H3C_SecPath+U200典型配置指导
SecPath U200典型配置指导 1 介绍H3C SecPath U200-S是H3C公司面向中小型企业/分支机构设计推出的新一代UTM(UnitedThreat Management,统一威胁管理)设备,采用高性能的多核、多线程安全平台,保障在全部安全功能开启时性能不降低;在防火墙、VPN功能基础上,集成了IPS、防病毒、URL过滤、协议内容审计、带宽管理以及反垃圾邮件等安全功能,产品具有极高的性价比。 H3C公司的SecPathU200-S能够全面有效的保证用户网络的安全,同时还可以使用户避免部署多台安全设备所带来的运营成本和维护复杂性问题。 2 组网需求2.1 组网图
2.2 三层模式2.2.1 接口与安全域配置G0/1 三层接口,Trust域,192.168.1.1/24 Eth0/0 Trust域,10.254.254.1/24 G0/2 三层接口,Untrust域,202.0.0.1/24 2.2.2 ACL配置
用于内网访问Internet时作NAT
用于iware访问内网、Internet时作NAT
用于深度安全策略 2.2.3 NAT配置nat server配置
nat outbound配置
2.3 二层模式2.3.1 接口与安全域配置G0/1 二层access口,PVID 10,Trust域 G0/2 二层access口,PVID为10,Untrust Eth0/0 三层接口,Trust域,10.254.254.1/24 vlan-interface10 Trust域,192.168.1.1/24 2.3.2 ACL配置
用于iware访问内网时作NAT
用于深度安全策略 2.3.3 NAT配置NAT Server配置
NAT outbound配置
3 U200典型配置举例3.1 IPS/AV特征库升级3.1.1 特征库自动升级(1) 功能简述 验证U200自动升级IPS/AV特征库 (2) 测试步骤 防火墙Web管理界面,策略管理 > 深度安全策略。点击“进入深度安全策略配置”,进入i-ware WEB管理界面
系统管理 > 升级管理 > 自动升级 选择自动升级库类型,选中“启用自动升级”,设置“开始时间”、“间隔时间”和“升级包的位置”。升级包的位置支持http、tftp两种协议。
点击< 确定>按钮保存配置。指定的时间后察看版本信息有结果A (3) 验证结果 A. 版本信息中当前版本更新时间显示自动更新在指定时间运行了,且特征库已更新 (4) 注意事项 A. 确保license文件存在且有效 B. 将开始时间设定在网络相对空闲的时间,如凌晨。 (5) 故障排除 A. 提示license文件不存在,需要在iware隐含扩展视图,/mnt/system/config目录下执行license重新生成license文件;或通过Web License文件管理 > 文件操作页面导入license文件。 B. 提示license文件错误,察看devicebom、devicename和devicecode值是否正确。 3.1.2 特征库手动升级(1) 功能简述 验证U200手动升级IPS/AV特征库 (2) 测试步骤 进入i-ware WEB管理界面 系统管理 > 升级管理 > 手动升级 选择“特征库类型”、“协议(手动升级目前只支持tftp)”,输入“升级包的位置”,点击< 确定 > 。有结果A
(3) 验证结果 A. 立刻开始升级特征库。结束后察看特征库版本信息,已更新 (4) 注意事项 (5) 故障排除
3.2 IPS配置(1) 功能简述 验证二层模式、三层模式下,U200对流量进行IPS检测 (2) 测试步骤 防火墙Web管理页面,策略管理 > 深度安全策略 点击<新建>,选择“源域”(Trust)、“目的域”(Untrust),指定“段ID”(3)和“访问控制列表ID”(3998)。建立Trust->Untrust的深度安全策略
建立Untrust->Trust深度安全策略
注:配置检测两个方向发起的访问流量的深度安全策略; 段3默认关联了AV+IPS策略。 内网PC运行漏洞扫描软件(如x-scan)对Internet上某台计算机进行扫描,察看攻击日志,有结果A (3) 验证结果 A. 攻击日志显示检测到攻击,并执行了相应的动作 (4) 注意事项 (5) 故障排除 3.3 防病毒配置(1) 功能简述 验证二层模式、三层模式下,U200对流量进行病毒扫描检测 (2) 测试步骤 防火墙Web管理页面,策略管理 > 深度安全策略 点击<新建>,选择“源域”(Trust)、“目的域”(Untrust),指定“段ID”(3)和“访问控制列表ID”(3998)。建立Trust->Untrust的深度安全策略
建立Untrust->Trust深度安全策略
