、議類型Operator操作字,主要指流完畢原因IpVersionIP報(bào)文版本TosIPv4IPv4報(bào)文的Tos字段SourceIP源IP地址SratIPNAT轉(zhuǎn)換后的源IP地址DestIP目的IP地址DestNatIPNAT轉(zhuǎn)換后的目的IP地址SrcPortTCP/UDP源端口號(hào)SratPortNAT轉(zhuǎn)換后的TCP/UDP源端口號(hào)DestPortTCP/UDP目的端口號(hào)DestNatPortNAT轉(zhuǎn)換后的TCP/UDP目的端口號(hào)StartTime流起始時(shí)間,以秒為單位,從1970/01/01 00:00開場(chǎng)計(jì)算EndTime流完畢時(shí)間,以秒為單位,從1970/01/01 00:00開場(chǎng)計(jì)算In

15、TotalPkg接收的報(bào)文包數(shù)InTotalByte接收的報(bào)文字節(jié)數(shù)OutTotalPkg發(fā)出的報(bào)文包數(shù)OutTotalByte發(fā)出的報(bào)文字節(jié)數(shù)Reserved1對(duì)于0*02版本FirewallV200R001保存對(duì)于0*03版本FirewallV200R005第一個(gè)字節(jié)為源VPN ID,第二個(gè)字節(jié)為目的VPN ID,第三、四個(gè)字節(jié)保存Reserved2保存Reserved3保存配置Userlog日志(1)在導(dǎo)航欄中選擇日志管理 Userlog日志,進(jìn)入如下列圖所示的頁面。圖1-2 Userlog日志(2)配置Userlog日志參數(shù),的詳細(xì)配置如下表所示。(3)單擊按鈕完成操作。表1-4 Us

16、erlog日志的詳細(xì)配置配置項(xiàng)說明版本設(shè)置Userlog日志的版本。包括1.0、3.0請(qǐng)根據(jù)日志接收設(shè)備的實(shí)際能力配置Userlog日志的版本,如果接收設(shè)備不支持*個(gè)版本的Userlog日志,則無法正確解析收到的日志報(bào)文源IP地址設(shè)置Userlog日志報(bào)文的源IP地址指定源地址后,當(dāng)設(shè)備A向設(shè)備B發(fā)送Userlog日志時(shí),就使用這個(gè)IP地址作為報(bào)文的源IP地址,而不使用報(bào)文出接口的真正地址。這樣,即便A使用不同的端口向B發(fā)送報(bào)文,B也可以根據(jù)源IP地址來準(zhǔn)確的判斷該報(bào)文是否由A產(chǎn)生。而且該功能還簡(jiǎn)化了ACL規(guī)則和平安策略的配置,只要將ACL規(guī)則中定義的源地址或者目的地址參數(shù)指定為該源地址,就可

17、以屏蔽接口IP地址的差異以及接口狀態(tài)的影響,實(shí)現(xiàn)對(duì)Userlog日志報(bào)文的過濾建議使用Loopback接口地址作為日志報(bào)文的源IP地址日志主機(jī)配置日志主機(jī)1設(shè)置Userlog日志主機(jī)的IPv4/IPv6地址、端口號(hào)和所在的VPN實(shí)例只在指定IPv4地址的日志主機(jī)時(shí)可以顯示和設(shè)置此項(xiàng),以便將Userlog日志封裝成UDP報(bào)文發(fā)送給指定的Userlog日志主機(jī)。日志主機(jī)可以對(duì)Userlog日志進(jìn)展解析和分類顯示,以到達(dá)遠(yuǎn)程監(jiān)控的目的集中式設(shè)備:最多可以指定2臺(tái)不同的Userlog日志主機(jī)分布式設(shè)備:每個(gè)單板上最多可以指定2臺(tái)不同的Userlog日志主機(jī)日志主機(jī)IPv6地址的支持情況與設(shè)備的具體型號(hào)

