H3C防火墻配置說(shuō)明

1、-. z.H3C防火墻配置說(shuō)明*華三通信技術(shù)*所有侵權(quán)必究All rights reserved相關(guān)配置方法：平安要求-設(shè)備-路由器-功能-14 設(shè)備應(yīng)支持路由協(xié)議OSPF/ISIS/BGP等認(rèn)證,認(rèn)證字以不可逆密文方式存放。待確認(rèn)支持配置OSPF驗(yàn)證從平安性角度來(lái)考慮，為了防止路由信息外泄或者對(duì)OSPF路由器進(jìn)展惡意攻擊，OSPF提供報(bào)文驗(yàn)證功能。OSPF路由器建立鄰居關(guān)系時(shí)，在發(fā)送的報(bào)文中會(huì)攜帶配置好的口令，接收?qǐng)?bào)文時(shí)進(jìn)展密碼驗(yàn)證，只有通過(guò)驗(yàn)證的報(bào)文才能接收，否則將不會(huì)接收?qǐng)?bào)文，不能正常建立鄰居。要配置OSPF報(bào)文驗(yàn)證，同一個(gè)區(qū)域的所有路由器上都需要配置區(qū)域驗(yàn)證模式，且配置的驗(yàn)證模式必須一

2、樣，同一個(gè)網(wǎng)段內(nèi)的路由器需要配置一樣的接口驗(yàn)證模式和口令。表1-29 配置OSPF驗(yàn)證操作命令說(shuō)明進(jìn)入系統(tǒng)視圖system-view-進(jìn)入OSPF視圖ospf process-id | router-idrouter-id | vpn-instancevpn-instance-name *-進(jìn)入OSPF區(qū)域視圖areaarea-id-配置OSPF區(qū)域的驗(yàn)證模式authentication-mode md5 | simple 必選缺省情況下，沒(méi)有配置區(qū)域驗(yàn)證模式退回OSPF視圖quit-退回系統(tǒng)視圖quit-進(jìn)入接口視圖interfaceinterface-type interface-numb

3、er-配置OSPF接口的驗(yàn)證模式簡(jiǎn)單驗(yàn)證ospf authentication-mode simple cipher | plain password二者必選其一缺省情況下，接口不對(duì)OSPF報(bào)文進(jìn)展驗(yàn)證配置OSPF接口的驗(yàn)證模式MD5驗(yàn)證ospf authentication-mode hmac-md5 | md5 key-id cipher | plain password提高IS-IS網(wǎng)絡(luò)的平安性在平安性要求較高的網(wǎng)絡(luò)中，可以通過(guò)配置IS-IS驗(yàn)證來(lái)提高IS-IS網(wǎng)絡(luò)的平安性。IS-IS驗(yàn)證特性分為鄰居關(guān)系的驗(yàn)證和區(qū)域或路由域的驗(yàn)證。配置準(zhǔn)備在配置IS-IS驗(yàn)證功能之前，需完成以下任務(wù)：配

4、置接口的網(wǎng)絡(luò)層地址，使相鄰節(jié)點(diǎn)網(wǎng)絡(luò)層可達(dá)使能IS-IS功能配置鄰居關(guān)系驗(yàn)證配置鄰居關(guān)系驗(yàn)證后，驗(yàn)證密碼將會(huì)按照設(shè)定的方式封裝到Hello報(bào)文中，并對(duì)接收到的Hello報(bào)文進(jìn)展驗(yàn)證密碼的檢查，通過(guò)檢查才會(huì)形成鄰居關(guān)系，否則將不會(huì)形成鄰居關(guān)系，用以確認(rèn)鄰居的正確性和有效性，防止與無(wú)法信任的路由器形成鄰居。兩臺(tái)路由器要形成鄰居關(guān)系必須配置一樣的驗(yàn)證方式和驗(yàn)證密碼。表1-37 配置鄰居關(guān)系驗(yàn)證操作命令說(shuō)明進(jìn)入系統(tǒng)視圖system-view-進(jìn)入接口視圖interfaceinterface-type interface-number-配置鄰居關(guān)系驗(yàn)證方式和驗(yàn)證密碼isis authentication-

5、mode md5 | simple cipher password level-1 | level-2 ip | osi 必選缺省情況下，接口沒(méi)有配置鄰居關(guān)系驗(yàn)證，既不會(huì)驗(yàn)證收到的Hello報(bào)文，也不會(huì)把驗(yàn)證密碼插入到Hello報(bào)文中參數(shù)level-1和level-2的支持情況和產(chǎn)品相關(guān)，具體請(qǐng)以設(shè)備的實(shí)際情況為準(zhǔn)必須先使用isis enable命令使能該接口才能進(jìn)展參數(shù)level-1和level-2的配置。如果沒(méi)有指定level-1或level-2參數(shù)，將同時(shí)為level-1和level-2的Hello報(bào)文配置驗(yàn)證方式及驗(yàn)證密碼。如果沒(méi)有指定ip或osi參數(shù)，將檢查Hello報(bào)文中OSI的相

