H3CSecPath+U200典型配置指導(dǎo)

文檔名稱 文檔密級SecPathU200典型配置指導(dǎo)介紹H3CSecPathU200-S是H3C公司面對中小型企業(yè)/分支機(jī)構(gòu)設(shè)計推出的一代UTM〔UnitedThreatManagement，統(tǒng)一威逼治理)保障在全部安全功能開啟時性能不降低；在防火墻、VPN功能根底上，集成了IPS、防病毒、URL過濾、協(xié)議內(nèi)容審計、帶寬治理以及反垃圾郵件等安全功能，產(chǎn)品具有極高的性價比。H3CSecPathU200-S能夠全面有效的保證用戶網(wǎng)絡(luò)的安全，同時還可以使用戶避開部署多臺安全設(shè)備所帶來的運(yùn)營本錢和維護(hù)簡單性問題。組網(wǎng)需求組網(wǎng)圖U200U200G0/2InternetPCG0/1三層模式接口與安全域配置G0/1 三層接口，Trust域，/24Eth0/0 Trust域，/24G0/2 三層接口，Untrust域，/24ACL配置2007-04-27 H3C機(jī)密，未經(jīng)許可不得集中 第1頁,共32頁文檔名稱 文檔密級時作NAT用于iware訪問內(nèi)網(wǎng)、Internet時作NAT用于深度安全策略natserver配置natoutbound配置二層模式接口與安全域配置G0/1 二層access口，PVID10，Trust域2007-04-27 H3C機(jī)密，未經(jīng)許可不得集中 第2頁,共32頁文檔名稱 文檔密級G0/2 二層access口，PVID為10，UntrustEth0/0 三層接口，Trust域，/24vlan-interface10 Trust域，/24ACL配置用于iware訪問內(nèi)網(wǎng)時作NAT用于深度安全策略NATServer配置NAToutbound配置2007-04-27 H3C機(jī)密，未經(jīng)許可不得集中 第3頁,共32頁文檔名稱 文檔密級U200典型配置舉例IPS/AV特征庫升級特征庫自動升級功能簡述驗證U200自動升級IPS/AV特征庫測試步驟防火墻Web治理界面，策略治理>置”，進(jìn)入i-wareWEB治理界面>>自動升級選擇自動升級庫類型，選中“啟用自動升級”，設(shè)置“開頭時間”、“間隔時間”和“升級包的位置”。升級包的位置支持、tftp兩種協(xié)議。點(diǎn)擊<確定>按鈕保存配置。指定的時間后觀察版本信息有結(jié)果A驗證結(jié)果A. 版本信息中當(dāng)前版本更時間顯示自動更在指定時間運(yùn)行了，且特征庫已更留意事項2007-04-27 H3C機(jī)密，未經(jīng)許可不得集中 第4頁,共32頁文檔名稱 文檔密級確保license文件存在且有效將開頭時間設(shè)定在網(wǎng)絡(luò)相對空閑的時間，如凌晨。故障排解提示license文件不存在，需要在iware隱含擴(kuò)展視圖，/mnt/system/config名目下執(zhí)行l(wèi)icense重生成license文件；或通過WebLicense文件治理>文件操作頁面導(dǎo)入license文件。提示license文件錯誤，觀察devicebom、devicename和devicecode值是否正確。特征庫手動升級功能簡述驗證U200手動升級IPS/AV特征庫測試步驟進(jìn)入i-wareWEB治理界面>>手動升級選擇“特征庫類型”、“協(xié)議〔tftp〕”，輸入“升級包的位置”，點(diǎn)擊<確定>。有結(jié)果A驗證結(jié)果A. 馬上開頭升級特征庫。完畢后觀察特征庫版本信息，已更留意事項故障排解2007-04-27 H3C機(jī)密，未經(jīng)許可不得集中 第5頁,共32頁文檔名稱 文檔密級IPS配置功能簡述驗證二層模式、三層模式下，U200對流量進(jìn)展IPS檢測測試步驟防火墻Web治理頁面，策略治理>深度安全策略點(diǎn)擊<建>，選擇“源域”〔Trust〕、“目的域”〔Untrust〕，指定“段ID”和“訪問掌握列表ID”〔3998〕。