H3C防火墙基础配置3-配置对象策略
1.对象策略简介
对象策略基于全局进行配置,基于安全域间实例进行应用。在安全域间实例上应用对象策略可实现对报文流的检查,并根据检查结果允许或拒绝其通过。对象策略通过配置对象策略规则实现。
一个对象策略中可以包含多条对象策略规则。对象策略规则通过指定对象组来描述报文匹配条件的判断语句,匹配条件可以是报文的源 IP 地址、目的 IP 地址、服务类型、应用和应用组等设备依照这些规则匹配出特定的报文,并根据规则预先设定的动作对其进行处理。创建规则时可以不指定任何可选条件,则规则对任意报文生效。
2. 对象策略规则的编号
一个对象策略中可包含多条规则,每条规则都拥有唯一的编号进行标示,此编号在创建规则时由用
户手工指定或由系统自动分配。在自动分配编号时,系统会将对应对象策略中已使用的最大编号加
一作为新的编号,若新编号超出了编号上限(65534),则选择当前未使用的最小编号作为新的编号。
3.对象策略规则的匹配顺序
当一个对象策略中包含多条规则时,报文会按照配置顺序与这些规则进行匹配,一旦匹配上某条规则便结束匹配过程。对象策略规则的配置顺序可在对象策略视图下通过 display this 命令查看,配置顺序与规则的创建顺序有关,先创建的规则优先进行匹配。同时,也可以通过移动规则的位置来调整规则的配置顺序。根据对象策略规则的匹配原理,为使设备上部署的对象策略对流经设备的报文达到更好、更精准的控制效果,需要在配置对象策略规则时遵循“深度优先”的原则,即控制对象精细的先配置,控制对象范围大的后配置。创建规则时可以不指定任何可选条件,则规则对任意报文生效。
4.配置IPv4对象策略规则
object-policy ip object-policy-name
rule [ rule-id ] { drop | pass | inspect app-profile-name } [ [ source-ip
{ object-group-name | any } ] [ destination-ip { object-group-name |
any } ] [ service { object-group-name | any } ] [vrf vrf-name ]
[ application application-name ] [ app-group app-group-name ] [ counting ]
[ disable ] [ logging ] [ track [ negative ] track-entry-number ]
[ time-range time-range-name ] ] * //配置对象策略规则
rule rule-id append { application application-name | app-group
app-group-name | destination-ip object-group-name | service
object-group-name | source-ip object-group-name } //配置附加过滤条件
move rule rule-id before insert-rule-id //移动rule
accelerate //开启对象策略加速功能,默认关闭
zone-pair security source souce-zone-name destination destination-zone-name
object-policy apply ip object-policy-name //应用对象策略
5.对象策略配置举例
实验案例1:
目的:PC_3能ping通PC_5,但PC_5无法ping通PC_3
PC_3地址设置为dhcp获取,PC_5配置地址为100.2.2.5,网关为100.2.2.254
其他设备配置同前面的案例,防火墙配置如下:
F1060-1:
interface g1/0/2
ip address 200.2.2.10 24
interface g1/0/3
ip address 10.100.1.254 24
ip route-static 0.0.0.0 0.0.0.0 200.2.2.254
ip route-static 192.168.1.0 0.0.0.255 10.100.1.2
将对应端口加入安全域:
security-zone name Trust
import interface GigabitEthernet1/0/3
security-zone name Untrust
import interface GigabitEthernet1/0/2
配置对象策略:
object-policy ip trust-untrust
rule 0 pass
zone-pair security source Trust destination Untrust
object-policy apply ip trust-untrust
完成上述配置后,PC_3可以单向ping通PC_5。
同样的,需要配置local域和其他域的域间策略才可以让防火墙和其他设备可以互相ping通。另外需要注意的是:当安全策略(security-policy ip)**时,对象策略(object-policy)会失效。所以,如果已经配置了security-policy ip,需要undo掉,否则object-policy无法生效。security-policy是object-policy的进化版,两者无法同时生效,security-policy优先级高于object-policy。
配置实例2:
基本配置同之前的安全策略:
time-range work 08:00 to 18:00 working-day //配置时间段
security-zone name database //创建安全域
import interface g1/2/5/1
quit
security-zone name president
import interface g1/2/5/2
quit
security-zone name finance
import interface g1/2/5/3
quit
security-zone name market
import interface g1/2/5/4
quit
object-group ip address database //创建IP地址对象组
network subnet 192.168.0.0 24
quit
object-group ip address president
network subnet 192.168.1.0 24
quit
object-group ip address finance
network subnet 192.168.2.0 24
quit
object-group ip address market
network subnet 192.168.3.0 24
quit
object-group service web //创建名为web的服务对象组
service 6 destination eq 80
quit
对象策略配置:
object-policy ip president-database
rule pass source-ip president destination-ip database service web
quit
object-policy ip finance-database
rule pass source-ip finance destination-ip database service web time-range work
quit
object-policy ip market-database
rule drop source-ip market destination-ip database service web
quit
对象策略应用:
zone-pair security source president destination database
object-policy apply ip president-database
quit
zone-pair security source finance destination database
object-policy apply ip finance-database
quit
zone-pair security source market destination database
object-policy apply ip market-database
quit
推荐阅读