6、應(yīng)字段的配置內(nèi)容。配置區(qū)域驗(yàn)證通過(guò)配置區(qū)域驗(yàn)證，可以防止將從不可信任的路由器學(xué)習(xí)到的路由信息參加到本地Level-1的LSDB中。配置區(qū)域驗(yàn)證后，驗(yàn)證密碼將會(huì)按照設(shè)定的方式封裝到Level-1報(bào)文LSP、CSNP、PSNP中，并對(duì)收到的Level-1報(bào)文進(jìn)展驗(yàn)證密碼的檢查。同一區(qū)域內(nèi)的路由器必須配置一樣的驗(yàn)證方式和驗(yàn)證密碼。表1-38 配置區(qū)域驗(yàn)證操作命令說(shuō)明進(jìn)入系統(tǒng)視圖system-view-進(jìn)入IS-IS視圖isis process-id vpn-instance vpn-instance-name -配置區(qū)域驗(yàn)證方式和驗(yàn)證密碼area-authentication-mode md5 |

7、simple cipher password ip | osi 必選缺省情況下，系統(tǒng)沒(méi)有配置區(qū)域驗(yàn)證，既不會(huì)驗(yàn)證收到的Level-1報(bào)文，也不會(huì)把驗(yàn)證密碼插入到Level-1報(bào)文中配置路由域驗(yàn)證通過(guò)配置路由域驗(yàn)證，可以防止將不可信的路由信息注入當(dāng)前路由域。配置路由域驗(yàn)證后，驗(yàn)證密碼將會(huì)按照設(shè)定的方式封裝到Level-2報(bào)文LSP、CSNP、PSNP中，并對(duì)收到的Level-2報(bào)文進(jìn)展驗(yàn)證密碼的檢查。所有骨干層Level-2路由器必須配置一樣的驗(yàn)證方式和驗(yàn)證密碼。表1-39 配置路由域驗(yàn)證操作命令說(shuō)明進(jìn)入系統(tǒng)視圖system-view-進(jìn)入IS-IS視圖isis process-id vpn-i

8、nstance vpn-instance-name -配置路由域驗(yàn)證方式和驗(yàn)證密碼domain-authentication-mode md5 | simple cipher password ip | osi 必選缺省情況下，系統(tǒng)沒(méi)有配置路由域驗(yàn)證，既不會(huì)驗(yàn)證收到的Level-2報(bào)文，也不會(huì)把驗(yàn)證密碼插入到Level-2報(bào)文中配置BGP的MD5認(rèn)證通過(guò)在BGP對(duì)等體上配置BGP的MD5認(rèn)證，可以在以下兩方面提高BGP的平安性：為BGP建立TCP連接時(shí)進(jìn)展MD5認(rèn)證，只有兩臺(tái)路由器配置的密碼一樣時(shí)，才能建立TCP連接，從而防止與非法的BGP路由器建立TCP連接。傳遞BGP報(bào)文時(shí)，對(duì)封裝BGP報(bào)

9、文的TCP報(bào)文段進(jìn)展MD5運(yùn)算，從而保證BGP報(bào)文不會(huì)被篡改。表1-41 配置BGP的MD5認(rèn)證操作命令說(shuō)明進(jìn)入系統(tǒng)視圖system-view-進(jìn)入BGP視圖或BGP-VPN實(shí)例視圖進(jìn)入BGP視圖bgp as-number二者必選其一進(jìn)入BGP-VPN實(shí)例視圖bgp as-numberipv4-familyvpn-instancevpn-instance-name配置BGP的MD5認(rèn)證peer group-name | ip-address password cipher | simple password必選缺省情況下，BGP不進(jìn)展MD5認(rèn)證平安要求-設(shè)備-防火墻-功能-2防火墻應(yīng)具備記錄V

10、PN日志功能，記錄VPN訪問(wèn)登陸、退出等信息。待確認(rèn)暫不支持平安要求-設(shè)備-防火墻-功能-5防火墻應(yīng)具備日志容量告警功能，在日志數(shù)到達(dá)指定閾值時(shí)產(chǎn)生告警。待確認(rèn)暫不支持平安要求-設(shè)備-防火墻-功能-3防火墻應(yīng)具備流量日志記錄功能，記錄通過(guò)防火墻的網(wǎng)絡(luò)連接。待確認(rèn)支持Userlog日志設(shè)置Flow日志要生成Userlog日志，需要配置會(huì)話日志功能，詳細(xì)配置請(qǐng)參見(jiàn)HYPERLINK press/data/infoblade/ware%20V5平臺(tái)中文/1.1.98%20WEB分冊(cè)平安/5%20日志管理/平臺(tái)Web配置手冊(cè)%20日志管理.htm l _Ref2770770431.6 HYPERLIN