注:配置检测两个方向发起的访问流量的深度安全策略; 段3默认关联了AV+IPS策略。 (3) 验证结果 A. 下载失败。察看病毒日志,显示病毒被检测到并阻断。 (4) 注意事项 (5) 故障排除 3.4 URL过滤(1) 功能简述 验证二层模式、三层模式下,U200对经过设备的URL请求进行过滤,阻断对不良/恶意网站的访问。 (2) 测试步骤 配置深度安全策略 防火墙Web管理页面,策略管理 > 深度安全策略 点击<新建>,选择“源域”(Trust)、“目的域”(Untrust),指定“段ID”(3)和“访问控制列表ID”(3998)。建立Trust->Untrust的深度安全策略 建立Untrust->Trust深度安全策略
时间表配置 i-ware Web管理页面,对象管理 > 时间表管理,点击创建时间表 输入“名称”(工作时间);在时间段2的输入框中输入该时间段的名称( Worktime) ,点击时间段2对应的蓝色图标,然后在时间表格中选择所需的格子
点击“检查方案”按钮查看当前时间分组所对应的时间段信息
URL过滤策略配置 i-ware WEB管理界面,对象管理 > URL过滤 > 策略管理,点击< 创建策略 >
输入“名称”(Custom URL Filter),选择“时间表”(工作时间)
点击确定,进入“规则管理”页面。点击<创建规则> 按钮,
输入“名称”( www.sina.com.cn),选择“过滤类型”(主机名),输入“固定字符串”( www.sina.com.cn),选择“使能状态”(使能),选择“时间分组”(timegroup1),设置“动作集”(时间段default的动作集选择Permit,时间段Worktime的动作集选择Block)。
点击< 创建规则 > 按钮,输入“名称”(Worm Site),选择“过滤类型”(IP地址),输入“固定字符串”(61.154.3.2),选择“使能状态”(使能),选择“时间分组”(任意时间),设置“动作集”(Block)。
关联应用URL过滤段策略 对象管理 > 段策略管理,点击< 新建段策略 >
选择“要关联的段”(3)、“url过滤策略”、“选择策略”(Custom URL Filter)、方向(内部到外部、外部到内部),点击确定。
点击< 激活 > 使配置生效 (3) 验证结果 A. 不能打开页面。察看系统状态页面,URL过滤中显示阻断计数
(4) 注意事项 (5) 故障排除 3.5 协议内容审计(1) 功能简述 验证二层模式、三层模式下,U200对经过设备的http、ftp、smtp协议内容进行审计,并将审计日志发送到syslog服务器。 (2) 测试步骤 配置深度安全策略 防火墙Web管理页面,策略管理 > 深度安全策略 点击<新建>,选择“源域”(Trust)、“目的域”(Untrust),指定“段ID”(3)和“访问控制列表ID”(3998)。建立Trust->Untrust的深度安全策略
建立Untrust->Trust深度安全策略
协议内容审计策略配置 i-ware WEB管理界面,对象管理 > 协议内容审计 > 策略管理,点击< 创建策略 >
输入“名称”(Custom Audit Policy)
点击确定,进入“规则管理”页面。 禁止规则POP3 选中协议规则(pop3),点击 < 禁止规则 > 按钮
修改Notify动作 修改Notify动作,向syslog服务器发送审计日志 对象管理 > 动作管理 > 通知动作列表,点击通知动作“Notify”或操作栏中“修改通知动作资料”按钮
“通知方式”中选中“输出到syslog主机输出到syslog主机输出到syslog主机”,输入“名称”(192.168.1.2)、IP地址(192.168.1.2)和端口号(514)。
点击< 增加 > 按钮,将syslog主机添加到左侧的列表框中,选中添加的syslog主机,点击确定。
关联应用协议内容审计段策略 对象管理 > 段策略管理,点击< 新建段策略 >
选择“要关联的段”(3)、“策略类型”(协议内容审计策略)、“选择策略”(CustomAudit Policy)、方向(双向),点击确定。
点击< 激活 > 使配置生效 内网PC进行到Internet的http、ftp、smtp和pop3访问,察看syslog主机,有结果A (3) 验证结果 A. 接收到http、ftp和smtp审计日志 (4) 注意事项 (5) 故障排除 3.6 带宽管理配置(应用带宽控制)(1) 功能简述 验证二层模式、三层模式下,U200对经过设备的应用流量进行管理(阻断、限速) (2) 测试步骤 配置深度安全策略 防火墙Web管理页面,策略管理 > 深度安全策略 点击<新建>,选择“源域”(Trust)、“目的域”(Untrust),指定“段ID”(3)和“访问控制列表ID”(3998)。建立Trust->Untrust的深度安全策略
建立Untrust->Trust深度安全策略
带宽控制配置 i-ware WEB管理界面,对象管理 > BWC管理 >应用带宽控制列表,点击< 增加带宽控制 >
输入“名称”(limit_p2p_400kbps)、“平均带宽限制”(400kbps)
