迪普防火墙包过滤策略配置指导(FW)
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
UMC HostA trust Gige0_2 10.26.0.100/16 untrust Gige0_3 10.26.0.254/16
VLAN-IF1: 10.26.0.200/16 HostB 10.26.0.119/16
1.1.1.3 配置概览 序号
1 2 3 4 5 6
配置功能
组网配置 VLAN 设置 安全域 地址对象 自定义服务对象 服务对象组
第 5 页
应用防火墙典型ห้องสมุดไป่ตู้置案例
公开
用户可根据现网需求,设置指定协议、端口的会话老化时间。
解决方案:在包过滤策略中,开启长连接业务。
---------------------------------------------【常见问题 2】 ---------------------------------------------不同型号的设备在“每秒新建数” 、 “每秒并发数” 、 “最大吞吐量”及“最大会话
说明:通常源端口设置为 0-65535,目的端口为指定访问端口。 注意:当引用中的服务对象配置发生变更时,需点击“同步到策略”使其即时生效。
(6) 访问:基本 > 网络管理 > 网络对象 > 服务(服务对象组) ,配置服务对象组
注意:当引用中的服务对象组配置发生变更时,需点击“同步到策略”使其即时生效。
解决方案:配置“长连接”包过滤策略时,需精细化配置各项参数。
---------------------------------------------【常见问题 3】 ---------------------------------------------场景 1:配置错误导致 将鼠标放置策略上,查看显示的信息是否正确,如地址掩码及端口信息。
1.1.1.5 功能验证 Host A 可访问 Host B 的所有服务, 通过包过滤策略 Host B 可访问 Host A 的 HTTP、
第 4 页
应用防火墙典型配置案例
公开
TCP_3389 服务;Host B 无法 Ping 通 Host A,可在 UMC 查看阻断日志。
在使用 UMC 情况下,可查看包过滤阻断日志
第 6 页
应用防火墙典型配置案例
公开
数”等参数存在差异,当流量数据达到某一极限值时,将无法对新的流量、会话进行 处理。 DMZ 的一台服务器已开放视频会议、文件共享、Web 应用等服务,为保证视频 会议通讯正常,已在高级安全业务中开启会话上连接。由于没有对源、目的地址及服 务进行精细化配置,导致从 Trust 访问 DMZ 所有数据均建立成“长连接会话” ,一段 时间后达到设备最大会话规格,致使新连接无法建立,老连接无法老化,发生网络中 断事故。
(8) 访问:基本 > 防火墙 > 包过滤策略(包过滤日志) ,配置包过滤日志输出
说明: 1、 Syslog 日志类型适用于 Syslog 服务器, 流日志类型 (报文内容加密) 适用于 UMC 服务器, 以上配置基于 UMC 统一管理中心; 2、负载分担方式是根据权重设置分担比例,将包过滤日志发送到多台日志服务器,全部发 送方式是将所有包过滤日志发送到指定服务器; 3、 日志源 IP 为设备本地接口地址 (物理/逻辑) , 且可达日志服务器; 日志源端口为大于 1024 且不与设备本地端口冲突; 4、当数据包未匹配任何包过滤策略时,数据包被丢弃,称为“默认丢弃” ,需勾选“包过滤 默认丢包日志” 。
第 8 页
配置目的
配置物理接口的参数信息,用于设备管理及业务转发 配置逻辑接口(VLAN-IF)的参数信息,用于设备管理机业务 转发 将设备接口(物理/逻辑)加入到指定安全域,根据域优先级进 行安全隔离,实现数据访问控制 创建指定范围的内网用户,通过策略的引用,对指定地址对象 进行有效管理 创建指定范围的服务端口,通过策略的引用,对指定服务对象 进行有效管理 将多个服务对象添加到一个服务对象组中,通过策略的引用,
应用防火墙典型配置案例
公开
1.1.1 包过滤策略配置指导
1.1.1.1 功能简介 包过滤对所有通过设备的数据包进行检查,根据匹配规则决定数据包的通过或者 被丢弃, 以达到拒绝转发不符合规则数据包的目的; 包过滤策略还可对匹配规则的 IP 进行高级安全业务(限速、阻断、URL 过滤、行为审计、病毒防护、攻击防护等) 过滤,实现更安全的防护。 1.1.1.2 网络拓扑 某企业内网员工网段为 10.26.0.100/16,Host A 可访问 Host B 的所有开放服务, Host B 只能访问 Host A 的 HTTP 和 TCP_3389 服务。
(2) 访问: 基本 > 网络管理 > 接口管理 > VLAN 设置 (VLAN 配置) , 配置 VLAN-IF 接口信息
(3) 访问:基本 > 网络管理 > 网络对象 > 安全域,配置安全域