11、K press/data/infoblade/ware%20V5平臺(tái)中文/1.1.98%20WEB分冊(cè)平安/5%20日志管理/平臺(tái)Web配置手冊(cè)%20日志管理.htm l _Ref277077045會(huì)話日志。Userlog日志簡(jiǎn)介Userlog日志是指用戶訪問(wèn)外部網(wǎng)絡(luò)流信息的相關(guān)記錄。設(shè)備根據(jù)報(bào)文的5元組源IP地址、目的IP地址、源端口、目的端口、協(xié)議號(hào)對(duì)用戶訪問(wèn)外部網(wǎng)絡(luò)的流進(jìn)展分類統(tǒng)計(jì)，并生成Userlog日志。Userlog日志會(huì)記錄報(bào)文的5元組和發(fā)送、接收的字節(jié)數(shù)等信息。網(wǎng)絡(luò)管理員利用這些信息可以實(shí)時(shí)跟蹤、記錄用戶訪問(wèn)網(wǎng)絡(luò)的情況，增強(qiáng)網(wǎng)絡(luò)的可用性和平安性。Userlog日志有以下兩種輸出

12、方式，用戶可以根據(jù)需要使用其中一種：以系統(tǒng)信息的格式輸出到本設(shè)備的信息中心，再由信息中心最終決定日志的輸出方向。以二進(jìn)制格式封裝成UDP報(bào)文輸出到指定的Userlog日志主機(jī)。Userlog日志有1.0和3.0兩個(gè)版本。兩種Userlog日志的格式稍有不同，具體差異請(qǐng)參見(jiàn)HYPERLINK press/data/infoblade/ware%20V5平臺(tái)中文/1.1.98%20WEB分冊(cè)平安/5%20日志管理/平臺(tái)Web配置手冊(cè)%20日志管理.htm l _Ref193187689表1-2和HYPERLINK press/data/infoblade/ware%20V5平臺(tái)中文/1.1.98%

13、20WEB分冊(cè)平安/5%20日志管理/平臺(tái)Web配置手冊(cè)%20日志管理.htm l _Ref193187696表1-3。表1-2 1.0版本Userlog日志信息字段描述SourceIP源IP地址DestIP目的IP地址SrcPortTCP/UDP源端口號(hào)DestPortTCP/UDP目的端口號(hào)StartTime流起始時(shí)間，以秒為單位，從1970/1/1 0:0開(kāi)場(chǎng)計(jì)算EndTime流完畢時(shí)間，以秒為單位，從1970/1/1 0:0開(kāi)場(chǎng)計(jì)算ProtIP承載的協(xié)議類型Operator操作字，主要指流完畢原因Reserved保存表1-3 3.0版本Userlog日志信息字段描述ProtIP承載的協(xié)

14、議類型Operator操作字，主要指流完畢原因IpVersionIP報(bào)文版本TosIPv4IPv4報(bào)文的Tos字段SourceIP源IP地址SratIPNAT轉(zhuǎn)換后的源IP地址DestIP目的IP地址DestNatIPNAT轉(zhuǎn)換后的目的IP地址SrcPortTCP/UDP源端口號(hào)SratPortNAT轉(zhuǎn)換后的TCP/UDP源端口號(hào)DestPortTCP/UDP目的端口號(hào)DestNatPortNAT轉(zhuǎn)換后的TCP/UDP目的端口號(hào)StartTime流起始時(shí)間，以秒為單位，從1970/01/01 00:00開(kāi)場(chǎng)計(jì)算EndTime流完畢時(shí)間，以秒為單位，從1970/01/01 00:00開(kāi)場(chǎng)計(jì)算In

15、TotalPkg接收的報(bào)文包數(shù)InTotalByte接收的報(bào)文字節(jié)數(shù)OutTotalPkg發(fā)出的報(bào)文包數(shù)OutTotalByte發(fā)出的報(bào)文字節(jié)數(shù)Reserved1對(duì)于0*02版本FirewallV200R001保存對(duì)于0*03版本FirewallV200R005第一個(gè)字節(jié)為源VPN ID，第二個(gè)字節(jié)為目的VPN ID，第三、四個(gè)字節(jié)保存Reserved2保存Reserved3保存配置Userlog日志(1)在導(dǎo)航欄中選擇日志管理 Userlog日志，進(jìn)入如下列圖所示的頁(yè)面。圖1-2 Userlog日志(2)配置Userlog日志參數(shù)，的詳細(xì)配置如下表所示。(3)單擊按鈕完成操作。表1-4 Us

