H3CSecPath+U200典型配置指導

文檔名稱 文檔密級SecPathU200典型配置指導介紹H3CSecPathU200-S是H3C公司面對中小型企業(yè)/分支機構設計推出的一代UTM〔UnitedThreatManagement，統(tǒng)一威逼治理)保障在全部安全功能開啟時性能不降低；在防火墻、VPN功能根底上，集成了IPS、防病毒、URL過濾、協(xié)議內(nèi)容審計、帶寬治理以及反垃圾郵件等安全功能，產(chǎn)品具有極高的性價比。H3CSecPathU200-S能夠全面有效的保證用戶網(wǎng)絡的安全，同時還可以使用戶避開部署多臺安全設備所帶來的運營本錢和維護簡單性問題。組網(wǎng)需求組網(wǎng)圖U200U200G0/2InternetPCG0/1三層模式接口與安全域配置G0/1 三層接口，Trust域，/24Eth0/0 Trust域，/24G0/2 三層接口，Untrust域，/24ACL配置2007-04-27 H3C機密，未經(jīng)許可不得集中 第1頁,共32頁文檔名稱 文檔密級時作NAT用于iware訪問內(nèi)網(wǎng)、Internet時作NAT用于深度安全策略natserver配置natoutbound配置二層模式接口與安全域配置G0/1 二層access口，PVID10，Trust域2007-04-27 H3C機密，未經(jīng)許可不得集中 第2頁,共32頁文檔名稱 文檔密級G0/2 二層access口，PVID為10，UntrustEth0/0 三層接口，Trust域，/24vlan-interface10 Trust域，/24ACL配置用于iware訪問內(nèi)網(wǎng)時作NAT用于深度安全策略NATServer配置NAToutbound配置2007-04-27 H3C機密，未經(jīng)許可不得集中 第3頁,共32頁文檔名稱 文檔密級U200典型配置舉例IPS/AV特征庫升級特征庫自動升級功能簡述驗證U200自動升級IPS/AV特征庫測試步驟防火墻Web治理界面，策略治理>置”，進入i-wareWEB治理界面>>自動升級選擇自動升級庫類型，選中“啟用自動升級”，設置“開頭時間”、“間隔時間”和“升級包的位置”。升級包的位置支持、tftp兩種協(xié)議。點擊<確定>按鈕保存配置。指定的時間后觀察版本信息有結果A驗證結果A. 版本信息中當前版本更時間顯示自動更在指定時間運行了，且特征庫已更留意事項2007-04-27 H3C機密，未經(jīng)許可不得集中 第4頁,共32頁文檔名稱 文檔密級確保license文件存在且有效將開頭時間設定在網(wǎng)絡相對空閑的時間，如凌晨。故障排解提示license文件不存在，需要在iware隱含擴展視圖，/mnt/system/config名目下執(zhí)行l(wèi)icense重生成license文件；或通過WebLicense文件治理>文件操作頁面導入license文件。提示license文件錯誤，觀察devicebom、devicename和devicecode值是否正確。特征庫手動升級功能簡述驗證U200手動升級IPS/AV特征庫測試步驟進入i-wareWEB治理界面>>手動升級選擇“特征庫類型”、“協(xié)議〔tftp〕”，輸入“升級包的位置”，點擊<確定>。有結果A驗證結果A. 馬上開頭升級特征庫。完畢后觀察特征庫版本信息，已更留意事項故障排解2007-04-27 H3C機密，未經(jīng)許可不得集中 第5頁,共32頁文檔名稱 文檔密級IPS配置功能簡述驗證二層模式、三層模式下，U200對流量進展IPS檢測測試步驟防火墻Web治理頁面，策略治理>深度安全策略點擊<建>，選擇“源域”〔Trust〕、“目的域”〔Untrust〕，指定“段ID”和“訪問掌握列表ID”〔3998〕。