安全策略高级特性

会计学1安全策略高级特性通过完成此章节课程，您将可以：

-配置基于角色和时间表的策略-配置安全网关实现对网络攻击防护

-配置安全网关抵御ARP攻击章节目标第1页/共24页

基于角色的策略基于时间表的策略网络攻击防护二层防护议程：安全策略高级特性第2页/共24页神州数码防火墙不仅可以基于IP指定策略控制流量，而且可以结合角色实现细粒度的基于用户的访问控制。把用户和角色（Role）映射起来（配置角色映射规则），然后把角色/角色组引用到系统策略规则中，就能够实现设备对不同用户流量的管理与控制。角色第3页/共24页用户>用户新建用户界面输入需新建用户名/密码，点击确定用户>角色新角色角色（创建用户、角色）用户名称→→用户密码角色名称→第4页/共24页用户>角色新角色映射

配置用户-角色对应关系，点击确定完成新建操作，可编辑该角色映射规则，添加和删除对应关系。用户>AAA服务器>编辑界面绑定映射规则绑定角色映射规则→映射规则名称→→需映射用户对应角色→角色（创建用户映射规则）第5页/共24页网络>Web认证界面开启认证模式，可根据需要调整超时值和认证端口。

防火墙>策略对需要通过角色控制策略选择已定义角色，实现基于角色策略控制新建一条用户认证用户的策略，置于角色控制策略之上角色（实现Web认证）认证模式→第6页/共24页基于安全域策略模式：

基于全局策略模式：配置角色控制策略第7页/共24页基于角色的策略

基于时间表的策略网络攻击防护二层防护议程：安全策略高级特性第8页/共24页DCFW-1800系列防火墙支持时间表（Schedule）功能。时间表功能可以使策略规则在指定的时间生效，也可以控制PPPoE接口与因特网的连接时间。时间表包含绝对时间和周期。周期通过周期条目指定时间表的时间点或者时间段而绝对时间决定周期的生效时间。每个周期最多可以拥有16条周期条目。时间表第9页/共24页对象>时间表>新建时间表提供“绝对时间”和“周期”两种类型时间表第10页/共24页防火墙>策略调用时间表的策略，只在时间表范围内生效应用时间表到策略第11页/共24页防火墙>策略调用时间表的策略，只在时间表范围内生效CLI：showpolicy查看调用时间表的策略第12页/共24页基于角色的策略基于时间表的策略

网络攻击防护二层防护议程：安全策略高级特性第13页/共24页网络中存在多种防不胜防的攻击，如侵入或破坏网络上的服务器、盗取服务器的敏感数据、破坏服务器对外提供的服务，或者直接破坏网络设备导致网络服务异常甚至中断。作为网络安全设备的防火墙，必须具备攻击防护功能来检测各种类型的网络攻击，从而采取相应的措施保护内部网络免受恶意攻击，以保证内部网络及系统正常运行。神州数码防火墙提供基于域的攻击防护功能攻击防护第14页/共24页防火墙>攻击防护攻击防护是否启用防护→→检测阀值→该防护功能动作第15页/共24页防火墙>攻击防护攻击防护（续）是否启用防护→→代理阀值代理时间Syncookie第16页/共24页基于角色的策略基于时间表的策略网络攻击防护

二层防护议程：安全策略高级特性第17页/共24页防火墙>二层防护>主机防御安全网关代替不同主机发送免费arp包，保护被代理主机免受arp攻击。主机防御服务器所在接口→服务器IP→服务器mac→Arp包速率→第18页/共24页防火墙>二层防护>arp防御通过使用ARP学习功能、MAC学习、ARP认证以及ARP检查功能，DCFOS能够很好的防御ARP欺骗攻击。并且，DCFOS能够对ARP欺骗攻击进行统计，显示ARP欺骗攻击统计信息ARP防御→ARP广播包限制是否启用ARP检查→应用→第19页/共24页防火墙>二层防护>静态绑定※在全局模式下，使用以下命令绑定IP-MAC:arpip-addressmac-address※在全局模式下，使用以下命令绑定MAC-接口：mac-address-staticmac-adressinterfaceinterface-name静态绑定第20页/共24页防火墙>二层防护>DHCPSnoopingDHCP监控第21页/共24