动作集配置 对象管理 > 动作管理 > 限速动作列表,点击< 添加限速动作 >
输入“名称”(limit_p2p_400kbps);“带宽控制”设置中,选中“从内网到外网(上行)方向带宽控制”并选择已添加的应用带宽控制规则(limit_p2p_400kbps) ,选中“从外网到内网(下行)方向带宽控制”并选择已添加的应用带宽控制规则(limit_p2p_400kbps)。
对象管理 > 动作管理 > 动作集列表 点击 < 添加动作集 >
输入“名称”(limit_p2p_400kbps),“选择动作”选择“限速:,并选择已添加的限速动作(limit_p2p_400kbps) 。
带宽管理配置 对象管理 > 带宽管理 > 策略管理,点击< 创建策略 >
输入“名称”(Custom Service Control Policy1),选择“时间表”(工作时间)。点击确定,进入“规则管理”页面。
点击 < 创建规则 > ,输入策略“名称”(P2P下载限速),选择“服务”(P2P),选择“时间分组”(timegroup1),选择“动作集”(default时间段动作集选择Permit,Worktime时间段动作集选择 limit_p2p_400kbps)。点击确定。
创建网络游戏、在线视频阻断规则
规则管理页面,选择“工作模式”为“用户模式”,实现每用户/IP限速
注:组模式对符合策略的所有用户的带宽之和进行控制,用户模式对符合策略的单个用户的带宽进行独立地控制 关联带宽管理段策略 对象管理 > 段策略管理,点击< 新建段策略 >
选择“要关联的段”(3)、“策略类型”(带宽管理策略)、“选择策略”(CustomService Control Policy1)、管理区域(内部区域),添加例外IP地址(192.168.1.168),点击确定。
点击< 激活 > 使配置生效 工作时间(每周一到周五8:30到18:00),内网PC(IP地址非192.168.1.168)执行emule、BT、迅雷等P2P下载,有结果A 非工作时间内网PC(IP地址非192.168.1.168)执行P2P下载,有结果B 工作时间(每周一到周五8:30到18:00),内网PC(IP地址非192.168.1.168)执行网络游戏(QQ游戏、联众游戏)和在线视频(PPlive),有结果C 非工作时间内网PC(IP地址非192.168.1.168)执行网络游戏(QQ游戏、联众游戏)和在线视频(PPlive),有结果C Ip地址为192.168.1.168的PC在任意时间执行P2P下载、网络游戏和在线视频,有结果D (3) 验证结果 A. 一台PC各P2P软件总的下载速率不超过400Kbps B. 一台PC各P2P软件总的下载速率可能会超过400Kbps C. 网络游戏不能运行,网络视频不能观看 D. P2P下载速率不受限制,可能会超过400kbps。网络游戏能够运行,视频能够观看。 (4) 注意事项 (5) 故障排除 3.7 带宽管理配置(策略带宽控制)(1) 功能简述 验证二层模式、三层模式下,U200对经过设备的应用流量进行管理(阻断、限速) (2) 测试步骤 配置深度安全策略 防火墙Web管理页面,策略管理 > 深度安全策略 点击<新建>,选择“源域”(Trust)、“目的域”(Untrust),指定“段ID”(3)和“访问控制列表ID”(3998)。建立Trust->Untrust的深度安全策略
建立Untrust->Trust深度安全策略
带宽控制配置 i-ware WEB管理界面,对象管理 > BWC管理 > 策略带宽控制列表,点击< 增加带宽控制 >
输入“名称”(limit_p2p_400kbps)、“平均带宽限制”(400kbps)
带宽管理配置 对象管理 > 带宽管理 > 策略管理,点击< 创建策略 >
输入“名称”(Custom Service Control Policy2),点击确定,进入“规则管理”页面。
选中默认规则“Default”,点击<禁止选中规则>
点击< 创建规则 >,输入“名称”(P2P下载),选择“服务”(P2P)、动作集(Permit),点击确定。
网络视频允许规则
网络游戏阻断规则
关联带宽管理段策略 对象管理 > 段策略管理,点击< 新建段策略 >
选择“要关联的段”(3)、“策略类型”(带宽管理策略)、“选择策略”(CustomService Control Policy2)、管理区域(内部区域),点击确定。
点击< 激活 > 使配置生效 内网多台PC任意时间同时进行emule、BT、迅雷等P2P下载,PPlive网络电视,有结果A 内网PC任意时间运行网络游戏(QQ游戏、联众游戏),有结果B (3) 验证结果 A. 所有PC总的下载速率不超过400kbps B. 网络游戏不能运行 (4) 注意事项 (5) 故障排除 图文详情请查看附件。
| 
QQ群⑧:
窥视卡
雷达卡
发表于 2015-7-17 17:33:29
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