安全策略基础演示文稿.ppt

DCFOS系统拥有一个全局地址簿。用户需要为全局地址簿定义地址条目。在定义地址条目时，DNS名称可以直接用来代替IP地址范围。已经配置好IP地址的接口也会作为地址条目自动添加到地址簿中，方便用户做NAT时使用。地址条目还具有以下特点： 每一个地址簿中都有一条默认条目“Any”。“Any”对应的IP地址是/0，也就是代表所有IP地址。“Any”不可以编辑也不可以被删除。 不同VSwitch或者VRouter地址簿中的地址条目允许同名。 一条地址条目中可以包含同一地址簿中另外的地址条目。 如果地址条目的IP地址范围发生了变化，DCFOS会自动更新其它引用了该地址条目的模块。 在DCFOS系统中，地址条目的IP地址范围是其成员IP地址范围的总和。地址条目成员有以下几种： IP地址：包括两种类型，一种为“IP地址/子网掩码”，如/24；另一种为“IP地址 通配符掩码”，如 55 主机名称，如 IP地址段，如 – 00 同一地址簿中的其它地址条目 在地址配置模式下，使用ip命令来为地址条目添加指定IP地址范围成员。用该命令no的形式删除指定成员。 ip ip-address {netmask | wildcardmask} ip-address – 指定IP成员的IP地址。 netmask | wildcardmask – 指定子网掩码（netmask）或者通配符掩码（wildcardmask）。DCFOS不支持掩码转换为二进制后，其位数里从右往左第一个“1”左边的“0”的个数超过8个的通配符掩码（“0”可以连续也可以不连续），比如55是无效的通配符掩码；和等都为有效的通配符掩码。 no ip ip-address {netmask | wildcardmask} 在地址配置模式下，用host命令来为地址条目添加主机类型成员。用该命令no的形式删除指定成员。 host host-name no host host-name 在地址配置模式下，用range命令来为地址条目添加IP地址段成员。用该命令no的形式删除指定成员。 range min-ip [max-ip] no range min-ip [max-ip] 在地址配置模式下，用member命令为地址条目添加另一地址条目。用该命令no的形式删除指定条目。 member address-entry no member address-entry 另外，用户为地址条目指定参考域，方便地址条目的配置。为地址条目指定参考域，在地址配置模式下使用以下命令： reference-zone zone-name zone-name – 指定参考域的名称。 在地址条目配置模式下使用no reference-zone命令取消参考域的指定。 服务（Service）是具有协议标准的信息流。服务具有一定的特征，例如相应的协议、端口号等，举例来讲，FTP服务使用TCP传输协议，其目的端口号是21。服务是DCFOS多个功能模块配置的重要组成元素，例如策略规则和网络地址转换规则等。DCFOS提供了百余种预定义服务以及10余种预定义服务组（Service Group），同时用户也可以根据自己的需要创建自定义服务或服务组。DCFOS用服务簿来储存和管理这些服务和服务组。服务簿中的每一条服务包含具体的服务条目。 DCFOS提供百余种预定义服务。系统按字母顺序列出所有预定义服务及其端口号和具体描述。其中带星号（“*”）的预定义服务为一些P2P或者IM服务，能够实现P2P和IM限制。进行配置时，这些带星号的服务应区别于其它服务，单独配置。 预定义服务组中包含相关的预定义服务，可方便用户配置。DCFOS提供10余种预定义服务组。用户可以查看和使用预定义服务组，但是不能编辑和删除预定义服务组。 除了使用DCFOS提供的预定义服务以外，用户还可以很容易地创建自己的自定义服务。用户自定义服务可包含最多8条服务条目。用户需指定的自定义服务条目的参数包括： 名称 传输协议 TCP或UDP类型服务的源和目标端口号或者ICMP类型服务的type和code值 超时时间 应用类型 DCFOS4.0以上的版本支持基于安全域的策略和全局策略两种模式，默认处于基于安全域的策略模式。 策略规则是基于两个安全域建立的，因此定义策略规则要在指定的两个安全域的策略配置模式下进行。在CLI中进入策略配置模式，请在全局配置模式下输入以下命令： policy from src-zone to dst-zone src-zone – 流量的源安全域。 dst-zone – 流量的目标安全域。 注意：源安全域和目标安全域必须在同一层（二层或者三层）。如果两个都是第二层域，则必须在同一个VSwitch中。 安全策略基础 通过完成此章节课程，您将可以： - 理解安全策