18、有關(guān),請(qǐng)以設(shè)備的實(shí)際情況為準(zhǔn)為防止與通用的UDP端口號(hào)沖突,建議使用102565535的UDP端口號(hào)日志主機(jī)2日志輸出到信息中心設(shè)置將Userlog日志以系統(tǒng)信息的格式輸出到信息中心啟用此功能時(shí),Userlog日志將不會(huì)發(fā)往指定的Userlog日志主機(jī)日志輸出到信息中心會(huì)占用設(shè)備的存儲(chǔ)空間,因此,建議在日志量較小的情況下使用該輸出方向查看Userlog日志統(tǒng)計(jì)信息當(dāng)設(shè)置了將Userlog日志封裝成UDP報(bào)文發(fā)送給指定的Userlog日志主機(jī)時(shí),可以查看相關(guān)的統(tǒng)計(jì)信息,包括設(shè)備向指定日志主機(jī)發(fā)送的Userlog日志總數(shù)和包含Userlog日志的UDP報(bào)文總數(shù),以及設(shè)備緩存中的Userlog日志總

19、數(shù)。(1)在導(dǎo)航欄中選擇日志管理 Userlog日志,進(jìn)入如HYPERLINK press/data/infoblade/ware%20V5平臺(tái)中文/1.1.98%20WEB分冊(cè)平安/5%20日志管理/平臺(tái)Web配置手冊(cè)%20日志管理.htm l _Ref227053462圖1-2所示的頁面。(2)單擊頁面下方的查看統(tǒng)計(jì)信息擴(kuò)展按鈕,展開如下列圖所示的內(nèi)容,可以查看Userlog日志的統(tǒng)計(jì)信息。圖1-3 查看Userlog日志統(tǒng)計(jì)信息清空Userlog日志及統(tǒng)計(jì)信息(1)在導(dǎo)航欄中選擇日志管理 Userlog日志,進(jìn)入如HYPERLINK press/data/infoblade/ware%2

20、0V5平臺(tái)中文/1.1.98%20WEB分冊(cè)平安/5%20日志管理/平臺(tái)Web配置手冊(cè)%20日志管理.htm l _Ref227053462圖1-2所示的頁面。(2)單擊頁面下方的查看統(tǒng)計(jì)信息擴(kuò)展按鈕,展開如HYPERLINK press/data/infoblade/ware%20V5平臺(tái)中文/1.1.98%20WEB分冊(cè)平安/5%20日志管理/平臺(tái)Web配置手冊(cè)%20日志管理.htm l _Ref227057678圖1-3所示的內(nèi)容。(3)集中式設(shè)備:?jiǎn)螕舭粹o,可以去除設(shè)備上的所有Userlog日志統(tǒng)計(jì)信息和緩存中的Userlog日志。(4)分布式設(shè)備:?jiǎn)螕舭粹o,可以去除相應(yīng)單板上的所有U

21、serlog日志統(tǒng)計(jì)信息和緩存中的Userlog日志。平安要求-設(shè)備-防火墻-功能-11防火墻必須具備掃描攻擊檢測(cè)和告警功能。并阻斷后續(xù)掃描流量。掃描的檢測(cè)和告警的參數(shù)應(yīng)可由管理員根據(jù)實(shí)際網(wǎng)絡(luò)情況設(shè)置。待確認(rèn)支持配置掃描攻擊檢測(cè)掃描攻擊檢測(cè)主要用于檢測(cè)攻擊者的探測(cè)行為,一般配置在設(shè)備連接外部網(wǎng)絡(luò)的平安域上。掃描攻擊檢測(cè)自動(dòng)添加了黑項(xiàng),如果在短時(shí)間內(nèi)手動(dòng)刪除了該黑項(xiàng),則系統(tǒng)不會(huì)再次添加。因?yàn)橄到y(tǒng)會(huì)把再次檢測(cè)到的攻擊報(bào)文認(rèn)為是同一次攻擊尚未完畢。(1)在導(dǎo)航欄中選擇攻擊防* 流量異常檢測(cè) 掃描攻擊,進(jìn)入如下列圖所示頁面。圖1-10 掃描攻擊(2)為平安域配置掃描攻擊檢測(cè),詳細(xì)配置如下表所示。(3)