16、erlog日志的詳細(xì)配置配置項(xiàng)說(shuō)明版本設(shè)置Userlog日志的版本。包括1.0、3.0請(qǐng)根據(jù)日志接收設(shè)備的實(shí)際能力配置Userlog日志的版本，如果接收設(shè)備不支持*個(gè)版本的Userlog日志，則無(wú)法正確解析收到的日志報(bào)文源IP地址設(shè)置Userlog日志報(bào)文的源IP地址指定源地址后，當(dāng)設(shè)備A向設(shè)備B發(fā)送Userlog日志時(shí)，就使用這個(gè)IP地址作為報(bào)文的源IP地址，而不使用報(bào)文出接口的真正地址。這樣，即便A使用不同的端口向B發(fā)送報(bào)文，B也可以根據(jù)源IP地址來(lái)準(zhǔn)確的判斷該報(bào)文是否由A產(chǎn)生。而且該功能還簡(jiǎn)化了ACL規(guī)則和平安策略的配置，只要將ACL規(guī)則中定義的源地址或者目的地址參數(shù)指定為該源地址，就可

17、以屏蔽接口IP地址的差異以及接口狀態(tài)的影響，實(shí)現(xiàn)對(duì)Userlog日志報(bào)文的過(guò)濾建議使用Loopback接口地址作為日志報(bào)文的源IP地址日志主機(jī)配置日志主機(jī)1設(shè)置Userlog日志主機(jī)的IPv4/IPv6地址、端口號(hào)和所在的VPN實(shí)例只在指定IPv4地址的日志主機(jī)時(shí)可以顯示和設(shè)置此項(xiàng)，以便將Userlog日志封裝成UDP報(bào)文發(fā)送給指定的Userlog日志主機(jī)。日志主機(jī)可以對(duì)Userlog日志進(jìn)展解析和分類顯示，以到達(dá)遠(yuǎn)程監(jiān)控的目的集中式設(shè)備：最多可以指定2臺(tái)不同的Userlog日志主機(jī)分布式設(shè)備：每個(gè)單板上最多可以指定2臺(tái)不同的Userlog日志主機(jī)日志主機(jī)IPv6地址的支持情況與設(shè)備的具體型號(hào)

18、有關(guān)，請(qǐng)以設(shè)備的實(shí)際情況為準(zhǔn)為防止與通用的UDP端口號(hào)沖突，建議使用102565535的UDP端口號(hào)日志主機(jī)2日志輸出到信息中心設(shè)置將Userlog日志以系統(tǒng)信息的格式輸出到信息中心啟用此功能時(shí)，Userlog日志將不會(huì)發(fā)往指定的Userlog日志主機(jī)日志輸出到信息中心會(huì)占用設(shè)備的存儲(chǔ)空間，因此，建議在日志量較小的情況下使用該輸出方向查看Userlog日志統(tǒng)計(jì)信息當(dāng)設(shè)置了將Userlog日志封裝成UDP報(bào)文發(fā)送給指定的Userlog日志主機(jī)時(shí)，可以查看相關(guān)的統(tǒng)計(jì)信息，包括設(shè)備向指定日志主機(jī)發(fā)送的Userlog日志總數(shù)和包含Userlog日志的UDP報(bào)文總數(shù)，以及設(shè)備緩存中的Userlog日志總

19、數(shù)。(1)在導(dǎo)航欄中選擇日志管理 Userlog日志，進(jìn)入如HYPERLINK press/data/infoblade/ware%20V5平臺(tái)中文/1.1.98%20WEB分冊(cè)平安/5%20日志管理/平臺(tái)Web配置手冊(cè)%20日志管理.htm l _Ref227053462圖1-2所示的頁(yè)面。(2)單擊頁(yè)面下方的查看統(tǒng)計(jì)信息擴(kuò)展按鈕，展開(kāi)如下列圖所示的內(nèi)容，可以查看Userlog日志的統(tǒng)計(jì)信息。圖1-3 查看Userlog日志統(tǒng)計(jì)信息清空Userlog日志及統(tǒng)計(jì)信息(1)在導(dǎo)航欄中選擇日志管理 Userlog日志，進(jìn)入如HYPERLINK press/data/infoblade/ware%2

20、0V5平臺(tái)中文/1.1.98%20WEB分冊(cè)平安/5%20日志管理/平臺(tái)Web配置手冊(cè)%20日志管理.htm l _Ref227053462圖1-2所示的頁(yè)面。(2)單擊頁(yè)面下方的查看統(tǒng)計(jì)信息擴(kuò)展按鈕，展開(kāi)如HYPERLINK press/data/infoblade/ware%20V5平臺(tái)中文/1.1.98%20WEB分冊(cè)平安/5%20日志管理/平臺(tái)Web配置手冊(cè)%20日志管理.htm l _Ref227057678圖1-3所示的內(nèi)容。(3)集中式設(shè)備：?jiǎn)螕舭粹o，可以去除設(shè)備上的所有Userlog日志統(tǒng)計(jì)信息和緩存中的Userlog日志。(4)分布式設(shè)備：?jiǎn)螕舭粹o，可以去除相應(yīng)單板上的所有U