建立Trust->Untrust的深度安全策略建立Untrust->Trust深度安全策略注：配置檢測兩個方向發(fā)起的訪問流量的深度安全策略；段3默認關聯(lián)了AV+IPS策略。內(nèi)網(wǎng)PC運行漏洞掃描軟件〔如x-scan〕對Internet上某臺計算機進展掃描，觀察攻擊日志，有結果A驗證結果A．攻擊日志顯示檢測到攻擊，并執(zhí)行了相應的動作留意事項故障排解2007-04-27 H3C機密，未經(jīng)許可不得集中 第6頁,共32頁文檔名稱 文檔密級防病毒配置功能簡述驗證二層模式、三層模式下，U200對流量進展病毒掃描檢測測試步驟防火墻Web治理頁面，策略治理>深度安全策略點擊<建>，選擇“源域”〔Trust〕、“目的域”〔Untrust〕，指定“段ID”和“訪問掌握列表ID”〔3998〕。建立Trust->Untrust的深度安全策略建立Untrust->Trust深度安全策略注：配置檢測兩個方向發(fā)起的訪問流量的深度安全策略；段3默認關聯(lián)了AV+IPS策略。內(nèi)網(wǎng)PC從“:///“下載eicar測試病毒，有結果A驗證結果A. 下載失敗。觀察病毒日志，顯示病毒被檢測到并阻斷。留意事項故障排解2007-04-27 H3C機密，未經(jīng)許可不得集中 第7頁,共32頁文檔名稱 文檔密級URL過濾功能簡述驗證二層模式、三層模式下，U200對經(jīng)過設備的URL懇求進展過濾，阻斷對不良/惡意網(wǎng)站的訪問。測試步驟配置深度安全策略防火墻Web治理頁面，策略治理>深度安全策略點擊<建>，選擇“源域”〔Trust〕、“目的域”〔Untrust〕，指定“段ID”和“訪問掌握列表ID”〔3998〕。建立Trust->Untrust的深度安全策略建立Untrust->Trust深度安全策略時間表配置i-wareWeb治理頁面，對象治理>時間表治理，點擊創(chuàng)立時間表輸入“名稱”〔工作時間〕；在時間段 2的輸入框中輸入該時間段的名稱(Worktime)，點擊時間段2對應的藍色圖標，然后在時間表格中選擇所需的格子2007-04-27 H3C機密，未經(jīng)許可不得集中 第8頁,共32頁文檔名稱 文檔密級點擊“檢查方案”按鈕查看當前時間分組所對應的時間段信息URL過濾策略配置i-wareWEB>URL過濾>策略治理，點擊<創(chuàng)立策略>輸入“名稱”〔CustomURLFilter〕，選擇“時間表”〔工作時間〕2007-04-27 H3C機密，未經(jīng)許可不得集中 第9頁,共32頁文檔名稱 文檔密級點擊確定，進入“規(guī)章治理”頁面。點擊<創(chuàng)立規(guī)章>按鈕，輸入“名稱”〔“://sina.cn/“sina.cn〕，選擇“過濾類型”〔主機名〕，輸入“固定字符串”〔“://sina.cn/“sina.cn〕，選擇“使能狀態(tài)”〔使能〕，選擇“時間分組”〔timegroup1〕，設置“動作集”〔default的動作集選擇Permit，時間段Worktime的動作集選擇Block〕。2007-04-27 H3C機密，未經(jīng)許可不得集中 第10頁,共32頁文檔名稱 文檔密級點擊<創(chuàng)立規(guī)章>地址〕，輸入“固定字符串”〔〕，選擇“使能狀態(tài)”〔使能〕，選擇“時間分組”〔任意時間〕，設置“動作集”〔Block〕。2007-04-27 H3C機密，未經(jīng)許可不得集中 第11頁,共32頁文檔名稱 文檔密級關聯(lián)應用URL過濾段策略>段策略治理，點擊<>〔urCustomURLFilte、方向〔內(nèi)部到外部、外部到內(nèi)部〕，點擊確定。