22、單擊按鈕完成操作。表1-6 掃描攻擊檢測(cè)的詳細(xì)配置配置項(xiàng)說明平安區(qū)域設(shè)置要進(jìn)展掃描攻擊檢測(cè)設(shè)置的平安域啟動(dòng)掃描攻擊檢測(cè)設(shè)置是否對(duì)選中的平安域啟動(dòng)掃描攻擊檢測(cè)功能掃描閾值設(shè)置掃描建立的連接速率的最大值源IP參加黑設(shè)置是否把系統(tǒng)發(fā)現(xiàn)的掃描源IP地址添加到黑中必須在攻擊防* 黑中啟用黑過濾功能,掃描攻擊檢測(cè)才會(huì)將發(fā)現(xiàn)的掃描源IP地址添加到黑中,并對(duì)來自該IP地址的報(bào)文做丟棄處理黑持續(xù)時(shí)間設(shè)置掃描源參加黑的持續(xù)時(shí)間平安要求-設(shè)備-防火墻-功能-12防火墻必須具備關(guān)鍵字內(nèi)容過濾功能,在 ,SMTP,POP3等應(yīng)用協(xié)議流量過濾包含有設(shè)定的關(guān)鍵字的報(bào)文。待確認(rèn)支持內(nèi)容過濾典型配置舉例1. 組網(wǎng)需求如下列圖所

23、示,局域網(wǎng)網(wǎng)段內(nèi)的主機(jī)通過Device訪問Internet。Device分別通過Trust平安域和Untrust平安域與局域網(wǎng)和Internet相連。啟用正文過濾功能,阻止含有abc關(guān)鍵字的響應(yīng)報(bào)文通過。啟用 Java Applet阻斷功能,僅允許IP地址為的Java Applet請(qǐng)求通過。啟用SMTP附件名稱過濾功能,阻止用戶發(fā)送帶有.e*e附件的。啟用FTP上傳文件名過濾功能,阻止用戶上傳帶有system名稱的文件。啟用Telnet命令字過濾功能,阻止用戶鍵入含有reboot關(guān)鍵字的命令。圖1-29 內(nèi)容過濾配置組網(wǎng)圖2. 配置Device(1)配置設(shè)備各接口的IP地址和所屬平安域略(2)

24、配置過濾條目# 配置關(guān)鍵字過濾條目abc。步驟1:在導(dǎo)航欄中選擇應(yīng)用控制 內(nèi)容過濾 過濾條目,默認(rèn)進(jìn)入關(guān)鍵字頁簽的頁面。步驟2:?jiǎn)螕舭粹o。步驟3:如下列圖所示,輸入名稱為abc,輸入關(guān)鍵字為abc。步驟4:?jiǎn)螕舭粹o完成操作。圖1-30 配置關(guān)鍵字過濾條目abc# 配置關(guān)鍵字過濾條目reboot。步驟1:在關(guān)鍵字頁簽的頁面單擊按鈕。步驟2:如下列圖所示,輸入名稱為reboot,輸入關(guān)鍵字為reboot。步驟3:?jiǎn)螕舭粹o完成操作。圖1-31 配置關(guān)鍵字過濾條目reboot# 配置文件名過濾條目*.e*e。步驟1:?jiǎn)螕粑募摵?。步驟2:?jiǎn)螕舭粹o。步驟3:如下列圖所示,輸入名稱為e*e,輸入文件名為

25、*.e*e。步驟4:?jiǎn)螕舭粹o完成操作。圖1-32 配置文件名過濾條目*.e*e# 配置文件名過濾條目system。步驟1:在文件名頁簽的頁面單擊按鈕。步驟2:如下列圖所示,輸入名稱為system,輸入文件名為system。步驟3:?jiǎn)螕舭粹o完成操作。圖1-33 配置文件名過濾條目system(3)配置內(nèi)容過濾策略# 配置不帶Java Applet阻斷的過濾策略。步驟1:在導(dǎo)航欄中選擇應(yīng)用控制 內(nèi)容過濾 過濾策略,默認(rèn)進(jìn)入策略頁簽的頁面。步驟2:?jiǎn)螕舭粹o。步驟3:進(jìn)展如下配置,如下列圖所示。輸入名稱為 _policy1。單擊正文過濾前的擴(kuò)展按鈕。在正文過濾的可選過濾條目列表框中選中abc關(guān)鍵字過濾

