【网络设备】H3C FW V7:安全域与域间策略

最新推荐文章于 2025-03-12 22:58:53 发布
最新推荐文章于 2025-03-12 22:58:53 发布
阅读量5.1k 收藏 11
点赞数
分类专栏: 网络 文章标签: 安全 网络 h3c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fanqie_tomato/article/details/122218035
版权

1 几个概念

  1. 安全域
    逻辑概念,用于管理安全防护设备上安全需求相同的多个接口
  2. 默认安全域
    首次创建安全域、域间策略时,系统默认创建Local、Trust、DMZ、Management、Untrust、WAN和LAN。

    默认安全域不能被删除

  3. 域间策略
    基于安全域,实现对报文流的检查。根据检查结果,对报文执行相应安全控制动作。
  4. 安全域间实例
    指定域间策略 需要检测业务流的 源安全域和目的安全域。

2 安全域

2.1 安全域内的默认规则

设备上各接口报文转发,遵循的规则:

  • 安全域中与非安全域接口之间的报文:
    默认被丢弃。
  • 同一安全域接口之间的报文:
    默认被丢弃。
  • 安全域接口之间的报文:
    根据域间策略,放行或丢弃。

    若域间策略不存在或不生效,则报文被丢弃。

  • 非安全域的接口之间的报文:
    默认被丢弃。
  • 目的地址或源地址为本机的报文:
    默认被丢弃。
    如果该报文与域间策略匹配,则由域间策略进行安全检查,并根据检查结果放行或丢弃。

2.2 安全域间实例

安全域间实例上应用域间策略,对指定的业务流进行域间策略检查。

2.2.1 匹配优先级关系

有具体安全域的安全域间实例 > any到any的安全域间实例。

2.2.2 默认规则
  • Management和Local安全域间之间的报文默认被允许。
  • Management和Local安全域间之间的报文只能匹配Management与Local安全域之间的安全域间实例

2.3 配置命令

2.3.1 创建安全域、添加域内成员
sys	
security-zone name XXX
	import  interface G1/0/XX		 //添加三层接口成员
	import interface G1/0/XX vlan YY //添加二层接口和VLAN成员
	import vlan YY					 //添加VLAN成员
	import ip ip-address { mask-length | mask } [ vpn-instance vpn-instance-name ] //添加IPv4子网成员
	import ipv6 ipv6-address prefix-length [ vpn-instance vpn-instance-name ]		 //添加IPv6子网成员
	import service-chain path path-id [ reversed ]		//添加服务链成员
2.3.2 设备管理:和Local域间,协议报文交互不受限

默认情况下,设备仅允许Local安全域和Management安全域之间的报文通信,进行设备管理。
若需通过其他安全域成员接口对设备进行管理,可通过配置域间策略放行Local安全域和其他安全域指定协议的报文。

sys
interface G1/0/XX
//允许和其他设备交互的协议,指定协议的报文不受策略控制。
manage { { http | https | ping | ssh | telnet } { inbound | outbound } | { netconf-http | netconf-https | netconf-ssh | snmp } inbound }
2.3.3 创建安全域间实例
sys
zone-pair security source { 安全域1 | any } destination { 安全域2 | any }
2.3.4 安全域内接口间报文处理的默认动作

对于同一安全域内接口间的报文,若设备上不存在当前域到当前域的域间策略,则设备默认会将其丢弃。

	sys
	security-zone intra-zone default permit // 同一安全域内接口间报文默认为允许。

Trust域到Trust域之间访问受限

3 域间策略

3.1 域间策略

  1. 包过滤:
    根据报文的五元组(源IP地址、源端口号、目的IP地址、目的端口号、传输层协议)实现对报文在不同安全域之间的转发进行控制
  2. ASPF:(Advanced Stateful Packet Filter,高级状态包过滤)
    可以对已放行报文进行信息记录,使已放行报文的回应报文在应用了包过滤策略安全域之间可以正常通过
  3. 安全策略:
    安全策略基于全局配置和全局生效,不需要被引用。
    安全策略不仅可以彻底替代包过滤,还可以基于用户和应用对报文进行转发控制,并可以对符合过滤条件的报文进行DPI(Deep Packet Inspection,深度报文检测)检测