21、serlog日志統(tǒng)計(jì)信息和緩存中的Userlog日志。平安要求-設(shè)備-防火墻-功能-11防火墻必須具備掃描攻擊檢測(cè)和告警功能。并阻斷后續(xù)掃描流量。掃描的檢測(cè)和告警的參數(shù)應(yīng)可由管理員根據(jù)實(shí)際網(wǎng)絡(luò)情況設(shè)置。待確認(rèn)支持配置掃描攻擊檢測(cè)掃描攻擊檢測(cè)主要用于檢測(cè)攻擊者的探測(cè)行為，一般配置在設(shè)備連接外部網(wǎng)絡(luò)的平安域上。掃描攻擊檢測(cè)自動(dòng)添加了黑項(xiàng)，如果在短時(shí)間內(nèi)手動(dòng)刪除了該黑項(xiàng)，則系統(tǒng)不會(huì)再次添加。因?yàn)橄到y(tǒng)會(huì)把再次檢測(cè)到的攻擊報(bào)文認(rèn)為是同一次攻擊尚未完畢。(1)在導(dǎo)航欄中選擇攻擊防* 流量異常檢測(cè) 掃描攻擊，進(jìn)入如下列圖所示頁(yè)面。圖1-10 掃描攻擊(2)為平安域配置掃描攻擊檢測(cè)，詳細(xì)配置如下表所示。(3)

22、單擊按鈕完成操作。表1-6 掃描攻擊檢測(cè)的詳細(xì)配置配置項(xiàng)說(shuō)明平安區(qū)域設(shè)置要進(jìn)展掃描攻擊檢測(cè)設(shè)置的平安域啟動(dòng)掃描攻擊檢測(cè)設(shè)置是否對(duì)選中的平安域啟動(dòng)掃描攻擊檢測(cè)功能掃描閾值設(shè)置掃描建立的連接速率的最大值源IP參加黑設(shè)置是否把系統(tǒng)發(fā)現(xiàn)的掃描源IP地址添加到黑中必須在攻擊防* 黑中啟用黑過(guò)濾功能，掃描攻擊檢測(cè)才會(huì)將發(fā)現(xiàn)的掃描源IP地址添加到黑中，并對(duì)來(lái)自該IP地址的報(bào)文做丟棄處理黑持續(xù)時(shí)間設(shè)置掃描源參加黑的持續(xù)時(shí)間平安要求-設(shè)備-防火墻-功能-12防火墻必須具備關(guān)鍵字內(nèi)容過(guò)濾功能，在 ，SMTP，POP3等應(yīng)用協(xié)議流量過(guò)濾包含有設(shè)定的關(guān)鍵字的報(bào)文。待確認(rèn)支持內(nèi)容過(guò)濾典型配置舉例1. 組網(wǎng)需求如下列圖所

23、示，局域網(wǎng)網(wǎng)段內(nèi)的主機(jī)通過(guò)Device訪問(wèn)Internet。Device分別通過(guò)Trust平安域和Untrust平安域與局域網(wǎng)和Internet相連。啟用正文過(guò)濾功能，阻止含有abc關(guān)鍵字的響應(yīng)報(bào)文通過(guò)。啟用 Java Applet阻斷功能，僅允許IP地址為的Java Applet請(qǐng)求通過(guò)。啟用SMTP附件名稱過(guò)濾功能，阻止用戶發(fā)送帶有.e*e附件的。啟用FTP上傳文件名過(guò)濾功能，阻止用戶上傳帶有system名稱的文件。啟用Telnet命令字過(guò)濾功能，阻止用戶鍵入含有reboot關(guān)鍵字的命令。圖1-29 內(nèi)容過(guò)濾配置組網(wǎng)圖2. 配置Device(1)配置設(shè)備各接口的IP地址和所屬平安域略(2)

24、配置過(guò)濾條目# 配置關(guān)鍵字過(guò)濾條目abc。步驟1：在導(dǎo)航欄中選擇應(yīng)用控制 內(nèi)容過(guò)濾 過(guò)濾條目，默認(rèn)進(jìn)入關(guān)鍵字頁(yè)簽的頁(yè)面。步驟2：?jiǎn)螕舭粹o。步驟3：如下列圖所示，輸入名稱為abc，輸入關(guān)鍵字為abc。步驟4：?jiǎn)螕舭粹o完成操作。圖1-30 配置關(guān)鍵字過(guò)濾條目abc# 配置關(guān)鍵字過(guò)濾條目reboot。步驟1：在關(guān)鍵字頁(yè)簽的頁(yè)面單擊按鈕。步驟2：如下列圖所示，輸入名稱為reboot，輸入關(guān)鍵字為reboot。步驟3：?jiǎn)螕舭粹o完成操作。圖1-31 配置關(guān)鍵字過(guò)濾條目reboot# 配置文件名過(guò)濾條目*.e*e。步驟1：?jiǎn)螕粑募?yè)簽。步驟2：?jiǎn)螕舭粹o。步驟3：如下列圖所示，輸入名稱為e*e，輸入文件名為

