扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
缺省策略的判断依据是:
1、 当进入接口安全级别低于或等于离开接口的安全级别时,策略为deny;
2、 当进入接口安全级别高于离开接口的安全级别时,策略为permit。
各接口安全级别缺省为0,即各接口安全级别相同,在这种情况下,禁止所有访问。通过调整接口的安全级别,可以改变缺省策略。
接口安全级别配置
安全级别在接口下进行配置,定义好内部接口,外部接口并配置好安全级别后,防火墙的功能已经开始起作用了。
SmartHammer# configure terminal
SmartHammer(config)# interface ge0
SmartHammer(config-if)# ip security-level 90
SmartHammer(config-if)# exit
SmartHammer(config)# interface ge1
SmartHammer(config-if)# ip security-level 10
SmartHammer(config-if)# end
安全策略-过滤规则的配置:
为了丰富防火墙对业务的控制能力,SmartHammer防火墙采用access-list 作为安全策略的过滤规则,来对匹配的数据报文做不同的处理,access-list 只是简单的作为规则链,具有如下特点:
access-list 不同于传统的ACL概念,
access-list 没有缺省策略
access-list 也与接口安全级别没有关系
access-list 的启用基于接口,对于设备本身,可当作一个接口来考虑
access-list 在没有加载到接口前,过滤规则不起作用
可通过ip access-group in命令在进入接口上启用ACL规则链进行第一次访问控制,数据包经过路由后,对于发往其它接口的数据包,可通过ip access-group out命令在离开接口上启用ACL规则链进行第二次访问控制。
对于发往设备的数据包,可通过local ip access-group in启用ACL规则链进行第二次访问控制。对于设备发出的数据包,防火墙不做控制
配置例子:
access-list inside permit tcp 192.168.0.0/16 any 0.0.0.0/0 80
inside :访问策略的名称
permit:动作,允许或拒绝(permit\deny)
tcp:协议名称或协议号,如TCP、UDP、ICMP
192.168.0.0/16 :数据包源IP地址,可以是主机地址或网段地址,不加子网掩码为主机地址
any:数据包源端口号,只对TCP、UDP数据有效,any为所有的端口
0.0.0.0/0:数据包目的IP地址,可以是主机地址或网段地址
80:数据包目的端口号,只对TCP、UDP数据有效
支持基于时间的ACL,由于用的不多在此不做赘述,看参阅HSOS配置手册
基于角色的安全策略:
SmartHammer(config)# access-list admin permit ip admin-ip any any 80
admin-ip:地址组名称,下面为其定义的地址组
SmartHammer(config)# ip-group admin-ip
SmartHammer(config-ip-group)# address 192.168.0.10
SmartHammer(config-ip-group)# address 10.1.1.10
SmartHammer(config)# access-list user deny tcp 192.168.0.0/16 any serverip highport
serverip:地址组名称,下面为其定义的地址组
SmartHammer(config)# ip-group serverip
SmartHammer(config-ip-group)# address 10.1.0.4
SmartHammer(config-ip-group)# address 10.1.0.5
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。