3.2 策略优先级

当安全策略与包过滤策略同时配置时,对报文的处理安全策略在包过滤之前。
报文与安全策略规则匹配成功后,不再进行包过滤处理。

H3C防火墙-策略
MAsunshine的博客
10-19 7290
一. 策略概述 如图1-1所示,策略是一种基于安全域实现对报文流的检查,并根 据检查结果对报文实行相应动作的策略。一个安全域中,可以包 含多个成员。例如,可以将公司安全防护设备上连接到内网的接口作 为成员加入安全域 Trust,连接 Internet 的接口作为成员加入安全域 Untrust,这样管理员只需要部署这两个安全域策略即可。 如果后续网络环境发生了变化,则只需要调整相关安全域内的接口, 而策略不需要修改。 二. 策略分类 策略包括:包过滤、AS
H3C-V7防火墙配置SSL VPN IP资源典型案例(华三)
m0_68265458的博客
04-12 4179
H3C-V7防火墙配置SSL VPN IP资源典型案例(华三)
H3C NGFW防火墙——从策略安全策略
01-08
H3C NGFW防火墙——从策略安全策略,非常好的华三防火墙安全配置视频,网上很少有
网络安全域及划分方法
2401_88326437的博客
03-12 672
给小伙伴们的意见是想清楚,自学网络安全没有捷径,相比而言系统的网络安全是最节省成本的方式,因为能够帮你节省大量的时和精力成本。坚持住,既然已经走到这条路上,虽然前途看似困难重重,只要咬牙坚持,最终会收到你想要的效果。黑客工具&SRC技术文档&PDF书籍&web安全等(可分享)网络安全产业就像一个江湖,各色人等聚集。
H3C 防火墙策略介绍
qq_55707182的博客
06-29 6166
注意点:H3C防火墙有安全策略策略安全策略的优先级大于策略,会优先匹配安全策略,匹配不到才会匹配策略策略:any to any的策略优先级低于具体的区到具体的区策略安全策略匹配顺序:从上到下,和安全策略的ID号没有任何关联Local :默认防火墙所有接口都属于Local安全在初始化的时候,安全策略是空的,因为里面没有内容(没有隐含的拒绝所有的策略)生效的是策略,这个策略是拒绝所有的,所以刚开始是所有流量都不通的建议:使用一种策略来进行管理设备(安全策略)1、将
学习笔记-策略(6000v)
m0_65379264的博客
04-02 276
配置要求: 将g0/0/0接口加入trust区 将g0/0/1接口加入untrust区 配置策略允许两台pc的ip地址互通 初始账号:admin 初始密码:Admin@123 FW1: 初配: sys int g0/0/0 ip add 172.16.0.10 24 int g0/0/1 ip add 8.8.8.124 策略 firewall zone trust add int g0/0/0 //将g0/0/0接口加入安全 firewall zone
H3C 防火墙策略
耕耘
10-08 2075
H3C 防火墙策略,包括安全策略策略以及配置步骤介绍。
2022-06-23 VGMP-OSPF-安全策略-NAT策略
夕阳的街道的博客
07-02 862
VGMP-OSPF-安全策略-NAT策略
H3C防火墙系统升级步骤
weixin_33729196的博客
10-13 6489
http://www.h3c.com.cn/Service/Software_Download/IP_Security/Firewall___×××/Comware_V7/H3C_SecPath_F1020/ 下载3CDaemon的FTP的软件、第一步、打开3cdaemon的FTP的软件,点击——>“设置TFTP服务器”第二步、点击——>TFTP设置——>选...
HCL怎么配置防火墙
最新发布
04-16
为了实现 Web 方式的配置,HCL 中的 Comware V7 平台取消了区优先级的概念,默认情况下所有接口不归属于任何安全域,并且不同区的访问被禁用。因此,在启用 HTTP 或 HTTPS 登录之前,需要先完成必要的命令行...
华为HCIE安全实验 | 转发策略设置
COCO_gsta的博客
06-28 584
