1 安全策略简介

     安全策略对报文的控制是通过安全策略规则实现的，规则中可以设置匹配报文的过滤条件，处理报文的动作和对于报文内容进行深度检测等功能。

（1）规则的名称和编号

       安全策略中的每条规则都由唯一的名称和编号标识。名称必须在创建规则时由用户手工指定；而编号既可以手工指定，也可以由系统自动分配。

（2）规则的过滤条件

      每条规则中均可以配置多种过滤条件，具体包括：源安全域、目的安全域、源 IP 地址、源 MAC 地址、目的 IP 地址、用户、用户组、应用、应用组、v*n 和服务。每种过滤条件中（除 v*n 外）均可以配置多个匹配项，比如源安全域过滤条件中可以指定多个源安全域等。

(3)规则与会话管理

     规则基于会话对报文进行处理。规则允许报文通过后，设备会创建与此报文对应的会话表项，用于记录有关此报文的相关信息。

     安全策略规则触发创建的会话，不仅可以根据报文的协议状态或所属的应用设置会话的老化时间，还可以基于规则设置会话的老化时间。规则中设置的会话老化时间优先级高于会话管理模块设置的会话老化时间。

 

 

2 安全策略对报文的处理

(1)  将报文的属性信息与过滤条件中的匹配项进行匹配。每种过滤条件的多个匹配项之间是或的关系，即报文与某一个过滤条件中的任意一项匹配成功，则报文与此过滤条件匹配成功；若报文与某一个过滤条件中的所有项都匹配失败，则报文与此过滤条件匹配失败。

(2)  若报文与某条规则中的所有过滤条件都匹配成功（用户与用户组匹配一项即可，应用与应用组匹配一项即可，源 IP 地址与源 MAC 地址匹配一项即可），则报文与此条规则匹配成功。若有一个过滤条件不匹配，则报文与此条规则匹配失败，报文继续匹配下一条规则。以此类推，直到最后一条规则，若报文还未与规则匹配成功，则设备会丢弃此报文。

(3)  若报文与某条规则匹配成功，则结束此匹配过程，并对此报文执行规则中配置的动作。

若规则的动作为“丢弃”，则设备会丢弃此报文；

若规则的动作为“允许”，则设备继续对报文做第 4 步处理；

(4)  若引用了 DPI 业务，则会对此报文进行 DPI 深度安全检测；若未引用 DPI 业务，则直接允许此报文通过。

3 新旧转换

    设备启动时，如果配置文件中仅存在对象策略，则设备会自动执行 security-policy disable

    命令关闭安全策略功能；如果配置文件中对象策略和安全策略均不存在或存在安全策略，则设备自动开启安全策略功能。安全策略功能与对象策略功能在设备上不能同时使用，当安全策略功能处于开启状态时，首次进入安全策略视图后，对象策略功能立即失效。因此在管理员手工逐条将对象策略切换为安全策略时，为避免切换过程中造成业务长期中断，建议管理员在对象策略切换完成后再开启安全策略功能。配置回滚后，如果需要对象策略生效，配置回滚完成后，则建议用户手工执行 security-policydisable 命令将安全策略功能关闭。

(1)查看内部版本号：

probe

   dis system internal version

 

(2)转换步骤

升级到D022版本

通过security-policy switch-from object-policy命令将旧的配置文件startup.cfg转换为新的security.cfg

重启后完成转换

 

4 配置安全策略

undo security-policy disable  //开启安全策略功能，缺省处于开启状态

 

security-policy ip

   rule name test1

     source-zone trust

     source-ip test1-ip-object-name

     destination-zone trust

     destination-ip test1-ip-object-name

     service test1-service

     application application-name

     action {drop|pass}

     time-range time-range-name  //缺省不限制生效时间

 

security-policy ip

  move rule 10 before rule 5  //移动rule

  rule 20 disable   //禁用rule

display security-policy ip

display security-policy statistics

 

   设备上的安全策略加速功能默认开启，且不能手动关闭。但是**安全策略规则加速功能时，内存资源不足会导致安全策略加速失效。

   安全策略加速失效后，设备无法对报文进行快速匹配，但是仍然可以进行原始的慢速匹配。

    安全策略规则中引用对象组的内容发生变化后，也需要重新**该规则的加速功能。

    安全策略规则中指定的 IP 地址对象组中包含通配符掩码时，会影响安全策略的匹配速度。**安全策略规则的加速功能时比较消耗内存资源，不建议频繁**加速功能。建议在所有安全策略规则配置和修改完成后，统一执行 accelerate enhanced enable 命令。

 

对象组是对象的集合，可以被对象策略、ACL 引用，作为报文匹配的条件。对象组包括如下类型：

• •  MAC 地址对象组可以配置 MAC 地址对象，MAC 地址对象与 MAC 地址对象组绑定，用于匹配报文中的 MAC 地址。

• •  IPv4 地址对象组内可以配置 IPv4 地址对象，地址对象与 IPv4 地址或用户绑定，用于匹配报文中的 IPv4 地址或报文所属的用户。

• •  IPv6 地址对象组内可以配置 IPv6 地址对象，地址对象与 IPv6 地址或用户绑定，用于匹配报文中的 IPv6 地址或报文所属的用户。

• •  服务对象组内可以配置服务对象，服务对象与协议类型以及协议的特性绑定（协议特性如 TCP或 UDP 的源端口/目的端口、ICMP 协议的消息类型/消息码等），用于匹配报文中的可承载的上层协议。