2007-04-27 H3C機密，未經(jīng)許可不得集中 第12頁,共32頁文檔名稱 文檔密級點擊<>使配置生效內(nèi)網(wǎng)PC訪問“://sina.cn和/“sina.cn和，有結果A驗證結果A. 不能翻開頁面。觀察系統(tǒng)狀態(tài)頁面，URL過濾中顯示阻斷計數(shù)留意事項故障排解2007-04-27 H3C機密，未經(jīng)許可不得集中 第13頁,共32頁文檔名稱 文檔密級協(xié)議內(nèi)容審計功能簡述驗證二層模式、三層模式下，U200對經(jīng)過設備的、ftp、smtp協(xié)議內(nèi)容進展審計，并將審計日志發(fā)送到syslog效勞器。測試步驟配置深度安全策略防火墻Web治理頁面，策略治理>深度安全策略點擊<建>，選擇“源域”〔Trust〕、“目的域”〔Untrust〕，指定“段ID”和“訪問掌握列表ID”〔3998〕。建立Trust->Untrust的深度安全策略建立Untrust->Trust深度安全策略協(xié)議內(nèi)容審計策略配置i-ware WEB治理界面，對象治理>協(xié)議內(nèi)容審計>策略治理，點擊<創(chuàng)立>2007-04-27 H3C機密，未經(jīng)許可不得集中 第14頁,共32頁文檔名稱 文檔密級輸入“名稱”〔CustomAuditPolicy〕點擊確定，進入“規(guī)章治理”頁面。制止規(guī)章POP3選中協(xié)議規(guī)章〔pop3〕，<>按鈕修改Notify動作2007-04-27 H3C機密，未經(jīng)許可不得集中 第15頁,共32頁文檔名稱 文檔密級修改Notify動作，向syslog效勞器發(fā)送審計日志對象治理>動作治理>Notify”或操作欄中“修改通知動作資料”按鈕“通知方式”中選中“輸出到syslog主機”，輸入“名稱”〔〕、IP地址〔〕和端口號〔514〕。點擊<>按鈕，將syslogsyslog主機，點擊確定。2007-04-27 H3C機密，未經(jīng)許可不得集中 第16頁,共32頁文檔名稱 文檔密級關聯(lián)應用協(xié)議內(nèi)容審計段策略>段策略治理，點擊<>選擇“要關聯(lián)的段”〔3〕〔協(xié)議內(nèi)容審計策略〕〔CustomAuditPolicy〕、方向〔雙向〕，點擊確定。2007-04-27 H3C機密，未經(jīng)許可不得集中 第17頁,共32頁文檔名稱 文檔密級點擊<>使配置生效內(nèi)網(wǎng)PC進展到Internet的、ftp、smtp和pop3訪問，觀察syslog主機，有結果A驗證結果A. 接收到、ftp和smtp審計日志留意事項故障排解2007-04-27 H3C機密，未經(jīng)許可不得集中 第18頁,共32頁文檔名稱 文檔密級帶寬治理配置〔應用帶寬掌握〕功能簡述驗證二層模式、三層模式下，U200對經(jīng)過設備的應用流量進展治理〔阻斷、限速〕測試步驟配置深度安全策略防火墻Web治理頁面，策略治理>深度安全策略點擊<建>，選擇“源域”〔Trust〕、“目的域”〔Untrust〕，指定“段ID”和“訪問掌握列表ID”〔3998〕。建立Trust->Untrust的深度安全策略建立Untrust->Trust深度安全策略帶寬掌握配置BWC>應用帶寬掌握列表，點擊<增>2007-04-27 H3C機密，未經(jīng)許可不得集中 第19頁,共32頁文檔名稱 文檔密級〔400kbps〕動作集配置>>限速動作列表，點擊<>輸入“名稱”〔limit_p2p_400kbps〕；“帶寬掌握”設置中，選中“從內(nèi)網(wǎng)到外網(wǎng)〔上行〕方向帶寬掌握”并選擇已添加的應用帶寬掌握規(guī)章〔limit_p2p_400kbps〕，選中“從外網(wǎng)到內(nèi)網(wǎng)〔下行〕方向帶寬掌握”并選擇已添加的應用帶寬掌握規(guī)章〔limit_p2p_400kbps〕。