建立Trust->Untrust的深度安全策略建立Untrust->Trust深度安全策略注：配置檢測兩個方向發(fā)起的訪問流量的深度安全策略；段3默認(rèn)關(guān)聯(lián)了AV+IPS策略。內(nèi)網(wǎng)PC運(yùn)行漏洞掃描軟件〔如x-scan〕對Internet上某臺計算機(jī)進(jìn)展掃描，觀察攻擊日志，有結(jié)果A驗證結(jié)果A．攻擊日志顯示檢測到攻擊，并執(zhí)行了相應(yīng)的動作留意事項故障排解2007-04-27 H3C機(jī)密，未經(jīng)許可不得集中 第6頁,共32頁文檔名稱 文檔密級防病毒配置功能簡述驗證二層模式、三層模式下，U200對流量進(jìn)展病毒掃描檢測測試步驟防火墻Web治理頁面，策略治理>深度安全策略點(diǎn)擊<建>，選擇“源域”〔Trust〕、“目的域”〔Untrust〕，指定“段ID”和“訪問掌握列表ID”〔3998〕。建立Trust->Untrust的深度安全策略建立Untrust->Trust深度安全策略注：配置檢測兩個方向發(fā)起的訪問流量的深度安全策略；段3默認(rèn)關(guān)聯(lián)了AV+IPS策略。內(nèi)網(wǎng)PC從“:///“下載eicar測試病毒，有結(jié)果A驗證結(jié)果A. 下載失敗。觀察病毒日志，顯示病毒被檢測到并阻斷。留意事項故障排解2007-04-27 H3C機(jī)密，未經(jīng)許可不得集中 第7頁,共32頁文檔名稱 文檔密級URL過濾功能簡述驗證二層模式、三層模式下，U200對經(jīng)過設(shè)備的URL懇求進(jìn)展過濾，阻斷對不良/惡意網(wǎng)站的訪問。測試步驟配置深度安全策略防火墻Web治理頁面，策略治理>深度安全策略點(diǎn)擊<建>，選擇“源域”〔Trust〕、“目的域”〔Untrust〕，指定“段ID”和“訪問掌握列表ID”〔3998〕。建立Trust->Untrust的深度安全策略建立Untrust->Trust深度安全策略時間表配置i-wareWeb治理頁面，對象治理>時間表治理，點(diǎn)擊創(chuàng)立時間表輸入“名稱”〔工作時間〕；在時間段 2的輸入框中輸入該時間段的名稱(Worktime)，點(diǎn)擊時間段2對應(yīng)的藍(lán)色圖標(biāo)，然后在時間表格中選擇所需的格子2007-04-27 H3C機(jī)密，未經(jīng)許可不得集中 第8頁,共32頁文檔名稱 文檔密級點(diǎn)擊“檢查方案”按鈕查看當(dāng)前時間分組所對應(yīng)的時間段信息URL過濾策略配置i-wareWEB>URL過濾>策略治理，點(diǎn)擊<創(chuàng)立策略>輸入“名稱”〔CustomURLFilter〕，選擇“時間表”〔工作時間〕2007-04-27 H3C機(jī)密，未經(jīng)許可不得集中 第9頁,共32頁文檔名稱 文檔密級點(diǎn)擊確定，進(jìn)入“規(guī)章治理”頁面。點(diǎn)擊<創(chuàng)立規(guī)章>按鈕，輸入“名稱”〔“://sina.cn/“sina.cn〕，選擇“過濾類型”〔主機(jī)名〕，輸入“固定字符串”〔“://sina.cn/“sina.cn〕，選擇“使能狀態(tài)”〔使能〕，選擇“時間分組”〔timegroup1〕，設(shè)置“動作集”〔default的動作集選擇Permit，時間段Worktime的動作集選擇Block〕。2007-04-27 H3C機(jī)密，未經(jīng)許可不得集中 第10頁,共32頁文檔名稱 文檔密級點(diǎn)擊<創(chuàng)立規(guī)章>地址〕，輸入“固定字符串”〔〕，選擇“使能狀態(tài)”〔使能〕，選擇“時間分組”〔任意時間〕，設(shè)置“動作集”〔Block〕。2007-04-27 H3C機(jī)密，未經(jīng)許可不得集中 第11頁,共32頁文檔名稱 文檔密級關(guān)聯(lián)應(yīng)用URL過濾段策略>段策略治理，點(diǎn)擊<>〔urCustomURLFilte、方向〔內(nèi)部到外部、外部到內(nèi)部〕，點(diǎn)擊確定。