 

object-group mac-address test1

   [ object-id ] mac { mac-address | group-object group-object-name }

 

object-group ip address test2

   [ object-id ] network { host { address ip-address | name host-name } |

subnet ip-address { mask-length | mask | wildcard wildcard } | range

ip-address1 ip-address2 | group-object object-group-name | user

user-name [ domain domain-name ] | user-group user-group-name [ domain

domain-name ] }

object-id network exclude ip-address   //排除IP

security-zone security-zone-name

object-group service test3

    [ object-id ] service { protocol [ { source { { eq | lt | gt } port | range

port1 port2 } | destination { { eq | lt | gt | } port | range port1 port2 } }

* | icmp-type icmp-code | icmpv6-type icmpv6-code ] | group-object

object-group-name }

object-group rename old-object-group-name new-object-group-name//重命名

display object-group

 

5 安全策略配置举例

实验案例1：

目的：PC_3能ping通PC_5，但PC_5无法ping通PC_3

PC_3地址设置为dhcp获取，PC_5配置地址为100.2.2.5，网关为100.2.2.254

S5820V2：

dhcp server enable

dhcp server ip-pool vlan100

gateway-list 192.168.1.254

 network 192.168.1.0 mask 255.255.255.0

 address range 192.168.1.1 192.168.1.253

 dns-list 10.100.1.10

 quit

vlan 100

interface vlan 100

ip address 192.168.1.254 255.255.255.0

 dhcp server apply ip-pool vlan100

interface g1/0/1

  port access vlan 100

  quit

interface Ten1/0/51

  port link-mode route

  ip address 10.100.1.2 255.255.255.0

  quit

ip route-static 0.0.0.0 0.0.0.0 10.100.1.254

 

MSR36-20：

interface g0/0

ip address 200.2.2.254 255.255.255.0

interface g0/1

ip address 100.2.2.254 255.255.255.0

ip route-static 0.0.0.0 0.0.0.0 200.2.2.10

 

 

F1060-1：

interface g1/0/2

  ip address 200.2.2.10 24

interface g1/0/3

  ip address 10.100.1.254 24

ip route-static 0.0.0.0 0.0.0.0 200.2.2.254

ip route-static 192.168.1.0 0.0.0.255 10.100.1.2

将对应端口加入安全域：

security-zone name Trust           

 import interface GigabitEthernet1/0/3

security-zone name Untrust

 import interface GigabitEthernet1/0/2

配置安全策略放行trust域到untrust域报文：

security-policy ip

  rule 0 name trust-untrust

    action pass

    source-zone trust

destination-zone untrust

完成上述配置后，PC_3就可以单向ping通PC-5了。

 

拓展：

上述配置后，其他设备是无法ping通防火墙上配置的IP地址，防火墙也无法ping通其他设备的地址，原因是防火墙上的IP地址属于local域，必须要配置local域与其他域之间的安全策略，才能ping通

 

配置其他域到local域的报文，否则防火墙和其他设备无法ping通：

security-policy ip

 rule 1 name trust-local     //放行trust域到local域的报文，配置后，trust域设备可以ping防火墙上的地址

  action pass

  source-zone trust

  destination-zone local

 rule 2 name local-all     //放行local域到其他域的报文，配置后，防火墙可以ping通其他设备

  action pass

  source-zone local

 

 

 

 

实验案例2：

time-range work 08:00 to 18:00 working-day  //配置时间段

security-zone name database     //创建安全域

   import interface g1/2/5/1

   quit

security-zone name president

   import interface g1/2/5/2

   quit

security-zone name finance

   import interface g1/2/5/3

   quit

security-zone name market

   import interface g1/2/5/4

   quit

object-group ip address database   //创建IP地址对象组

   network subnet 192.168.0.0 24

   quit

object-group ip address president

   network subnet 192.168.1.0 24

   quit

object-group ip address finance

   network subnet 192.168.2.0 24

   quit

object-group ip address market

   network subnet 192.168.3.0 24

   quit

 

object-group service web   //创建名为web的服务对象组

   service 6 destination eq 80

   quit

# 进入 IPv4 安全策略视图。制订允许总裁办在任意时间通过 HTTP 协议访问财务数据库服务器的安全策略规则，其规则名称为 president-database。

security-policy ip

  rule 0 name president-database

source-zone president

destination-zone database

source-ip president

destination-ip database

service web

action pass

quit

制订只允许财务部在工作时间通过 HTTP 协议访问财务数据库服务器的安全策略规则，其规则名称为 finance-database。

  rule 1 name finance-database

source-zone finance

destination-zone database

source-ip finance

destination-ip database

service web

action pass

time-range work

quit

制订禁止市场部在任何时间通过 HTTP 协议访问财务数据库服务器的安全策略规则，其规则名称为 market-database。

  rule 2 name market-database

source-zone market

destination-zone database

source-ip market

destination-ip database

service web

action drop

quit

 

**安全策略规则的加速功能。

accelerate enhanced enable