H3CSecPath+U200典型配置指导

文档名称 文档密级SecPathU200典型配置指导介绍H3CSecPathU200-S是H3C公司面对中小型企业/分支机构设计推出的一代UTM〔UnitedThreatManagement，统一威逼治理)保障在全部安全功能开启时性能不降低；在防火墙、VPN功能根底上，集成了IPS、防病毒、URL过滤、协议内容审计、带宽治理以及反垃圾邮件等安全功能，产品具有极高的性价比。H3CSecPathU200-S能够全面有效的保证用户网络的安全，同时还可以使用户避开部署多台安全设备所带来的运营本钱和维护简单性问题。组网需求组网图U200U200G0/2InternetPCG0/1三层模式接口与安全域配置G0/1 三层接口，Trust域，/24Eth0/0 Trust域，/24G0/2 三层接口，Untrust域，/24ACL配置2007-04-27 H3C机密，未经许可不得集中 第1页,共32页文档名称 文档密级时作NAT用于iware访问内网、Internet时作NAT用于深度安全策略natserver配置natoutbound配置二层模式接口与安全域配置G0/1 二层access口，PVID10，Trust域2007-04-27 H3C机密，未经许可不得集中 第2页,共32页文档名称 文档密级G0/2 二层access口，PVID为10，UntrustEth0/0 三层接口，Trust域，/24vlan-interface10 Trust域，/24ACL配置用于iware访问内网时作NAT用于深度安全策略NATServer配置NAToutbound配置2007-04-27 H3C机密，未经许可不得集中 第3页,共32页文档名称 文档密级U200典型配置举例IPS/AV特征库升级特征库自动升级功能简述验证U200自动升级IPS/AV特征库测试步骤防火墙Web治理界面，策略治理>置”，进入i-wareWEB治理界面>>自动升级选择自动升级库类型，选中“启用自动升级”，设置“开头时间”、“间隔时间”和“升级包的位置”。升级包的位置支持、tftp两种协议。点击<确定>按钮保存配置。指定的时间后观察版本信息有结果A验证结果A. 版本信息中当前版本更时间显示自动更在指定时间运行了，且特征库已更留意事项2007-04-27 H3C机密，未经许可不得集中 第4页,共32页文档名称 文档密级确保license文件存在且有效将开头时间设定在网络相对空闲的时间，如凌晨。故障排解提示license文件不存在，需要在iware隐含扩展视图，/mnt/system/config名目下执行license重生成license文件；或通过WebLicense文件治理>文件操作页面导入license文件。提示license文件错误，观察devicebom、devicename和devicecode值是否正确。特征库手动升级功能简述验证U200手动升级IPS/AV特征库测试步骤进入i-wareWEB治理界面>>手动升级选择“特征库类型”、“协议〔tftp〕”，输入“升级包的位置”，点击<确定>。有结果A验证结果A. 马上开头升级特征库。完毕后观察特征库版本信息，已更留意事项故障排解2007-04-27 H3C机密，未经许可不得集中 第5页,共32页文档名称 文档密级IPS配置功能简述验证二层模式、三层模式下，U200对流量进展IPS检测测试步骤防火墙Web治理页面，策略治理>深度安全策略点击<建>，选择“源域”〔Trust〕、“目的域”〔Untrust〕，指定“段ID”和“访问掌握列表ID”〔3998〕。建立Trust->Untrust的深度安全策略建立Untrust->Trust深度安全策略注：配置检测两个方向发起的访问流量的深度安全策略；段3默认关联了AV+IPS策略。内网PC运行漏洞扫描软件〔如x-scan〕对Internet上某台计算机进展扫描，观察攻击日志，有结果A验证结果A．攻击日志显示检测到攻击，并执行了相应的动作留意事项故障排解2007-04-27 H3C机密，未经许可不得集中 第6页,共32页文档名称 文档密级防病毒配置功能简述验证二层模式、三层模式下，U200对流量进展病毒扫描检测测试步骤防火墙Web治理页面，策略治理>深度安全策略点击<建>，选择“源域”〔Trust〕、“目的域”〔Untrust〕，指定“段ID”和“访问掌握列表ID”〔3998〕。建立Trust->Untrust的深度安全策略建立Untrust->Trust深度安全策略注：配置检测两个方向发起的访问流量的深度安全策略；段3默认关联了AV+IPS策略。