H3C SecPath+U200典型配置指导

文档名称文档密级2007-04-27H3C机密，未经许可不得扩散第1页,共32页SecPathU200典型配置指导1介绍H3CSecPathU200-S是H3C公司面向中小型企业/分支机构设计推出的新一代UTM（UnitedThreatManagement，统一威胁管理)设备，采用高性能的多核、多线程安全平台，保障在全部安全功能开启时性能不降低；在防火墙、VPN功能基础上，集成了IPS、防病毒、URL过滤、协议内容审计、带宽管理以及反垃圾邮件等安全功能，产品具有极高的性价比。H3C公司的SecPathU200-S能够全面有效的保证用户网络的安全，同时还可以使用户避免部署多台安全设备所带来的运营成本和维护复杂性问题。2组网需求2.1组网图InternetPCU200G0/1G0/22.2三层模式2.2.1接口与安全域配置G0/1三层接口，Trust域，192.168.1.1/24Eth0/0Trust域，10.254.254.1/24G0/2三层接口，Untrust域，202.0.0.1/242.2.2ACL配置文档名称文档密级2007-04-27H3C机密，未经许可不得扩散第2页,共32页用于内网访问Internet时作NAT用于iware访问内网、Internet时作NAT用于深度安全策略2.2.3NAT配置natserver配置natoutbound配置2.3二层模式2.3.1接口与安全域配置G0/1二层access口，PVID10，Trust域文档名称文档密级2007-04-27H3C机密，未经许可不得扩散第3页,共32页G0/2二层access口，PVID为10，UntrustEth0/0三层接口，Trust域，10.254.254.1/24vlan-interface10Trust域，192.168.1.1/242.3.2ACL配置用于iware访问内网时作NAT用于深度安全策略2.3.3NAT配置NATServer配置NAToutbound配置文档名称文档密级2007-04-27H3C机密，未经许可不得扩散第4页,共32页3U200典型配置举例3.1IPS/AV特征库升级3.1.1特征库自动升级（1）功能简述验证U200自动升级IPS/AV特征库（2）测试步骤防火墙Web管理界面，策略管理深度安全策略。点击“进入深度安全策略配置”，进入i-wareWEB管理界面系统管理升级管理自动升级选择自动升级库类型，选中“启用自动升级”，设置“开始时间”、“间隔时间”和“升级包的位置”。升级包的位置支持http、tftp两种协议。点击确定按钮保存配置。指定的时间后察看版本信息有结果A（3）验证结果A.版本信息中当前版本更新时间显示自动更新在指定时间运行了，且特征库已更新（4）注意事项文档名称文档密级2007-04-27H3C机密，未经许可不得扩散第5页,共32页A.确保license文件存在且有效B.将开始时间设定在网络相对空闲的时间，如凌晨。（5）故障排除A.提示license文件不存在，需要在iware隐含扩展视图，/mnt/system/config目录下执行license重新生成license文件；或通过WebLicense文件管理文件操作页面导入license文件。B.提示license文件错误，察看devicebom、devicename和devicecode值是否正确。3.1.2特征库手动升级（1）功能简述验证U200手动升级IPS/AV特征库（2）测试步骤进入i-wareWEB管理界面系统管理升级管理手动升级选择“特征库类型”、“协议（手动升级目前只支持tftp）”，输入“升级包的位置”，点击确定。有结果A（3）验证结果A.立刻开始升级特征库。结束后察看特征库版本信息，已更新（4）注意事项（5）故障排除文档名称文档密级2007-04-27H3C机密，未经许可不得扩散第6页,共32页3.2IPS配置（1）功能简述验证二层模式、三层模式下，U200对流量进行IPS检测（2）测试步骤防火墙Web管理页面，策略管理深度安全策略点击新建，选择“源域”（Trust）、“目的域”（Untrust），指定“段ID”（3）和“访问控制列表ID”（3998）。建立Trust-Untrust的深度安全策略建立Untrust-Trust深度安全策略注：配置检测两个方向发起的访问流量的深度安全策略；段3默认关联了AV+IPS策略。内网PC运行漏洞扫描软件（如x-scan）对Internet上某台计算机进行扫描，察看攻击日志，有结果A（3）验证结果A．攻击日志显示检测到攻击，并执行了相应的动作（4）注意事项（5）故障排除文档名称文档密级2007-04-27H3C机密，未经许可不得扩散第7页,共32页3.3防病毒配置（1）功能简述验证二层模式、三层模式下，U200对流量进行病毒扫描检测（2）测试步骤防火墙Web管理页面，策略管理深度安全策略点击新建，选择“源域”（Trust）、“目的域”（Untrust），指定“段ID”（3）和“访问控制列表ID”（3998）。建立Trust-Untrust的深度安全策略建立Untrust-Trust深度安全策略注：配置检测两个方向发起的访问流量的深度安全策略；段3默认关联了AV+IPS策略。内网PC从测试病毒，有结果A（3）验证结果A.下载失败。察看病毒日志，显示病毒被检测到并阻断。（4）注意事项（5）故障排除文档名称文档密级2007-04-27H3C机密，未经许可不得扩散第8页,共32页3.4URL过滤（1）功能简述验证二层模式、三层模式下，U200对经过设备的URL请求进行过滤，阻断对不良/恶意网站的访问。（2）测试步骤配置深度安全策略防火墙Web管理页面，策略管理深度安全策略点击新建，选择“源域”（Trust）、“目的域”（Untrust），指定“段ID”（3）和“访问控制列表ID”（3998）。