2007-04-27 H3C機密，未經(jīng)許可不得集中 第20頁,共32頁文檔名稱 文檔密級>>動作集列表<>輸入“名稱”〔limit_p2p_400kbps〕，“選擇動作”選擇“限速：，并選擇已添加的限速動作〔limit_p2p_400kbps〕2007-04-27 H3C機密，未經(jīng)許可不得集中 第21頁,共32頁文檔名稱 文檔密級帶寬治理配置>>策略治理，點擊<>輸入“名稱”〔CustomServiceControlPolicy1〕，選擇“時間表”〔工作時間〕。點擊確定，進入“規(guī)章治理”頁面。2007-04-27 H3C機密，未經(jīng)許可不得集中 第22頁,共32頁文檔名稱 文檔密級點擊<創(chuàng)立規(guī)章>P2下載限速選擇“時間分組”〔timegroup1〕，選擇“動作集”〔default時間段動作集選擇Permit，Worktimelimit_p2p_400kbps〕。點擊確定。2007-04-27 H3C機密，未經(jīng)許可不得集中 第23頁,共32頁文檔名稱 文檔密級創(chuàng)立網(wǎng)絡玩耍、在線視頻阻斷規(guī)章2007-04-27 H3C機密，未經(jīng)許可不得集中 第24頁,共32頁文檔名稱 文檔密級規(guī)章治理頁面，選擇“工作模式”為“用戶模式”，實現(xiàn)每用戶/IP限速注：組模式對符合策略的全部用戶的帶寬之和進展掌握，用戶模式對符合策略的單個用戶的帶寬進展獨立地掌握關聯(lián)帶寬治理段策略>段策略治理，點擊<>2007-04-27 H3C機密，未經(jīng)許可不得集中 第25頁,共32頁文檔名稱 文檔密級選“要關聯(lián)的段〔3“策略類型〔帶寬治理策略“選擇策略ServiceControl Policy1〕、治理區(qū)域〔內(nèi)部區(qū)域〕，添加例外IP地址〔68〕，點擊確定。點擊<>使配置生效工作時間〔每周一到周五8:30到18:00〕，內(nèi)網(wǎng)PC〔IP地址非68〕2007-04-27 H3C機密，未經(jīng)許可不得集中 第26頁,共32頁文檔名稱 文檔密級執(zhí)行emule、BT、迅雷等P2P下載，有結果A非工作時間內(nèi)網(wǎng)PC〔IP地址非68〕執(zhí)行P2P下載，有結果B工作時間〔每周一到周五8:30到18:00〕，內(nèi)網(wǎng)PC〔IP地址非68〕執(zhí)行網(wǎng)絡玩耍〔QQ玩耍、聯(lián)眾玩耍〕和在線視頻〔PPlive〕，有結果C非工作時間內(nèi)網(wǎng)PC〔IP地址非68〕執(zhí)行網(wǎng)絡玩耍〔QQ玩耍、聯(lián)眾玩?！澈驮诰€視頻〔PPlive〕，有結果CIp地址為68的PC在任意時間執(zhí)行P2P下載、網(wǎng)絡玩耍和在線視頻，有結果D驗證結果一臺PC各P2P軟件總的下載速率不超過400Kbps一臺PC各P2P軟件總的下載速率可能會超過400Kbps網(wǎng)絡玩耍不能運行，網(wǎng)絡視頻不能觀看P2P下載速率不受限制，可能會超過400kbps。網(wǎng)絡玩耍能夠運行，視頻能夠觀看。留意事項故障排解帶寬治理配置〔策略帶寬掌握〕功能簡述驗證二層模式、三層模式下，U200對經(jīng)過設備的應用流量進展治理〔阻斷、限速〕測試步驟配置深度安全策略防火墻Web治理頁面，策略治理>深度安全策略點擊<建>，選擇“源域”〔Trust〕、“目的域”〔Untrust〕，指定“段ID”和“訪問掌握列表ID”〔3998〕。建立Trust->Untrust的深度安全策略2007-04-27 H3C機密，未經(jīng)許可不