您的当前位置：首页 USG3000 统一安全网关配置指南01-09 配置安全策略

USG3000 统一安全网关配置指南01-09 配置安全策略

来源：意榕旅游网

Secoway USG3000

配置指南安全防范分册

9 配置安全策略...............................................................................................................................9-1

9.1 简介..............................................................................................................................................................9-3

9.1.1 安全区域概述.....................................................................................................................................9-3 9.1.2 会话表概述........................................................................................................................................9-3 9.1.3 长连接概述........................................................................................................................................9-4 9.1.4 分片缓存概述.....................................................................................................................................9-4 9.1.5 包过滤概述........................................................................................................................................9-5 9.1.6 攻击防范与报文统计概述.................................................................................................................9-5 9.1.7 ASPF概述...........................................................................................................................................9-6 9.1.8 黑名单概述........................................................................................................................................9-8 9.1.9 MAC和IP地址绑定概述..................................................................................................................9-8 9.1.10 端口识别概述...................................................................................................................................9-9 9.2 配置安全区域..............................................................................................................................................9-9

9.2.1 建立配置任务.....................................................................................................................................9-9 9.2.2 配置安全区域...................................................................................................................................9-10 9.2.3 检查配置结果...................................................................................................................................9-10 9.3 配置会话表老化时间................................................................................................................................9-11

9.3.1 建立配置任务...................................................................................................................................9-11 9.3.2 配置会话表老化时间.......................................................................................................................9-11 9.3.3 检查配置结果...................................................................................................................................9-12 9.4 配置长连接................................................................................................................................................9-12

9.4.1 建立配置任务...................................................................................................................................9-12 9.4.2 配置长连接功能...............................................................................................................................9-13 9.5 配置分片缓存............................................................................................................................................9-14

9.5.1 建立配置任务...................................................................................................................................9-14 9.5.2 配置分片缓存功能...........................................................................................................................9-15 9.5.3 配置分片报文直接转发功能...........................................................................................................9-15 9.6 配置包过滤................................................................................................................................................9-15

9.6.1 建立配置任务...................................................................................................................................9-15 9.6.2 配置域间缺省包过滤规则...............................................................................................................9-16

文档版本 02 (2009-02-15)

华为所有和机密

Secoway USG3000配置指南安全防范分册

9.6.3 配置域间包过滤规则.......................................................................................................................9-16 9.6.4 检查配置结果...................................................................................................................................9-17

9.7 配置攻击防范............................................................................................................................................9-17

9.7.1 建立配置任务...................................................................................................................................9-17 9.7.2 启用丢弃分片报文功能...................................................................................................................9-18 9.7.3 启用攻击防范功能...........................................................................................................................9-18 9.7.4 配置Flood类攻击防范参数...........................................................................................................9-20 9.7.5 配置基于会话的攻击防范参数.......................................................................................................9-22 9.7.6 配置扫描类攻击防范参数...............................................................................................................9-23 9.7.7 配置超大ICMP报文控制参数.......................................................................................................9-23 9.7.8 检查配置结果...................................................................................................................................9-24 9.8 配置连接数限制和新建连接速率限制和带宽限制................................................................................9-24

9.8.1 建立配置任务...................................................................................................................................9-24 9.8.2 配置全局连接数和比例监控...........................................................................................................9-26 9.8.3 配置连接数限制...............................................................................................................................9-26 9.8.4 配置新建连接速率限制...................................................................................................................9-27 9.8.5 配置H.323流量带宽保证...............................................................................................................9-27 9.8.6 配置特定数据流流量带宽保证.......................................................................................................9-27 9.8.7 配置对其他数据流的流量限制.......................................................................................................9-27 9.9 配置ASPF.................................................................................................................................................9-28

9.9.1 建立配置任务...................................................................................................................................9-28 9.9.2 配置域间应用ASPF........................................................................................................................9-28 9.9.3 配置域内应用ASPF........................................................................................................................9-29 9.10 配置三元组ASPF...................................................................................................................................9-30

9.10.1 建立配置任务.................................................................................................................................9-30 9.10.2 启用三元组ASPF..........................................................................................................................9-30 9.11 配置静态黑名单......................................................................................................................................9-31

9.11.1 建立配置任务.................................................................................................................................9-31 9.11.2 配置静态黑名单功能.....................................................................................................................9-32 9.11.3 检查配置结果.................................................................................................................................9-32 9.12 动态插入黑名单......................................................................................................................................9-32

9.12.1 建立配置任务.................................................................................................................................9-32 9.12.2 启用动态黑名单功能.....................................................................................................................9-33 9.13 绑定黑名单和ACL.................................................................................................................................9-33

9.13.1 建立配置任务.................................................................................................................................9-33 9.13.2 配置黑名单和ACL绑定...............................................................................................................9-34 9.14 绑定MAC和IP地址.............................................................................................................................9-34