25、*.e*e。步驟4：?jiǎn)螕舭粹o完成操作。圖1-32 配置文件名過(guò)濾條目*.e*e# 配置文件名過(guò)濾條目system。步驟1：在文件名頁(yè)簽的頁(yè)面單擊按鈕。步驟2：如下列圖所示，輸入名稱為system，輸入文件名為system。步驟3：?jiǎn)螕舭粹o完成操作。圖1-33 配置文件名過(guò)濾條目system(3)配置內(nèi)容過(guò)濾策略# 配置不帶Java Applet阻斷的過(guò)濾策略。步驟1：在導(dǎo)航欄中選擇應(yīng)用控制 內(nèi)容過(guò)濾 過(guò)濾策略，默認(rèn)進(jìn)入策略頁(yè)簽的頁(yè)面。步驟2：?jiǎn)螕舭粹o。步驟3：進(jìn)展如下配置，如下列圖所示。輸入名稱為 _policy1。單擊正文過(guò)濾前的擴(kuò)展按鈕。在正文過(guò)濾的可選過(guò)濾條目列表框中選中abc關(guān)鍵字過(guò)濾

26、條目，單擊按鈕將其添加到已選過(guò)濾條目列表框中。步驟4：?jiǎn)螕舭粹o完成操作。圖1-34 配置不帶Java Applet阻斷的過(guò)濾策略# 配置帶Java Applet阻斷的過(guò)濾策略。步驟1：在策略頁(yè)簽的頁(yè)面單擊按鈕。步驟2：進(jìn)展如下配置，如下列圖所示。輸入名稱為 _policy2。單擊正文過(guò)濾前的擴(kuò)展按鈕。在正文過(guò)濾的可選過(guò)濾條目列表框中選中abc關(guān)鍵字過(guò)濾條目，單擊按鈕將其添加到已選過(guò)濾條目列表框中。選中Java Applet阻斷前的復(fù)選框。步驟3：?jiǎn)螕舭粹o完成操作。圖1-35 配置帶Java Applet阻斷的過(guò)濾策略# 配置SMTP過(guò)濾策略。步驟1：?jiǎn)螕鬝MTP策略頁(yè)簽。步驟2：?jiǎn)螕舭粹o。步驟

27、3：進(jìn)展如下配置，如下列圖所示。輸入名稱為smtp_policy。單擊附件過(guò)濾前的擴(kuò)展按鈕。在附件名稱過(guò)濾的可選過(guò)濾條目列表框中選中e*e文件名過(guò)濾條目，單擊按鈕將其添加到已選過(guò)濾條目列表框中。步驟3：?jiǎn)螕舭粹o完成操作。圖1-36 配置SMTP過(guò)濾策略# 配置FTP過(guò)濾策略。步驟1：?jiǎn)螕鬎TP策略頁(yè)簽。步驟2：?jiǎn)螕舭粹o。步驟3：進(jìn)展如下配置，如下列圖所示。輸入名稱為ftp_policy。單擊上傳文件名過(guò)濾前的擴(kuò)展按鈕。在上傳文件名過(guò)濾的可選過(guò)濾條目列表框中選中system文件名過(guò)濾條目，單擊按鈕將其添加到已選過(guò)濾條目列表框中。步驟4：?jiǎn)螕舭粹o完成操作。圖1-37 配置FTP過(guò)濾策略# 配置Te

28、lnet過(guò)濾策略。步驟1：?jiǎn)螕鬞elnet策略頁(yè)簽。步驟2：?jiǎn)螕舭粹o。步驟3：進(jìn)展如下配置，如下列圖所示。輸入名稱為telnet_policy。單擊命令字過(guò)濾前的擴(kuò)展按鈕。在命令字過(guò)濾的可選過(guò)濾條目列表框中選中reboot關(guān)鍵字過(guò)濾條目，單擊按鈕將其添加到已選過(guò)濾條目列表框中。步驟4：?jiǎn)螕舭粹o完成操作。圖1-38 配置Telnet過(guò)濾策略(4)配置內(nèi)容過(guò)濾策略模板# 配置不帶Java Applet阻斷的內(nèi)容過(guò)濾策略模板。步驟1：在導(dǎo)航欄中選擇應(yīng)用控制 內(nèi)容過(guò)濾 策略模板。步驟2：?jiǎn)螕舭粹o。步驟3：進(jìn)展如下配置，如下列圖所示。輸入名稱為template1。選擇過(guò)濾策略為 _policy1。選擇S