(4) 访问:基本 > 网络管理 > 网络对象 > IP 地址(地址对象) ,配置地址对象
第 2 页
应用防火墙典型配置案例
场景 2:是否命中包过滤策略 开启“命中”功能显示,查看网络中是否有数据报文匹配(命中)此策略。
第 7 页
应用防火墙典型配置案例
公开
场景 3:两策略存在包含关系 包过滤策略匹配顺序是从上到下依次匹配,需严格遵守先明细后模糊的原则。错 误的配置,将使得数据优先匹配“范围大”的策略,导致“范围小”的策略失效,需 调整策略顺序解决此问题。
公开
说明: 1、地址对象(含例外 IP)可基于“地址范围”或“地址掩码”方式进行配置; 2、当地址对象为“不连续地址” ,可创建多个地址对象,并引用到地址对象组。 注意:当引用中的地址对象配置发生变更时,需点击“同步到策略”使其即时生效。
(5) 访问:基本 > 网络管理 > 网络对象 > 服务(自定义服务对象) ,配置自定义服 务对象
1.1.1.6 常见问题 序号
1 2 3
问题描述
某公司开视频会议时,每隔一段时间就发生一次中断重连 开启会话长连接一段时间后,全网中断 部分包过滤策略未生效
---------------------------------------------【常见问题 1】 ---------------------------------------------设备对 TCP、UDP 等协议设定了老化时间,默认时间为经验数据,无特殊原因不 建议修改,当会话达到该时间后将自动老化。某些应用为“长连接应用” ,即该会话 在规定时间内无需老化,若不配置长连接参数,将导致此类应用访问异常。 注意:建议根据实际场景设置长会话老化时间,推荐 6 小时。
(7) 访问:基本 > 防火墙 > 包过滤策略(包过滤策略) ,配置包过滤策略
第 3 页
应用防火墙典型配置案例
公开
说明: 1、包过滤策略从上到下依次匹配,可通过“操作”按钮调整匹配顺序; 2、长连接及其他安全策略(流控、审计、防病毒、防攻击等) ,可在高级安全业务中调用; 3、包过滤策略优先匹配生效时间,包含始终有效、相对时间(每周循环)和绝对时间(在 起止时间内生效) 。 注意:如开启会话长连接,源地址、目的地址及服务参数范围须最小化。
第 1 页
应用防火墙典型配置案例
公开
对指定服务对象组进行有效管理 通过配置安全域、地址对象/组、服务对象/组、生效时间等参 7 8 包过滤策略 包过滤日志 数,对指定数据报文进行“通过”、“丢包”及“高级安全业 务”的处理 通过记录包过滤阻断日志,便于问题排查及数据分析
1.1.1.4 详细配置 (1) 访问:基本 > 网络管理 > 接口管理 > 组网配置,配置接口参数
VLAN-IF1: 10.26.0.200/16 HostB 10.26.0.119/16
1.1.1.3 配置概览 序号
1 2 3 4 5 6
配置功能
组网配置 VLAN 设置 安全域 地址对象 自定义服务对象 服务对象组
第 5 页
应用防火墙典型ห้องสมุดไป่ตู้置案例
公开
用户可根据现网需求,设置指定协议、端口的会话老化时间。
解决方案:在包过滤策略中,开启长连接业务。
---------------------------------------------【常见问题 2】 ---------------------------------------------不同型号的设备在“每秒新建数” 、 “每秒并发数” 、 “最大吞吐量”及“最大会话
说明:通常源端口设置为 0-65535,目的端口为指定访问端口。 注意:当引用中的服务对象配置发生变更时,需点击“同步到策略”使其即时生效。
(6) 访问:基本 > 网络管理 > 网络对象 > 服务(服务对象组) ,配置服务对象组
注意:当引用中的服务对象组配置发生变更时,需点击“同步到策略”使其即时生效。
解决方案:配置“长连接”包过滤策略时,需精细化配置各项参数。
---------------------------------------------【常见问题 3】 ---------------------------------------------场景 1:配置错误导致 将鼠标放置策略上,查看显示的信息是否正确,如地址掩码及端口信息。
1.1.1.5 功能验证 Host A 可访问 Host B 的所有服务, 通过包过滤策略 Host B 可访问 Host A 的 HTTP、
第 4 页
应用防火墙典型配置案例
公开
TCP_3389 服务;Host B 无法 Ping 通 Host A,可在 UMC 查看阻断日志。
在使用 UMC 情况下,可查看包过滤阻断日志
第 6 页
应用防火墙典型配置案例
公开
数”等参数存在差异,当流量数据达到某一极限值时,将无法对新的流量、会话进行 处理。 DMZ 的一台服务器已开放视频会议、文件共享、Web 应用等服务,为保证视频 会议通讯正常,已在高级安全业务中开启会话上连接。由于没有对源、目的地址及服 务进行精细化配置,导致从 Trust 访问 DMZ 所有数据均建立成“长连接会话” ,一段 时间后达到设备最大会话规格,致使新连接无法建立,老连接无法老化,发生网络中 断事故。