9.14.1 建立配置任务.................................................................................................................................9-34 9.14.2 配置MAC和IP地址绑定............................................................................................................9-35

华为所有和机密

文档版本 02 (2009-02-15)

Secoway USG3000

配置指南安全防范分册

9.14.3 检查配置结果.................................................................................................................................9-36 9.15 配置端口识别..........................................................................................................................................9-36

9.15.1 建立配置任务.................................................................................................................................9-36 9.15.2 配置端口识别.................................................................................................................................9-37 9.15.3 检查配置结果.................................................................................................................................9-38 9.16 维护..........................................................................................................................................................9-38

9.16.1 查看统一安全网关的会话信息.....................................................................................................9-38 9.16.2 清除统一安全网关的会话表项、分片表.....................................................................................9-38 9.16.3 调试统一安全网关包过滤.............................................................................................................9-39 9.16.4 调试统一安全网关攻击防范功能.................................................................................................9-39 9.16.5 查看统一安全网关统计信息.........................................................................................................9-40 9.16.6 清除统一安全网关统计信息.........................................................................................................9-41 9.16.7 调试ASPF......................................................................................................................................9-41 9.16.8 调试统一安全网关黑名单.............................................................................................................9-41 9.16.9 调试MAC和IP地址绑定............................................................................................................9-41 9.17 配置举例..................................................................................................................................................9-42

9.17.1 配置安全区域示例.........................................................................................................................9-42 9.17.2 配置会话老化时间示例.................................................................................................................9-43 9.17.3 配置Land攻击防范示例..............................................................................................................9-45 9.17.4 配置基于IP地址的SYN Flood攻击防范示例...........................................................................9-47 9.17.5 配置基于接口的ARP Flood攻击防范示例.................................................................................9-49 9.17.6 配置地址扫描攻击防范示例.........................................................................................................9-50 9.17.7 配置超大ICMP报文控制示例.....................................................................................................9-52 9.17.8 配置基于安全区域的连接数限制示例.........................................................................................9-53 9.17.9 配置基于安全区域的H.323流量带宽保证示例.........................................................................9-55 9.17.10 配置ASPF示例...........................................................................................................................9-58 9.17.11 配置三元组ASPF示例...............................................................................................................9-60 9.17.12 配置静态黑名单示例...................................................................................................................9-62 9.17.13 配置动态黑名单示例...................................................................................................................9-63 9.17.14 配置MAC和IP地址绑定示例..................................................................................................9-63 9.17.15 配置端口识别示例.......................................................................................................................9-65

文档版本 02 (2009-02-15)

华为所有和机密

iii

Secoway USG3000

配置指南安全防范分册

插图目录

图9-1 报文统计典型应用组网图.....................................................................................................................9-6 图9-2 安全区域典型配置举例组网图...........................................................................................................9-42 图9-3 会话老化时间配置举例组网图...........................................................................................................9-44 图9-4 统一安全网关攻击防范功能配置组网图...........................................................................................9-46 图9-5 基于安全区域的连接数量监控组网图...............................................................................................9-54 图9-6 ASPF配置案例组网图.........................................................................................................................9-58 图9-7 三元组ASPF典型配置举例...............................................................................................................9-61 图9-8 黑名单过滤的组网图...........................................................................................................................9-62 图9-9 地址绑定配置组网图...........................................................................................................................9-64 图9-10 端口识别配置案例组网图.................................................................................................................9-65

文档版本 02 (2009-02-15)

华为所有和机密

Secoway USG3000

配置指南安全防范分册

表格目录

表9-1 报文转发规则........................................................................................................................................9-4 表9-2 包过滤规则............................................................................................................................................9-5 表9-3 地址绑定与静态ARP的创建原则.....................................................................................................9-36

文档版本 02 (2009-02-15)

华为所有和机密

vii

Secoway USG3000

配置指南安全防范分册 9 配置安全策略

9 关于本章

本章描述内容如下表所示。标题 9.1 简介

内容

9.2 配置安全区域

配置安全策略

介绍安全区域、会话表、长连接、分片缓存、包过滤、攻击防范与报文统计、ASPF、黑名单、MAC和IP地址绑定和端口识别的基本概念。介绍安全区域的配置方法。配置举例：配置安全区域示例

9.3 配置会话表老化时间介绍会话表老化时间的配置方法。配置举例：配置会话老化时间示例

9.4 配置长连接 9.5 配置分片缓存 9.6 配置包过滤 9.7 配置攻击防范

介绍长连接的配置方法。

介绍分片缓存和分片报文直接转发的配置方法。介绍包过滤的配置方法。介绍攻击防范的配置方法。配置举例：配置Land攻击防范示例

配置举例：配置基于IP地址的SYN Flood攻击防范示例

配置举例：配置基于接口的ARP Flood攻击防范示例配置举例：配置地址扫描攻击防范示例配置举例：配置超大ICMP报文控制示例

文档版本 02 (2009-02-15)

