HCNA第三章防火墙安全策略V2.0摘要.pptVIP

如果需要对某一时间内发生的流量进行匹配和控制，可能通过使用基于时间段的访问控制列表。 在网络应用中，比较常见的应用是按照时间段开放某些网络应用，例如：上班时间不开放服务器某些端口，上班时间局域网的某些用户不能访问Internet等。这种特殊的应用前面所介绍的各种访问控制列表类型都无法满足要求，基于时间段访问控制列表可以精确的限定某个访问控制列表的生效时间，解决了访问控制列表在时间上一刀切的问题。 在定义时间段访问控制列表前，首先要在防火墙上定义一个时间段。 在包过滤策略视图下执行policy policy-id { enable | disable }，启用或者禁用一条自定义策略。 * Time-range时间范围操作符，支持2种表现方式。一种是绝对时间段，即起止日期的时间段，另一种是周期时间段，即星期方式的时间段。 配置举例： time-range work-policy1 08:00 to 18:00 working-day time-range work-policy2 from 08:00 2013/01/01 to 18:00 2013/12/31 acl 2000 rule permit ip source 55 time-range work-policy1 rule permit ip source 55 time-range work-policy2 policy interzone trust untrust outbound policy 1 Policy source 55 policy time-range work-policy1 policy 2 Policy source 55 policy time-range work-policy2 在Web配置界面下，配置转发策略的步骤为： 选择“防火墙 安全策略 转发策略”。 在“转发策略列表”中，单击“新建”。 依次输入或选择各项参数。 单击“应用”。 举例： policy interzone trust local inbound policy 0 action permit policy source 0 policy service service-set telnet 在域间安全策略视图下执行policy policy-id { enable | disable }，启用或者禁用一条策略。 在Web配置界面下，配置本地策略的步骤为： 选择“防火墙 安全策略 本地策略”。 在“对设备访问控制列表”中，单击“新建”。 依次输入或选择各项参数。 单击“应用”。 USG2200/5100/5500缺省出厂配置: 允许通过: Local域到其他任意安全区域Outbound方向的报文 Trust域到Local域的Outbound和Inbound报文； 禁止通过： 其他安全区域间的所有方向都禁止报文通过。 USG2200/USG5100 BSR/HSR缺省出厂配置： 允许通过: 所有安全区域间的所有方向的报文 可以通过以下命令配置域间缺省包过滤 firewall packet-filter default { permit | deny } all [ direction { inbound | outbound } ] 根据对安全性的要求进行配置，如果开启缺省包过滤会造成没有匹配具体安全策略的数据流都允许通过设备。一般情况下建议保持关闭，然后配置具体允许哪些数据流通过的安全策略。 举例： policy zone trust policy 0 action deny policy service service-set ftp policy source 0 policy destination 0 在域内安全策略视图下执行policy policy-id { enable | disable }，启用或者禁用一条策略。 在基于基本或高级ACL的接口包过滤中，inbound指接口收到的报文，outbound指接口发送的报文。在基于MAC地址的包过滤中，只支持inbound一个方向，即只对接口收到的报文进行过滤。在硬件包过滤中，只支持inbound一个方向，即只对接口收到的报文进行过滤。 每个接口只能应用一条ACL。如果重复配置，新配置的ACL将覆盖旧的ACL。 ACL定义的数据流有很大区别： 基本ACL2000～2999仅使用源地址信息进行流量匹配。 高级ACL3000～3999可以使用数据包的源地址、目的地址、IP承载的协议类型、源端口、目的端口等5元组信息进行流量匹配。 基于MAC地址ACL4000～4999主要用于对以太网等数据链路层协议帧头中的源MAC地址、目的MAC