建立Trust-Untrust的深度安全策略建立Untrust-Trust深度安全策略时间表配置i-wareWeb管理页面，对象管理时间表管理，点击创建时间表输入“名称”（工作时间）；在时间段2的输入框中输入该时间段的名称(Worktime)，点击时间段2对应的蓝色图标，然后在时间表格中选择所需的格子文档名称文档密级2007-04-27H3C机密，未经许可不得扩散第9页,共32页点击“检查方案”按钮查看当前时间分组所对应的时间段信息URL过滤策略配置i-wareWEB管理界面，对象管理URL过滤策略管理，点击创建策略输入“名称”（CustomURLFilter），选择“时间表”（工作时间）文档名称文档密级2007-04-27H3C机密，未经许可不得扩散第10页,共32页点击确定，进入“规则管理”页面。点击创建规则按钮，输入“名称”（），选择“过滤类型”（主机名），输入“固定字符串”（），选择“使能状态”（使能），选择“时间分组”（timegroup1），设置“动作集”（时间段default的动作集选择Permit，时间段Worktime的动作集选择Block）。文档名称文档密级2007-04-27H3C机密，未经许可不得扩散第11页,共32页点击创建规则按钮，输入“名称”（WormSite），选择“过滤类型”（IP地址），输入“固定字符串”（61.154.3.2），选择“使能状态”（使能），选择“时间分组”（任意时间），设置“动作集”（Block）。文档名称文档密级2007-04-27H3C机密，未经许可不得扩散第12页,共32页关联应用URL过滤段策略对象管理段策略管理，点击新建段策略选择“要关联的段”（3）、“url过滤策略”、“选择策略”（CustomURLFilter）、方向（内部到外部、外部到内部），点击确定。文档名称文档密级2007-04-27H3C机密，未经许可不得扩散第13页,共32页点击激活使配置生效内网PC访问，有结果A（3）验证结果A.不能打开页面。察看系统状态页面，URL过滤中显示阻断计数（4）注意事项（5）故障排除文档名称文档密级2007-04-27H3C机密，未经许可不得扩散第14页,共32页3.5协议内容审计（1）功能简述验证二层模式、三层模式下，U200对经过设备的http、ftp、smtp协议内容进行审计，并将审计日志发送到syslog服务器。（2）测试步骤配置深度安全策略防火墙Web管理页面，策略管理深度安全策略点击新建，选择“源域”（Trust）、“目的域”（Untrust），指定“段ID”（3）和“访问控制列表ID”（3998）。建立Trust-Untrust的深度安全策略建立Untrust-Trust深度安全策略协议内容审计策略配置i-wareWEB管理界面，对象管理协议内容审计策略管理，点击创建策略文档名称文档密级2007-04-27H3C机密，未经许可不得扩散第15页,共32页输入“名称”（CustomAuditPolicy）点击确定，进入“规则管理”页面。禁止规则POP3选中协议规则（pop3），点击禁止规则按钮修改Notify动作文档名称文档密级2007-04-27H3C机密，未经许可不得扩散第16页,共32页修改Notify动作，向syslog服务器发送审计日志对象管理动作管理通知动作列表，点击通知动作“Notify”或操作栏中“修改通知动作资料”按钮“通知方式”中选中“输出到syslog主机”，输入“名称”（192.168.1.2）、IP地址（192.168.1.2）和端口号（514）。点击增加按钮，将syslog主机添加到左侧的列表框中，选中添加的syslog主机，点击确定。文档名称文档密级2007-04-27H3C机密，未经许可不得扩散第17页,共32页关联应用协议内容审计段策略对象管理段策略管理，点击新建段策略选择“要关联的段”（3）、“策略类型”（协议内容审计策略）、“选择策略”（CustomAuditPolicy）、方向（双向），点击确定。文档名称文档密级2007-04-27H3C机密，未经许可不得扩散第18页,共32页点击激活使配置生效内网PC进行到Internet的http、ftp、smtp和pop3访问，察看syslog主机，有结果A（3）验证结果A.接收到http、ftp和smtp审计日志（4）注意事项（5）故障排除文档名称文档密级2007-04-27H3C机密，未经许可不得扩散第19页,共32页3.6带宽管理配置（应用带宽控制）（1）功能简述验证二层模式、三层模式下，U200对经过设备的应用流量进行管理（阻断、限速）（2）测试步骤配置深度安全策略防火墙Web管理页面，策略管理深度安全策略点击新建，选择“源域”（Trust）、“目的域”（Untrust），指定“段ID”（3）和“访问控制列表ID”（3998）。建立Trust-Untrust的深度安全策略建立Untrust-Trust深度安全策略带宽控制配置i-wareWEB管理界面，对象管理BWC管理应用带宽控制列表，点击增加带宽控制文档名称文档密级2007-04-27H3C机密，未经许可不得扩散第20页,共32页输入“名称”（limit_p2p_400kbps）、“平均带宽限制”（400kbps）动作集配置对象管理动作管理限速动作列表，点击添加限速动作输入“名称”（limit_p2p_400kbps）；“带宽控制”设置中，选中“从内网到外网（上行）方向带宽控制”并选择已添加的应用带宽控制规则（limit_p2p_400kbps），选中“从外网到内网（下行）方向带宽控制”并选择已添加的应用带宽控制规则（limit_p2p_400kbps）。文档名称文档密级2007-04-27H