29、MTP過(guò)濾策略為smtp_policy。選擇FTP過(guò)濾策略為ftp_policy。選擇Telnet過(guò)濾策略為telnet_policy步驟4：?jiǎn)螕舭粹o完成操作。圖1-39 配置不帶Java Applet阻斷的內(nèi)容過(guò)濾策略模板# 配置帶Java Applet阻斷的內(nèi)容過(guò)濾策略模板。步驟1：在策略模板頁(yè)面單擊按鈕。步驟2：進(jìn)展如下配置，如下列圖所示。輸入名稱為template2。選擇過(guò)濾策略為 _policy2。選擇SMTP過(guò)濾策略為smtp_policy。選擇FTP過(guò)濾策略為ftp_policy。選擇Telnet過(guò)濾策略為telnet_policy。步驟3：?jiǎn)螕舭粹o完成操作。圖1-40 配置帶J

30、ava Applet阻斷的內(nèi)容過(guò)濾策略模板(5)配置引用內(nèi)容過(guò)濾策略模板的域間策略# 配置Trust平安域到Untrust平安域的目的地址為的域間策略，并引用不帶Java Applet阻斷的內(nèi)容過(guò)濾策略模板。步驟1：在導(dǎo)航欄中選擇防火墻 平安策略 域間策略。步驟2：?jiǎn)螕舭粹o。步驟3：進(jìn)展如下配置，如下列圖所示。選擇源域?yàn)門(mén)rust。選擇目的域?yàn)閁ntrust。選擇源IP地址為any_address。選中目的IP地址中新建IP地址前的單項(xiàng)選擇按鈕，輸入目的IP地址為。選擇效勞名稱為any_service。選擇過(guò)濾動(dòng)作為Permit。選擇內(nèi)容過(guò)濾策略模板為template1。選中啟用規(guī)則前的復(fù)選框

31、。選中確定后續(xù)添加下一條規(guī)則前的復(fù)選框。步驟4：?jiǎn)螕舭粹o完成操作。圖1-41 配置引用不帶Java Applet阻斷的內(nèi)容過(guò)濾策略模板的域間策略# 配置Trust平安域到Untrust平安域的域間策略，并引用帶Java Applet阻斷的內(nèi)容過(guò)濾策略模板。步驟1：保持之前選擇的源域和目的域不變，繼續(xù)進(jìn)展如下配置，如下列圖所示。選擇源IP地址和目的IP地址均為any_address。選擇效勞名稱為any_service。選擇過(guò)濾動(dòng)作為Permit。選擇內(nèi)容過(guò)濾策略模板為template2。選中啟用規(guī)則前的復(fù)選框。步驟2：?jiǎn)螕舭粹o完成操作。圖1-42 配置引用帶Java Applet阻斷的內(nèi)容過(guò)濾

32、策略模板的域間策略3. 配置結(jié)果驗(yàn)證完成上述配置后，局域網(wǎng)內(nèi)用戶不能收到含有abc關(guān)鍵字的響應(yīng)；除對(duì)IP地址為的Web效勞器外，不能成功發(fā)送Java Applet請(qǐng)求；不能成功發(fā)送帶有.e*e附件的；不能通過(guò)FTP方式上傳名稱為abc的文件；不能執(zhí)行Telnet命令reboot。設(shè)備運(yùn)行一段時(shí)間后，在導(dǎo)航欄中選擇應(yīng)用控制 內(nèi)容過(guò)濾 統(tǒng)計(jì)信息，可以看到如下列圖所示的統(tǒng)計(jì)信息。圖1-43 內(nèi)容過(guò)濾統(tǒng)計(jì)信息4. 考前須知配置內(nèi)容過(guò)濾時(shí)需要注意如下事項(xiàng)：(1)配置URL主機(jī)名過(guò)濾條目時(shí)，需要注意通配符的使用規(guī)則：表示開(kāi)頭匹配。只能出現(xiàn)在關(guān)鍵字的開(kāi)頭，且只能出現(xiàn)一次。$表示結(jié)尾匹配。只能出現(xiàn)在關(guān)鍵字的結(jié)

33、尾，且只能出現(xiàn)一次。&代替一個(gè)字符，不能代替空格和.?？沙霈F(xiàn)任意多個(gè)，可連續(xù)出現(xiàn)，可位于關(guān)鍵字的任意位置，但不能與*一起使用。*代替任意多個(gè)字符，不能代替.。在關(guān)鍵字中只能出現(xiàn)一次，可以位于關(guān)鍵字的開(kāi)頭和中間，不能位于結(jié)尾，并且不能和、$相鄰。如果關(guān)鍵字的開(kāi)頭有或結(jié)尾有$，表示準(zhǔn)確匹配。例如，webfilter表示以webfilter開(kāi)頭的網(wǎng)址如webfilter.或類似于cmm.webfilter-any.的網(wǎng)址將被過(guò)濾掉。關(guān)鍵字webfilter$表示過(guò)濾包含獨(dú)立詞語(yǔ)webfilter的網(wǎng)址，比方.webfilter.，但是類似于.webfilter-china.的網(wǎng)址將不會(huì)被過(guò)濾。如果關(guān)