内网PC从“:///“下载eicar测试病毒，有结果A验证结果A. 下载失败。观察病毒日志，显示病毒被检测到并阻断。留意事项故障排解2007-04-27 H3C机密，未经许可不得集中 第7页,共32页文档名称 文档密级URL过滤功能简述验证二层模式、三层模式下，U200对经过设备的URL恳求进展过滤，阻断对不良/恶意网站的访问。测试步骤配置深度安全策略防火墙Web治理页面，策略治理>深度安全策略点击<建>，选择“源域”〔Trust〕、“目的域”〔Untrust〕，指定“段ID”和“访问掌握列表ID”〔3998〕。建立Trust->Untrust的深度安全策略建立Untrust->Trust深度安全策略时间表配置i-wareWeb治理页面，对象治理>时间表治理，点击创立时间表输入“名称”〔工作时间〕；在时间段 2的输入框中输入该时间段的名称(Worktime)，点击时间段2对应的蓝色图标，然后在时间表格中选择所需的格子2007-04-27 H3C机密，未经许可不得集中 第8页,共32页文档名称 文档密级点击“检查方案”按钮查看当前时间分组所对应的时间段信息URL过滤策略配置i-wareWEB>URL过滤>策略治理，点击<创立策略>输入“名称”〔CustomURLFilter〕，选择“时间表”〔工作时间〕2007-04-27 H3C机密，未经许可不得集中 第9页,共32页文档名称 文档密级点击确定，进入“规章治理”页面。点击<创立规章>按钮，输入“名称”〔“://sina.cn/“sina.cn〕，选择“过滤类型”〔主机名〕，输入“固定字符串”〔“://sina.cn/“sina.cn〕，选择“使能状态”〔使能〕，选择“时间分组”〔timegroup1〕，设置“动作集”〔default的动作集选择Permit，时间段Worktime的动作集选择Block〕。2007-04-27 H3C机密，未经许可不得集中 第10页,共32页文档名称 文档密级点击<创立规章>地址〕，输入“固定字符串”〔〕，选择“使能状态”〔使能〕，选择“时间分组”〔任意时间〕，设置“动作集”〔Block〕。2007-04-27 H3C机密，未经许可不得集中 第11页,共32页文档名称 文档密级关联应用URL过滤段策略>段策略治理，点击<>〔urCustomURLFilte、方向〔内部到外部、外部到内部〕，点击确定。2007-04-27 H3C机密，未经许可不得集中 第12页,共32页文档名称 文档密级点击<>使配置生效内网PC访问“://sina.cn和/“sina.cn和，有结果A验证结果A. 不能翻开页面。观察系统状态页面，URL过滤中显示阻断计数留意事项故障排解2007-04-27 H3C机密，未经许可不得集中 第13页,共32页文档名称 文档密级协议内容审计功能简述验证二层模式、三层模式下，U200对经过设备的、ftp、smtp协议内容进展审计，并将审计日志发送到syslog效劳器。测试步骤配置深度安全策略防火墙Web治理页面，策略治理>深度安全策略点击<建>，选择“源域”〔Trust〕、“目的域”〔Untrust〕，指定“段ID”和“访问掌握列表ID”〔3998〕。建立Trust->Untrust的深度安全策略建立Untrust->Trust深度安全策略协议内容审计策略配置i-ware WEB治理界面，对象治理>协议内容审计>策略治理，点击<创立>2007-04-27 H3C机密，未经许可不得集中 第14页,共32页文档名称 文档密级输入“名称”〔CustomAuditPolicy〕点击确定，进入“规章治理”页面。制止规章POP3选中协议规章〔pop3〕，<>按钮修改Notify动作2007-04-27 H3C机密，未经许可不得集中 第15页,共32页文档名称 文档密级修改Notify动作，向syslog效劳器发送审计日志对象治理>动作治理>Notify”或操作栏中“修改通知动作资料”按钮“通知方式”中选中“输出到syslog主机”，输入“名称”〔〕、IP地址〔〕和端口号〔514〕。点击<>按钮，将syslogsyslog主机，点击确定。2007-04-27 H3C机密，未经许可不得集中 第16页,共32页文档名称 文档密级关联应用协议内容审计段策略>段策略治理，点击<>选择“要关联的段”〔3〕〔协议内容审计策略〕〔CustomAuditPolicy〕、方向〔双向〕，点击确定。