(8) 访问:基本 > 防火墙 > 包过滤策略(包过滤日志) ,配置包过滤日志输出
说明: 1、 Syslog 日志类型适用于 Syslog 服务器, 流日志类型 (报文内容加密) 适用于 UMC 服务器, 以上配置基于 UMC 统一管理中心; 2、负载分担方式是根据权重设置分担比例,将包过滤日志发送到多台日志服务器,全部发 送方式是将所有包过滤日志发送到指定服务器; 3、 日志源 IP 为设备本地接口地址 (物理/逻辑) , 且可达日志服务器; 日志源端口为大于 1024 且不与设备本地端口冲突; 4、当数据包未匹配任何包过滤策略时,数据包被丢弃,称为“默认丢弃” ,需勾选“包过滤 默认丢包日志” 。
第 8 页
配置目的
配置物理接口的参数信息,用于设备管理及业务转发 配置逻辑接口(VLAN-IF)的参数信息,用于设备管理机业务 转发 将设备接口(物理/逻辑)加入到指定安全域,根据域优先级进 行安全隔离,实现数据访问控制 创建指定范围的内网用户,通过策略的引用,对指定地址对象 进行有效管理 创建指定范围的服务端口,通过策略的引用,对指定服务对象 进行有效管理 将多个服务对象添加到一个服务对象组中,通过策略的引用,
应用防火墙典型配置案例
公开
1.1.1 包过滤策略配置指导
1.1.1.1 功能简介 包过滤对所有通过设备的数据包进行检查,根据匹配规则决定数据包的通过或者 被丢弃, 以达到拒绝转发不符合规则数据包的目的; 包过滤策略还可对匹配规则的 IP 进行高级安全业务(限速、阻断、URL 过滤、行为审计、病毒防护、攻击防护等) 过滤,实现更安全的防护。 1.1.1.2 网络拓扑 某企业内网员工网段为 10.26.0.100/16,Host A 可访问 Host B 的所有开放服务, Host B 只能访问 Host A 的 HTTP 和 TCP_3389 服务。
(2) 访问: 基本 > 网络管理 > 接口管理 > VLAN 设置 (VLAN 配置) , 配置 VLAN-IF 接口信息
(3) 访问:基本 > 网络管理 > 网络对象 > 安全域,配置安全域
(4) 访问:基本 > 网络管理 > 网络对象 > IP 地址(地址对象) ,配置地址对象
第 2 页
应用防火墙典型配置案例
场景 2:是否命中包过滤策略 开启“命中”功能显示,查看网络中是否有数据报文匹配(命中)此策略。
第 7 页
应用防火墙典型配置案例
公开
场景 3:两策略存在包含关系 包过滤策略匹配顺序是从上到下依次匹配,需严格遵守先明细后模糊的原则。错 误的配置,将使得数据优先匹配“范围大”的策略,导致“范围小”的策略失效,需 调整策略顺序解决此问题。
公开
说明: 1、地址对象(含例外 IP)可基于“地址范围”或“地址掩码”方式进行配置; 2、当地址对象为“不连续地址” ,可创建多个地址对象,并引用到地址对象组。 注意:当引用中的地址对象配置发生变更时,需点击“同步到策略”使其即时生效。
(5) 访问:基本 > 网络管理 > 网络对象 > 服务(自定义服务对象) ,配置自定义服 务对象
1.1.1.6 常见问题 序号
1 2 3
问题描述
某公司开视频会议时,每隔一段时间就发生一次中断重连 开启会话长连接一段时间后,全网中断 部分包过滤策略未生效
---------------------------------------------【常见问题 1】 ---------------------------------------------设备对 TCP、UDP 等协议设定了老化时间,默认时间为经验数据,无特殊原因不 建议修改,当会话达到该时间后将自动老化。某些应用为“长连接应用” ,即该会话 在规定时间内无需老化,若不配置长连接参数,将导致此类应用访问异常。 注意:建议根据实际场景设置长会话老化时间,推荐 6 小时。
(7) 访问:基本 > 防火墙 > 包过滤策略(包过滤策略) ,配置包过滤策略
第 3 页
应用防火墙典型配置案例
公开
说明: 1、包过滤策略从上到下依次匹配,可通过“操作”按钮调整匹配顺序; 2、长连接及其他安全策略(流控、审计、防病毒、防攻击等) ,可在高级安全业务中调用; 3、包过滤策略优先匹配生效时间,包含始终有效、相对时间(每周循环)和绝对时间(在 起止时间内生效) 。 注意:如开启会话长连接,源地址、目的地址及服务参数范围须最小化。
第 1 页
应用防火墙典型配置案例
公开
对指定服务对象组进行有效管理 通过配置安全域、地址对象/组、服务对象/组、生效时间等参 7 8 包过滤策略 包过滤日志 数,对指定数据报文进行“通过”、“丢包”及“高级安全业 务”的处理 通过记录包过滤阻断日志,便于问题排查及数据分析
1.1.1.4 详细配置 (1) 访问:基本 > 网络管理 > 接口管理 > 组网配置,配置接口参数