E8000E-X 策略特性介绍.ppt

策略配置与ACL配置区别 策略配置简介 策略配置与ACL配置区别 策略特征： （1）支持地址、服务的多选操作 （2）源地址、目的地址支持掩码格式，反掩码格式，范围地址格式 （3）只存在服务，服务分三类：预定义服务、自定义服务、服务组 （4）支持使能、去使能状态；支持移动；支持复制。 （5）只能在单个域间或安全域生效； （6）对于安全策略、审计策略配置了动作该策略才生效，才会进行规则匹配；对于NAT策略必须配置了地址池和动作才生效，限流策略必须配置限流类和动作。 ACL特征： （1）只支持配置单个地址、服务 （2）源地址、目的地址只支持反掩码格式（反掩码可不连续） （3）服务、TCP/UDP 端口/端口集、ICMP type和code、其他协议 （4）不支持使能、去使能状态；不支持移动，不支持复制 （5）ACL规则与应用无关，不指定ASPF，LONG-LINK，NAT （6）ACL能被多次引用，可以在多个域间被引用 策略的相关概念——地址集 地址集（Ip address-set） 用于将零散的 IP 地址或 IP 段归类命名，提高了 IP 地址管理的层次性。策略支持引用地址集合，简化了配置、同时增加可读性和可维护性。 地址集支持地址对象和地址组两种，地址对象只能配置地址，地址组可以配置地址，还可以配置地址对象和地址组。 策略的相关概念——服务集 服务集（Ip service-set）取代了之前的端口集， 用于将协议、源端口和目的端口组合归类命名。策略支持引用服务集合，简化了配置、同时增加可读性和可维护性。 服务集支持服务对象和服务组两种，服务对象只能配置服务元素，服务组只能配置服务对象。 策略的相关概念——服务集 预定义服务集（predefined-service），不用用户自己定义，系统定义好的一些服务，用户不能修改，通常是知名协议。 各策略特性配置举例 各策略特性配置举例 策略匹配顺序 策略采用顺序匹配原则，按照用户配置规则的先后顺序进行匹配，显示的顺序即为策略的匹配顺序，前面的优先级高。 以安全策略为例， 策略支持调整功能 策略启用与禁用 配置策略后默认是启用的，可以通过下面命令启用或禁用一条策略 policy policy-id { enable | disable }， 策略移动 将策略1移动到策略2之前或之后，从而调整策略匹配优先级 policy move policy-id1 [ before | after ] policy-id2 策略复制 复制生成一个与指定策略完全相同的新策略。 policy copy policy-id [ policy-new-id ] 策略的查询 V3R1不支持硬件tcam查询，ACL及策略查找全部采用软件查询。 查询结构：所有ACL和policy的规则生成一个查询结构。 修改、添加、删除规则，或是修改地址集、服务集都需要重新生成查询结构。 生成查询结构有两种方法：1，自动生成，配置完毕后1分钟会构建生成查询结构。2，手动使能生成，执行命令acl accelerate enable会立即构建查询结构。 注意：在查询结构生成之前新配置的规则不能生效。 安全策略介绍 安全策略，即包过滤，作为一种网络安全保护机制，用于控制在两个不同安全级别网络之间数据的流入和流出，是防火墙安全功能的重要组成部分。安全策略支持域间和域内配置。 为了实现安全策略功能，需要配置一系列的过滤规则，当报文在两个安全区域之间流动时，防火墙的安全策略功能生效 安全策略的配置 安全策略配置方式与老的包过滤不同，但是功能完全相同。 老的包过滤是用acl来配置的，例如: 安全策略和域间缺省包过滤的关系 防火墙任意两个安全区域之间都存在缺省包过滤，也就是说可以用域间默认包过滤就可以实现简单的访问控制。如果域间缺省包过滤是打开的，那么可以从配置中看到： firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound 如果域间默认包过滤是关闭的，那么配置中就不显示任何信息。在未做任何配置的情况下，防火墙默认 保留区域之间的默认包过滤是打开的。 安全策略举例 域间默认包过滤都关闭，并在域间配置如下安全策略 NAT策略介绍 NAT（Network Address Translation，网络地址转换）是将IP数据报报头中的IP地址转换为另