26、條目,單擊按鈕將其添加到已選過濾條目列表框中。步驟4:?jiǎn)螕舭粹o完成操作。圖1-34 配置不帶Java Applet阻斷的過濾策略# 配置帶Java Applet阻斷的過濾策略。步驟1:在策略頁簽的頁面單擊按鈕。步驟2:進(jìn)展如下配置,如下列圖所示。輸入名稱為 _policy2。單擊正文過濾前的擴(kuò)展按鈕。在正文過濾的可選過濾條目列表框中選中abc關(guān)鍵字過濾條目,單擊按鈕將其添加到已選過濾條目列表框中。選中Java Applet阻斷前的復(fù)選框。步驟3:?jiǎn)螕舭粹o完成操作。圖1-35 配置帶Java Applet阻斷的過濾策略# 配置SMTP過濾策略。步驟1:?jiǎn)螕鬝MTP策略頁簽。步驟2:?jiǎn)螕舭粹o。步驟

27、3:進(jìn)展如下配置,如下列圖所示。輸入名稱為smtp_policy。單擊附件過濾前的擴(kuò)展按鈕。在附件名稱過濾的可選過濾條目列表框中選中e*e文件名過濾條目,單擊按鈕將其添加到已選過濾條目列表框中。步驟3:?jiǎn)螕舭粹o完成操作。圖1-36 配置SMTP過濾策略# 配置FTP過濾策略。步驟1:?jiǎn)螕鬎TP策略頁簽。步驟2:?jiǎn)螕舭粹o。步驟3:進(jìn)展如下配置,如下列圖所示。輸入名稱為ftp_policy。單擊上傳文件名過濾前的擴(kuò)展按鈕。在上傳文件名過濾的可選過濾條目列表框中選中system文件名過濾條目,單擊按鈕將其添加到已選過濾條目列表框中。步驟4:?jiǎn)螕舭粹o完成操作。圖1-37 配置FTP過濾策略# 配置Te

28、lnet過濾策略。步驟1:?jiǎn)螕鬞elnet策略頁簽。步驟2:?jiǎn)螕舭粹o。步驟3:進(jìn)展如下配置,如下列圖所示。輸入名稱為telnet_policy。單擊命令字過濾前的擴(kuò)展按鈕。在命令字過濾的可選過濾條目列表框中選中reboot關(guān)鍵字過濾條目,單擊按鈕將其添加到已選過濾條目列表框中。步驟4:?jiǎn)螕舭粹o完成操作。圖1-38 配置Telnet過濾策略(4)配置內(nèi)容過濾策略模板# 配置不帶Java Applet阻斷的內(nèi)容過濾策略模板。步驟1:在導(dǎo)航欄中選擇應(yīng)用控制 內(nèi)容過濾 策略模板。步驟2:?jiǎn)螕舭粹o。步驟3:進(jìn)展如下配置,如下列圖所示。輸入名稱為template1。選擇過濾策略為 _policy1。選擇S

29、MTP過濾策略為smtp_policy。選擇FTP過濾策略為ftp_policy。選擇Telnet過濾策略為telnet_policy步驟4:?jiǎn)螕舭粹o完成操作。圖1-39 配置不帶Java Applet阻斷的內(nèi)容過濾策略模板# 配置帶Java Applet阻斷的內(nèi)容過濾策略模板。步驟1:在策略模板頁面單擊按鈕。步驟2:進(jìn)展如下配置,如下列圖所示。輸入名稱為template2。選擇過濾策略為 _policy2。選擇SMTP過濾策略為smtp_policy。選擇FTP過濾策略為ftp_policy。選擇Telnet過濾策略為telnet_policy。步驟3:?jiǎn)螕舭粹o完成操作。圖1-40 配置帶J