34、鍵字的開(kāi)頭和結(jié)尾都沒(méi)有通配符，表示模糊匹配。對(duì)于模糊匹配，只要網(wǎng)址中包含了該關(guān)鍵字就會(huì)被過(guò)濾。不支持純數(shù)字的關(guān)鍵字。如果需要過(guò)濾類似.123.的，使用123作為過(guò)濾地址是不合法的，但可以使用123$、.123.和123.等作為過(guò)濾地址。因此，對(duì)于以數(shù)字作為地址的，建議采用準(zhǔn)確匹配方式進(jìn)展過(guò)濾。(2)配置URL參數(shù)過(guò)濾關(guān)鍵字時(shí)，需要注意通配符的使用規(guī)則：表示開(kāi)頭匹配。只能出現(xiàn)在關(guān)鍵字的開(kāi)頭，且只能出現(xiàn)一次。$表示結(jié)尾匹配。只能出現(xiàn)在關(guān)鍵字的結(jié)尾，且只能出現(xiàn)一次。&代替一個(gè)字符?？沙霈F(xiàn)任意多個(gè)，可連續(xù)出現(xiàn)，可位于關(guān)鍵字的任意位置，但不能與*相鄰，如果出現(xiàn)在開(kāi)場(chǎng)和結(jié)尾的位置，則一定要和或$相鄰。*代

35、替長(zhǎng)度不超過(guò)4個(gè)字符的任意字符串，可代替空格。只能位于關(guān)鍵字的中間，且只能出現(xiàn)一次。如果關(guān)鍵字的開(kāi)頭有或結(jié)尾有$，表示準(zhǔn)確匹配。例如，關(guān)鍵字webfilter$表示網(wǎng)址中的URL參數(shù)包含獨(dú)立詞語(yǔ)webfilter的請(qǐng)求將被過(guò)濾掉，比方.abc./webfilter any，但是類似于.abc./webfilterany的網(wǎng)址將不會(huì)被過(guò)濾。如果關(guān)鍵字的開(kāi)頭和結(jié)尾都沒(méi)有通配符，表示模糊匹配。對(duì)于模糊匹配，只要網(wǎng)址中的URL參數(shù)包含了該關(guān)鍵字就會(huì)被過(guò)濾。平安要求-設(shè)備-防火墻-功能-13-可選防火墻必須具備病毒防護(hù)功能，對(duì)蠕蟲(chóng)等病毒傳播時(shí)的攻擊流量進(jìn)展過(guò)濾。待確認(rèn)高端防火墻不支持；中低端防火墻支持配

36、置防病毒策略(1)在導(dǎo)航欄中選擇深度平安防御 防病毒，默認(rèn)進(jìn)入防病毒策略頁(yè)簽的頁(yè)面，如HYPERLINK press/data/infoblade/ware%20V5平臺(tái)中文/1.1.98%20WEB分冊(cè)平安/0%20深度平安防御/平臺(tái)Web配置手冊(cè)%20深度平安防御.htm l _Ref269371747圖1-9所示。(2)單擊按鈕，進(jìn)入新建防病毒策略的配置頁(yè)面，如下列圖所示。圖1-10 新建防病毒策略(3)配置防病毒策略，詳細(xì)配置如下表所示。(4)單擊按鈕完成操作。表1-7 新建防病毒策略的詳細(xì)配置配置項(xiàng)說(shuō)明名稱設(shè)置防病毒策略的名稱動(dòng)作設(shè)置對(duì)檢測(cè)到的攻擊所采取的動(dòng)作，包括：記錄日志和阻斷攻擊類型顯示設(shè)備能夠檢測(cè)和防御的病毒類型應(yīng)用防病毒策略(1)在導(dǎo)航欄中選擇深度平安檢測(cè) 防病毒，單擊防病毒策略應(yīng)用頁(yè)簽，進(jìn)入如下列圖所示的頁(yè)面。圖1-11 防病毒策略應(yīng)用(2)單擊按鈕，進(jìn)入新建防病毒策略應(yīng)用的配置頁(yè)面，如下列圖所示。圖1-12 新建防病毒策略應(yīng)用(3)配置防病毒策略應(yīng)用，詳細(xì)配置如下表所示。(4)單擊按鈕完成操作。表1-8 新建防病毒策略應(yīng)用的詳細(xì)配置配置項(xiàng)說(shuō)明源域設(shè)置要應(yīng)用防病毒策略的源平安域同一對(duì)平安域只能配置一條防病毒策略應(yīng)用當(dāng)源域和目的域不同時(shí)，建議將內(nèi)部可信任的平安域設(shè)置為目的域，將外部不可信的平安域設(shè)置為源域目的域設(shè)置要應(yīng)用防病毒策略的目的域防病毒策略設(shè)