2007-04-27 H3C機(jī)密，未經(jīng)許可不得集中 第12頁,共32頁文檔名稱 文檔密級點(diǎn)擊<>使配置生效內(nèi)網(wǎng)PC訪問“://sina.cn和/“sina.cn和，有結(jié)果A驗證結(jié)果A. 不能翻開頁面。觀察系統(tǒng)狀態(tài)頁面，URL過濾中顯示阻斷計數(shù)留意事項故障排解2007-04-27 H3C機(jī)密，未經(jīng)許可不得集中 第13頁,共32頁文檔名稱 文檔密級協(xié)議內(nèi)容審計功能簡述驗證二層模式、三層模式下，U200對經(jīng)過設(shè)備的、ftp、smtp協(xié)議內(nèi)容進(jìn)展審計，并將審計日志發(fā)送到syslog效勞器。測試步驟配置深度安全策略防火墻Web治理頁面，策略治理>深度安全策略點(diǎn)擊<建>，選擇“源域”〔Trust〕、“目的域”〔Untrust〕，指定“段ID”和“訪問掌握列表ID”〔3998〕。建立Trust->Untrust的深度安全策略建立Untrust->Trust深度安全策略協(xié)議內(nèi)容審計策略配置i-ware WEB治理界面，對象治理>協(xié)議內(nèi)容審計>策略治理，點(diǎn)擊<創(chuàng)立>2007-04-27 H3C機(jī)密，未經(jīng)許可不得集中 第14頁,共32頁文檔名稱 文檔密級輸入“名稱”〔CustomAuditPolicy〕點(diǎn)擊確定，進(jìn)入“規(guī)章治理”頁面。制止規(guī)章POP3選中協(xié)議規(guī)章〔pop3〕，<>按鈕修改Notify動作2007-04-27 H3C機(jī)密，未經(jīng)許可不得集中 第15頁,共32頁文檔名稱 文檔密級修改Notify動作，向syslog效勞器發(fā)送審計日志對象治理>動作治理>Notify”或操作欄中“修改通知動作資料”按鈕“通知方式”中選中“輸出到syslog主機(jī)”，輸入“名稱”〔〕、IP地址〔〕和端口號〔514〕。點(diǎn)擊<>按鈕，將syslogsyslog主機(jī)，點(diǎn)擊確定。2007-04-27 H3C機(jī)密，未經(jīng)許可不得集中 第16頁,共32頁文檔名稱 文檔密級關(guān)聯(lián)應(yīng)用協(xié)議內(nèi)容審計段策略>段策略治理，點(diǎn)擊<>選擇“要關(guān)聯(lián)的段”〔3〕〔協(xié)議內(nèi)容審計策略〕〔CustomAuditPolicy〕、方向〔雙向〕，點(diǎn)擊確定。2007-04-27 H3C機(jī)密，未經(jīng)許可不得集中 第17頁,共32頁文檔名稱 文檔密級點(diǎn)擊<>使配置生效內(nèi)網(wǎng)PC進(jìn)展到Internet的、ftp、smtp和pop3訪問，觀察syslog主機(jī)，有結(jié)果A驗證結(jié)果A. 接收到、ftp和smtp審計日志留意事項故障排解2007-04-27 H3C機(jī)密，未經(jīng)許可不得集中 第18頁,共32頁文檔名稱 文檔密級帶寬治理配置〔應(yīng)用帶寬掌握〕功能簡述驗證二層模式、三層模式下，U200對經(jīng)過設(shè)備的應(yīng)用流量進(jìn)展治理〔阻斷、限速〕測試步驟配置深度安全策略防火墻Web治理頁面，策略治理>深度安全策略點(diǎn)擊<建>，選擇“源域”〔Trust〕、“目的域”〔Untrust〕，指定“段ID”和“訪問掌握列表ID”〔3998〕。建立Trust->Untrust的深度安全策略建立Untrust->Trust深度安全策略帶寬掌握配置BWC>應(yīng)用帶寬掌握列表，點(diǎn)擊<增>2007-04-27 H3C機(jī)密，未經(jīng)許可不得集中 第19頁,共32頁文檔名稱 文檔密級〔400kbps〕動作集配置>>限速動作列表，點(diǎn)擊<>輸入“名稱”〔limit_p2p_400kbps〕；“帶寬掌握”設(shè)置中，選中“從內(nèi)網(wǎng)到外網(wǎng)〔上行〕方向帶寬掌握”并選擇已添加的應(yīng)用帶寬掌握規(guī)章〔limit_p2p_400kbps〕，選中“從外網(wǎng)到內(nèi)網(wǎng)〔下行〕方向帶寬掌握”并選擇已添加的應(yīng)用帶寬掌握規(guī)章〔limit_p2p_400kbps〕。