学习视频来源:华为安全认证HCIE 个人在学习的同时,也验证了视频中的实验部分,现将授课笔记和实验笔记整理下来。 网络拓扑 关键配置及验证 OKLABFW删除原有trust区的接口,并将其放入untrust和dmz区中 firewall zone trust undo add interface GigabitEthernet 0/0/1.2 undo add interface GigabitEthernet 0/0/1.4 firewall zone untrust add
华为数通-防火墙IP、区策略配置
彪哥.TOP的博客
04-04 1148
DMZ(Demilitarized非军事区):该区网络的受信任程度中等,通常用来定义内部服务所在的网络。Untrust:该区代表的是不受信任的网络,通常用来定义Internet 等不安全网络。只要我们写一条拒绝untrust的IP:20.20.20.0/24到dmz区的流量即可。规划如图:红色区是Untrust、绿色区是Trust、黄色区是DMZ。Trust:该区网络的受信任程度高,通常用来定义内部用户所在的网络。默认是安全等级高的区可以访问等级低的区。外网:即untrust区
防火墙安全
sjsjshhs134654的博客
11-14 1505
Trust(内网,性能区) Untrust(外网,非性能化区) DMZ (服务器区) Local(本机区)任何区互访都需要配置安全设备。
H3C防火墙基础配置1-登录配置、安全域配置
热门推荐
阿元的笔记
11-06 1万+
1 登录配置 添加管理类本地用户 local-user test class manage password simple string service-type {ftp|http|https|ssh|telnet|terminal} 添加网络接入类本地用户 local-user test2 class network password simple ...
H3C新华三防火墙全放行策略配置(先行网络配置)】
weixin_45498884的博客
07-28 2423
【代码】【H3C新华三防火墙全放行策略配置(先行网络配置)】
management安全域_安全技术|BloodHound 使用指南
weixin_39613744的博客
11-23 525
点击上方蓝字关注我们BloodHound是一种单页的JavaScript的Web应用程序,能显示Active Directory环境中隐藏的和相关联的主机内容。攻击者常使用BloodHound识别高度复杂的攻击路径,防御者亦可借助其识别和防御相同的攻击路径。本文由锦行科技的安全研究团队提供(作者:randall),旨在帮助大家深入了解BloodHound工具的使用。一、环境配置01Neo...
01-防火墙安全域介绍
cainiaoxiaojian的博客
09-09 662
防火墙的安全域(Security Zone)是一种逻辑概念,用于管理具有相同安全需求的多个接口。通过将安全需求相似的接口分类并划分到不同的安全域,可以实现安全策略的统一管理。这种基于安全域策略配置方式简化了网络管理员的配置和维护工作,因为只需为每个安全域配置策略,而不是每个单独的接口。安全域的配置可以提高网络安全性和韧性。例如,如果网络被入侵,攻击者只能访问同一个安全内的资源,这限制了潜在的损害。例如,可以将需要交互的不同安全等级的系统部署在不同的安全,并在它们之开放严格的安全策略
什么是企业防火墙,什么是策略
qq_41512902的博客
07-19 947
什么是企业防火墙,什么是策略
H3C防火墙安全域知识、远程登陆及web页面
qq_44208982的博客
06-03 1万+
安全域相关介绍 安全域(Security Zone),用于管理防火墙设备上安全需求的一些接口。 管理员将安全需求相同的接口进行分类,并划分到不同安全域,从而实现安全策略的统一管理。 防火墙出厂的确省安全域 H3C防火墙出厂存在的确省安全域:Local 、DMZ、Trust、Untrust、Management。 缺省安全域不可删除,且中没有端口。 [H3C]security-zone name ? STRING<1-31> Security zone name Loc
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值