30、ava Applet阻斷的內(nèi)容過濾策略模板(5)配置引用內(nèi)容過濾策略模板的域間策略# 配置Trust平安域到Untrust平安域的目的地址為的域間策略,并引用不帶Java Applet阻斷的內(nèi)容過濾策略模板。步驟1:在導(dǎo)航欄中選擇防火墻 平安策略 域間策略。步驟2:?jiǎn)螕舭粹o。步驟3:進(jìn)展如下配置,如下列圖所示。選擇源域?yàn)門rust。選擇目的域?yàn)閁ntrust。選擇源IP地址為any_address。選中目的IP地址中新建IP地址前的單項(xiàng)選擇按鈕,輸入目的IP地址為。選擇效勞名稱為any_service。選擇過濾動(dòng)作為Permit。選擇內(nèi)容過濾策略模板為template1。選中啟用規(guī)則前的復(fù)選框

31、。選中確定后續(xù)添加下一條規(guī)則前的復(fù)選框。步驟4:?jiǎn)螕舭粹o完成操作。圖1-41 配置引用不帶Java Applet阻斷的內(nèi)容過濾策略模板的域間策略# 配置Trust平安域到Untrust平安域的域間策略,并引用帶Java Applet阻斷的內(nèi)容過濾策略模板。步驟1:保持之前選擇的源域和目的域不變,繼續(xù)進(jìn)展如下配置,如下列圖所示。選擇源IP地址和目的IP地址均為any_address。選擇效勞名稱為any_service。選擇過濾動(dòng)作為Permit。選擇內(nèi)容過濾策略模板為template2。選中啟用規(guī)則前的復(fù)選框。步驟2:?jiǎn)螕舭粹o完成操作。圖1-42 配置引用帶Java Applet阻斷的內(nèi)容過濾

32、策略模板的域間策略3. 配置結(jié)果驗(yàn)證完成上述配置后,局域網(wǎng)內(nèi)用戶不能收到含有abc關(guān)鍵字的響應(yīng);除對(duì)IP地址為的Web效勞器外,不能成功發(fā)送Java Applet請(qǐng)求;不能成功發(fā)送帶有.e*e附件的;不能通過FTP方式上傳名稱為abc的文件;不能執(zhí)行Telnet命令reboot。設(shè)備運(yùn)行一段時(shí)間后,在導(dǎo)航欄中選擇應(yīng)用控制 內(nèi)容過濾 統(tǒng)計(jì)信息,可以看到如下列圖所示的統(tǒng)計(jì)信息。圖1-43 內(nèi)容過濾統(tǒng)計(jì)信息4. 考前須知配置內(nèi)容過濾時(shí)需要注意如下事項(xiàng):(1)配置URL主機(jī)名過濾條目時(shí),需要注意通配符的使用規(guī)則:表示開頭匹配。只能出現(xiàn)在關(guān)鍵字的開頭,且只能出現(xiàn)一次。$表示結(jié)尾匹配。只能出現(xiàn)在關(guān)鍵字的結(jié)

33、尾,且只能出現(xiàn)一次。&代替一個(gè)字符,不能代替空格和.??沙霈F(xiàn)任意多個(gè),可連續(xù)出現(xiàn),可位于關(guān)鍵字的任意位置,但不能與*一起使用。*代替任意多個(gè)字符,不能代替.。在關(guān)鍵字中只能出現(xiàn)一次,可以位于關(guān)鍵字的開頭和中間,不能位于結(jié)尾,并且不能和、$相鄰。如果關(guān)鍵字的開頭有或結(jié)尾有$,表示準(zhǔn)確匹配。例如,webfilter表示以webfilter開頭的網(wǎng)址如webfilter.或類似于cmm.webfilter-any.的網(wǎng)址將被過濾掉。關(guān)鍵字webfilter$表示過濾包含獨(dú)立詞語webfilter的網(wǎng)址,比方.webfilter.,但是類似于.webfilter-china.的網(wǎng)址將不會(huì)被過濾。如果關(guān)