2007-04-27 H3C机密，未经许可不得集中 第17页,共32页文档名称 文档密级点击<>使配置生效内网PC进展到Internet的、ftp、smtp和pop3访问，观察syslog主机，有结果A验证结果A. 接收到、ftp和smtp审计日志留意事项故障排解2007-04-27 H3C机密，未经许可不得集中 第18页,共32页文档名称 文档密级带宽治理配置〔应用带宽掌握〕功能简述验证二层模式、三层模式下，U200对经过设备的应用流量进展治理〔阻断、限速〕测试步骤配置深度安全策略防火墙Web治理页面，策略治理>深度安全策略点击<建>，选择“源域”〔Trust〕、“目的域”〔Untrust〕，指定“段ID”和“访问掌握列表ID”〔3998〕。建立Trust->Untrust的深度安全策略建立Untrust->Trust深度安全策略带宽掌握配置BWC>应用带宽掌握列表，点击<增>2007-04-27 H3C机密，未经许可不得集中 第19页,共32页文档名称 文档密级〔400kbps〕动作集配置>>限速动作列表，点击<>输入“名称”〔limit_p2p_400kbps〕；“带宽掌握”设置中，选中“从内网到外网〔上行〕方向带宽掌握”并选择已添加的应用带宽掌握规章〔limit_p2p_400kbps〕，选中“从外网到内网〔下行〕方向带宽掌握”并选择已添加的应用带宽掌握规章〔limit_p2p_400kbps〕。2007-04-27 H3C机密，未经许可不得集中 第20页,共32页文档名称 文档密级>>动作集列表<>输入“名称”〔limit_p2p_400kbps〕，“选择动作”选择“限速：，并选择已添加的限速动作〔limit_p2p_400kbps〕2007-04-27 H3C机密，未经许可不得集中 第21页,共32页文档名称 文档密级带宽治理配置>>策略治理，点击<>输入“名称”〔CustomServiceControlPolicy1〕，选择“时间表”〔工作时间〕。点击确定，进入“规章治理”页面。2007-04-27 H3C机密，未经许可不得集中 第22页,共32页文档名称 文档密级点击<创立规章>P2下载限速选择“时间分组”〔timegroup1〕，选择“动作集”〔default时间段动作集选择Permit，Worktimelimit_p2p_400kbps〕。点击确定。2007-04-27 H3C机密，未经许可不得集中 第23页,共32页文档名称 文档密级创立网络玩耍、在线视频阻断规章2007-04-27 H3C机密，未经许可不得集中 第24页,共32页文档名称 文档密级规章治理页面，选择“工作模式”为“用户模式”，实现每用户/IP限速注：组模式对符合策略的全部用户的带宽之和进展掌握，用户模式对符合策略的单个用户的带宽进展独立地掌握关联带宽治理段策略>段策略治理，点击<>2007-04-27 H3C机密，未经许可不得集中 第25页,共32页文档名称 文档密级选“要关联的段〔3“策略类型〔带宽治理策略“选择策略ServiceControl Policy1〕、治理区域〔内部区域〕，添加例外IP地址〔68〕，点击确定。点击<>使配置生效工作时间〔每周一到周五8:30到18:00〕，内网PC〔IP地址非68〕2007-04-27 H3C机密，未经许可不得集中 第26页,共32页文档名称 文档密级执行emule、BT、迅雷等P2P下载，有结果A非工作时间内网PC〔IP地址非68〕执行P2P下载，有结果B工作时间〔每周一到周五8:30到18:00〕，内网PC〔IP地址非68〕执行网络玩耍〔QQ玩耍、联众玩耍〕和在线视频〔PPlive〕，有结果C非工作时间内网PC〔IP地址非68〕执行网络玩耍〔QQ玩耍、联众玩耍〕和在线视频〔PPlive〕，有结果CIp地址为68的PC在任意时间执行P2P下载、网络玩耍和在线视频，有结果D验证结果一台PC各P2P软件总的下载速率不超过400Kbps一台PC各P2P软件总的下载速率可能会超过400Kbps网络玩耍不能运行，网络视频不能观看P2P下载速率不受限制，可能会超过400kbps。网络玩耍能够运行，视频能够观看。留意事项故障排解带宽治理配置〔策略带宽掌握〕功能简述验证二层模式、三层模式下，U200对经过设备的应用流量进展治理〔阻断、限速〕测试步骤配置深度安全策略防火墙Web治理页面，策略治理>深度安全策略点击<建>，选择“源域”〔Trust〕、“目的域”〔Untrust〕，指定“段ID”和“访问掌握列表ID”〔3998〕。建立Trust->Untrust的深度安全策略2007-04-27 H3C机密，未经许可不