E8000E-X策略特性介绍

HUAWEITECHNOLOGIESCO.,LTD.特性介绍HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage2第1章策略特性介绍第2章安全策略介绍及配置第3章NAT策略介绍及配置第4章审计策略介绍及配置第5章限流策略介绍及配置HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage3策略特性介绍策略化的特性包括安全策略、NAT策略、审计策略及限流策略，分别对应V2R1版本的包过滤、NAT、Sessionlog、Ipcar特性。在数据面查询的位置是不变的，主要是配置方式的变化。包过滤、NAT、Sessionlog、Ipcar之前的配置方式都是采用ACL定义过滤规则，然后将ACL应用于不同区域之间。策略化以后这四个特性不再使用acl配置过滤规则，而是直接在各个特性的视图下单独配置规则。HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidential策略配置与ACL配置区别3000类ACL规则举例POLICY规则举例样例acl[number]3000rule0permittcpsourceaddress-setsrcdestination1.1.1.10precedence1tos1logging策略配置中将各个属性分开来配置Permit--actionSource--policysourceDestinationpolicydestination等…policy0action（不同的策略会不同）policyserviceservice-settcppolicysourceaddress-setsrcpolicydestination1.1.1.10policytime-rangeallpolicyprecedence1policytos1policylogging规则号的转换rule0policy0HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidential策略配置简介策略（policy）能够通过指定报文的源地址、目的地址、端口号、上层协议等信息组合定义网络中的数据流，是安全策略（Policy）、NAT策略（NAT-policy）、审计策略（Audit-policy）、限流策略（Car-policy）的基础。policy[policyid]action（不同的策略会不同）policyserviceservice-set{STRING1-63}&1-16policysource{srcip{wildcard|0|mask{masklen|mask}}|address-set{STRING1-63}&1-256|rangestartipendip}policydestination{dstip{wildcard|0|mask{masklen|mask}}|address-set{STRING1-63}&1-256|rangestartipendip}policy{precedence|tos|time-range}*配置策略的动作，不用策略对应不同的动作，如policy为permit/deny，nat为source-nat/no-nat配置服务，包括协议，源端口和目的端口配置源ip地址配置目的ip地址配置其他属性此外：安全策略还可以配置：PolicyloggingNAT策略要配置地址池或静态映射：address-group{INTEGER0-10239|STRING1-32}，static-mappingINTEGER1-2000限流策略要配置car-classSTRING1-31策略idHUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidential策略配置与ACL配置区别策略特征：（1）支持地址、服务的多选操作（2）源地址、目的地址支持掩码格式，反掩码格式，范围地址格式（3）只存在服务，服务分三类：预定义服务、自定义服务、服务组（4）支持使能、去使能状态；支持移动；支持复制。（5）只能在单个域间或安全域生效；（6）对于安全策略、审计策略配置了动作该策略才生效，才会进行规则匹配；对于NAT策略必须配置了地址池和动作才生效，限流策略必须配置限流类和动作。ACL特征：（1）只支持配置单个地址、服务（2）源地址、目的地址只支持反掩码格式（反掩码可不连续）（3）服务、TCP/UDP端口/端口集、ICMPtype和code、其他协议（4）不支持使能、去使能状态；不支持移动，不支持复制（5）ACL规则与应用无关，不指定ASPF，LONG-LINK，NAT（6）ACL能被多次引用，可以在多个域间被引用HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidential策略的相关概念——地址集地址集（Ipaddress-set）用于将零散的IP地址或IP段归类命名，提高了IP地址管理的层次性。策略支持引用地址集合，简化了配置、同时增加可读性和可维护性。地址集支持地址对象和地址组两种，地址对象只能配置地址，地址组可以配置地址，还可以配置地址对象和地址组。ipaddress-setyidong1typeobjectaddress03.3.3.30address13.3.3.40…ipaddress-setyidongtypegroupaddress03.3.3.50address1address-setyidong1…地址对象规格为8192，每个地址对象可以配置1024个元素。地址组规格为8192，每个地址组可以配置256个元素。HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidential策略的相关概念——服务集服务集（Ipservice-set）取代了之前的端口集，用于将协议、源端口和目的端口组合归类命名。策略支持引用服务集合，简化了配置、同时增加可读性和可维护性。服务集支持服务对象和服务组两种，服务对象只能配置服务元素，服务组只能配置服务对象。ipservice-setyidong1typeobjectservice0protocoludpsource-port400destination-port5000service1protocoltcpsource-port500destination-port400…ipservice-setyidongtypegroupservice03.3.3.50service1service-setyidong1…服务对象规格为8192，每个地址对象可以配置64个元素。地址组规格为8192，每个地址组可以配置16个元素。HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidential策略的相关概念——服务集预定义服务集（predefined-service），不用用户自己定义，系统定义好的一些服务，用户不能修改，通常是知名协议。displaypredefined-service16:10:502013/04/08httptcp/80telnettcp/23ftptcp/21rasudp/1719dnsudp/53rtsptcporudp/554ilstcp/1002or389…HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidential各策略特性配置举例样例：以trust和untrust域间为例acl[number]3000rule0permittcpsource3.3.3.30destination2.2.2.20包过滤:FirewallinterzonetrustuntrustPacket-filter3000inbound安全策略policyinterzonetrustuntrustinboundpolicy0actionpermitpolicyserviceservice-settcppolicysource3.3.3.30policydestination2.2.2.20NAT:Firewallinterzonetrustuntrustnatoutbound3000address-group10NAT策略nat-policyinterzonetrustuntrustoutboundpolicy0actionsource-natpolicyserviceservice-settcppolicysource3.3.3.30policydestination2.2.2.20address-group10HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidential各策略特性配置举例样例：以trust和untrust域间为例Sessionlog:Firewallinterzonetrustuntrustsessionlogenableacl-number3000inbound审计策略audit-policyinterzonetrustuntrustinboundpolicy0actionauditpolicyserviceservice-settcppolicysource3.3.3.30policydestination2.2.2.20ipcar:Firewallzonetrustip-car3000{classclass-number|session-limitsession-num|session-rate-limitsession-rate-num}限流策略car-policyzonetrustpolicy0actioncarpolicyserviceservice-settcppolicysource3.3.3.30policydestination2.2.2.20car-classtestHUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidential策略匹配顺序策略采用顺序匹配原则，按照用户配置规则的先后顺序进行匹配，显示的顺序即为策略的匹配顺序，前面的优先级高。以安全策略为例，数据流一旦与一条规则匹配成功，将不再继续向下匹配policyinterzonetrustuntrustinboundpolicy0actionpermitpolicyserviceservice-setudppolicysource3.3.3.30policydestination2.2.2.20policy1actiondenypolicysource3.3.3.40policy5actionpermitHUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidential策略支持调整功能策略启用与禁用配置策略后默认是启用的，可以通过下面命令启用或禁用一条策略policypolicy-id{enable|disable}，策略移动将策略1移动到策略2之前或之后，从而调整策略匹配优先级policymovepolicy-id1[before|after]policy-id2策略复制复制生成一个与指定策略完全相同的新策略。policycopypolicy-id[policy-new-id]HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidential策略的查询V3R1不支持硬件tcam查询，ACL及策略查找全部采用软件查询。查询结构：所有ACL和policy的规则生成一个查询结构。修改、添加、删除规则，或是修改地址集、服务集都需要重新生成查询结构。生成查询结构有两种方法：1，自动生成，配置完毕后1分钟会构建生成查询结构。2，手动使能生成，执行命令aclaccelerateenable会立即构建查询结构。注意：在查询结构生成之前新配置的规则不能生效。HUAW