34、鍵字的開頭和結(jié)尾都沒有通配符,表示模糊匹配。對(duì)于模糊匹配,只要網(wǎng)址中包含了該關(guān)鍵字就會(huì)被過濾。不支持純數(shù)字的關(guān)鍵字。如果需要過濾類似.123.的,使用123作為過濾地址是不合法的,但可以使用123$、.123.和123.等作為過濾地址。因此,對(duì)于以數(shù)字作為地址的,建議采用準(zhǔn)確匹配方式進(jìn)展過濾。(2)配置URL參數(shù)過濾關(guān)鍵字時(shí),需要注意通配符的使用規(guī)則:表示開頭匹配。只能出現(xiàn)在關(guān)鍵字的開頭,且只能出現(xiàn)一次。$表示結(jié)尾匹配。只能出現(xiàn)在關(guān)鍵字的結(jié)尾,且只能出現(xiàn)一次。&代替一個(gè)字符。可出現(xiàn)任意多個(gè),可連續(xù)出現(xiàn),可位于關(guān)鍵字的任意位置,但不能與*相鄰,如果出現(xiàn)在開場(chǎng)和結(jié)尾的位置,則一定要和或$相鄰。*代

35、替長(zhǎng)度不超過4個(gè)字符的任意字符串,可代替空格。只能位于關(guān)鍵字的中間,且只能出現(xiàn)一次。如果關(guān)鍵字的開頭有或結(jié)尾有$,表示準(zhǔn)確匹配。例如,關(guān)鍵字webfilter$表示網(wǎng)址中的URL參數(shù)包含獨(dú)立詞語webfilter的請(qǐng)求將被過濾掉,比方.abc./webfilter any,但是類似于.abc./webfilterany的網(wǎng)址將不會(huì)被過濾。如果關(guān)鍵字的開頭和結(jié)尾都沒有通配符,表示模糊匹配。對(duì)于模糊匹配,只要網(wǎng)址中的URL參數(shù)包含了該關(guān)鍵字就會(huì)被過濾。平安要求-設(shè)備-防火墻-功能-13-可選防火墻必須具備病毒防護(hù)功能,對(duì)蠕蟲等病毒傳播時(shí)的攻擊流量進(jìn)展過濾。待確認(rèn)高端防火墻不支持;中低端防火墻支持配

36、置防病毒策略(1)在導(dǎo)航欄中選擇深度平安防御 防病毒,默認(rèn)進(jìn)入防病毒策略頁簽的頁面,如HYPERLINK press/data/infoblade/ware%20V5平臺(tái)中文/1.1.98%20WEB分冊(cè)平安/0%20深度平安防御/平臺(tái)Web配置手冊(cè)%20深度平安防御.htm l _Ref269371747圖1-9所示。(2)單擊按鈕,進(jìn)入新建防病毒策略的配置頁面,如下列圖所示。圖1-10 新建防病毒策略(3)配置防病毒策略,詳細(xì)配置如下表所示。(4)單擊按鈕完成操作。表1-7 新建防病毒策略的詳細(xì)配置配置項(xiàng)說明名稱設(shè)置防病毒策略的名稱動(dòng)作設(shè)置對(duì)檢測(cè)到的攻擊所采取的動(dòng)作,包括:記錄日志和阻斷攻擊類型顯示設(shè)備能夠檢測(cè)和防御的病毒類型應(yīng)用防病毒策略(1)在導(dǎo)航欄中選擇深度平安檢測(cè) 防病毒,單擊防病毒策略應(yīng)用頁簽,進(jìn)入如下列圖所示的頁面。圖1-11 防病毒策略應(yīng)用(2)單擊按鈕,進(jìn)入新建防病毒策略應(yīng)用的配置頁面,如下列圖所示。圖1-12 新建防病毒策略應(yīng)用(3)配置防病毒策略應(yīng)用,詳細(xì)配置如下表所示。(4)單擊按鈕完成操作。表1-8 新建防病毒策略應(yīng)用的詳細(xì)配置配置項(xiàng)說明源域設(shè)置要應(yīng)用防病毒策略的源平安域同一對(duì)平安域只能配置一條防病毒策略應(yīng)用當(dāng)源域和目的域不同時(shí),建議將內(nèi)部可信任的平安域設(shè)置為目的域,將外部不可信的平安域設(shè)置為源域目的域設(shè)置要應(yīng)用防病毒策略的目的域防病毒策略設(shè)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論