2007-04-27 H3C機(jī)密，未經(jīng)許可不得集中 第20頁,共32頁文檔名稱 文檔密級>>動作集列表<>輸入“名稱”〔limit_p2p_400kbps〕，“選擇動作”選擇“限速：，并選擇已添加的限速動作〔limit_p2p_400kbps〕2007-04-27 H3C機(jī)密，未經(jīng)許可不得集中 第21頁,共32頁文檔名稱 文檔密級帶寬治理配置>>策略治理，點(diǎn)擊<>輸入“名稱”〔CustomServiceControlPolicy1〕，選擇“時間表”〔工作時間〕。點(diǎn)擊確定，進(jìn)入“規(guī)章治理”頁面。2007-04-27 H3C機(jī)密，未經(jīng)許可不得集中 第22頁,共32頁文檔名稱 文檔密級點(diǎn)擊<創(chuàng)立規(guī)章>P2下載限速選擇“時間分組”〔timegroup1〕，選擇“動作集”〔default時間段動作集選擇Permit，Worktimelimit_p2p_400kbps〕。點(diǎn)擊確定。2007-04-27 H3C機(jī)密，未經(jīng)許可不得集中 第23頁,共32頁文檔名稱 文檔密級創(chuàng)立網(wǎng)絡(luò)玩耍、在線視頻阻斷規(guī)章2007-04-27 H3C機(jī)密，未經(jīng)許可不得集中 第24頁,共32頁文檔名稱 文檔密級規(guī)章治理頁面，選擇“工作模式”為“用戶模式”，實(shí)現(xiàn)每用戶/IP限速注：組模式對符合策略的全部用戶的帶寬之和進(jìn)展掌握，用戶模式對符合策略的單個用戶的帶寬進(jìn)展獨(dú)立地掌握關(guān)聯(lián)帶寬治理段策略>段策略治理，點(diǎn)擊<>2007-04-27 H3C機(jī)密，未經(jīng)許可不得集中 第25頁,共32頁文檔名稱 文檔密級選“要關(guān)聯(lián)的段〔3“策略類型〔帶寬治理策略“選擇策略ServiceControl Policy1〕、治理區(qū)域〔內(nèi)部區(qū)域〕，添加例外IP地址〔68〕，點(diǎn)擊確定。點(diǎn)擊<>使配置生效工作時間〔每周一到周五8:30到18:00〕，內(nèi)網(wǎng)PC〔IP地址非68〕2007-04-27 H3C機(jī)密，未經(jīng)許可不得集中 第26頁,共32頁文檔名稱 文檔密級執(zhí)行emule、BT、迅雷等P2P下載，有結(jié)果A非工作時間內(nèi)網(wǎng)PC〔IP地址非68〕執(zhí)行P2P下載，有結(jié)果B工作時間〔每周一到周五8:30到18:00〕，內(nèi)網(wǎng)PC〔IP地址非68〕執(zhí)行網(wǎng)絡(luò)玩?！睶Q玩耍、聯(lián)眾玩?！澈驮诰€視頻〔PPlive〕，有結(jié)果C非工作時間內(nèi)網(wǎng)PC〔IP地址非68〕執(zhí)行網(wǎng)絡(luò)玩?！睶Q玩耍、聯(lián)眾玩?！澈驮诰€視頻〔PPlive〕，有結(jié)果CIp地址為68的PC在任意時間執(zhí)行P2P下載、網(wǎng)絡(luò)玩耍和在線視頻，有結(jié)果D驗證結(jié)果一臺PC各P2P軟件總的下載速率不超過400Kbps一臺PC各P2P軟件總的下載速率可能會超過400Kbps網(wǎng)絡(luò)玩耍不能運(yùn)行，網(wǎng)絡(luò)視頻不能觀看P2P下載速率不受限制，可能會超過400kbps。網(wǎng)絡(luò)玩耍能夠運(yùn)行，視頻能夠觀看。留意事項故障排解帶寬治理配置〔策略帶寬掌握〕功能簡述驗證二層模式、三層模式下，U200對經(jīng)過設(shè)備的應(yīng)用流量進(jìn)展治理〔阻斷、限速〕測試步驟配置深度安全策略防火墻Web治理頁面，策略治理>深度安全策略點(diǎn)擊<建>，選擇“源域”〔Trust〕、“目的域”〔Untrust〕，指定“段ID”和“訪問掌握列表ID”〔3998〕。建立Trust->Untrust的深度安全策略2007-04-27 H3C機(jī)密，未經(jīng)許可不