华为所有和机密

9-1

9 配置安全策略

Secoway USG3000配置指南安全防范分册

标题

9.8 配置连接数限制和新建连接速率限制

内容

介绍连接数限制和新建连接速率限制的配置方法。配置举例：配置基于安全区域的连接数限制示例配置举例：配置基于安全区域的H.323流量带宽保证示例

9.9 配置ASPF 介绍ASPF的配置方法。配置举例：配置ASPF示例

9.10 配置三元组ASPF 介绍三元组ASPF的配置方法。配置举例：配置三元组ASPF示例

9.11 配置静态黑名单介绍静态黑名单的配置方法。配置举例：配置静态黑名单示例

9.12 动态插入黑名单介绍动态黑名单功能的配置方法。配置举例：配置动态黑名单示例

9.13 绑定黑名单和ACL 9.14 绑定MAC和IP地址

介绍在黑名单中绑定ACL配置方法。介绍MAC和IP地址绑定的配置方法。配置举例：配置MAC和IP地址绑定示例

9.15 配置端口识别介绍端口识别的配置方法。配置举例：配置端口识别示例

9.16 维护 9.17 配置举例

介绍安全策略的维护方法。介绍安全策略的组网举例。

9-2

华为所有和机密

文档版本 02 (2009-02-15)

Secoway USG3000

配置指南安全防范分册 9 配置安全策略

9.1 简介

9.1.1 安全区域概述

统一安全网关将网络划分为内部网络和外部网络，保护内部网络不受来自外部网络的恶意侵害。由此统一安全网关提出安全区域的概念，为属于不同安全区域的用户提供不同级别的安全保障。根据实际组网需要，自行创建安全区域并定义其安全优先级。

安全优先级

安全区域通过安全优先级来表示其安全级别，安全优先级有如下特点：

z z

安全级别通过安全优先级表示，数字越大表示安全级别越高。不存在两个具有相同安全级别的安全优先级。

缺省安全区域

统一安全网关缺省保留四个安全区域，按照安全优先级从低到高分别是：

非受信区域Untrust

低安全级别的安全区域，安全优先级为5。非军事化区域DMZ（Demilitarized Zone）中等安全级别的安全区域，安全优先级为50。受信区域Trust

较高安全级别的安全区域，安全优先级为85。本地区域Local

最高安全级别的安全区域，安全优先级为100。

这四个区域无需创建，也不能删除，同时各安全区域的安全优先级也不能重新设置。对于DMZ区域的解释如下：

DMZ这一术语起源于军方，指的是介于严格的军事管制区和松散的公共区域之间的有着部分管制的区域。

统一安全网关引用了DMZ，用来表示一个逻辑上和物理上都与内部网络和外部网络分离的区域。DMZ一般用来放置对外提供网络服务的设备，如WWW Server、FTP Server。 DMZ很好地解决了服务器的放置问题。上述服务器如果放置于外部网络，则统一安全网关无法保障它们的安全；如果放置于内部网络，外部恶意用户则有可能利用某些服务的安全漏洞攻击内部网络。

9.1.2 会话表概述

统一安全网关采用会话表来维持通信状态。会话表由如下五个元素组成：

文档版本 02 (2009-02-15)

华为所有和机密

9-3

9 配置安全策略

z z z z z

Secoway USG3000配置指南安全防范分册

源IP地址源端口号目的IP地址目的端口号协议号

当统一安全网关收到报文后，将报文头内相关信息与会话表作比较，并根据比较结果进行后续操作。统一安全网关的报文转发规则如表9-1所示。表9-1 报文转发规则条件1

报文相关信息匹配会话表报文相关信息不匹配会话表

条件2 -

域间包过滤规则配置为允许该数据流通过

域间包过滤规则配置为拒绝该数据流通过

未匹配到域间包过滤规则

操作转发该报文

转发该报文，并创建会话表表项

丢弃该报文，不予转发根据缺省域间包过滤规则处理该报文

9.1.3 长连接概述

实际应用中，统一安全网关某些会话的老化时间相对较短，而对应数据流需要长时间不被老化。为解决这一矛盾，统一安全网关提出长连接特性。

长连接功能用于设置特定数据流的超长老化时间。该数据流由ACL确定。数据流的老化时间不受全局老化时间限制。

9.1.4 分片缓存概述

网络设备传输报文时，如果设备上配置的MTU小于报文长度，则会将报文分片后再发送。

理想传输过程中，各分片报文将按照固定的先后顺序在网络中传输。

实际传输过程中，可能存在首片分片报文不是第一个到达统一安全网关的现象。在未进行分片报文缓存时，统一安全网关将丢弃该系列分片报文。

为保证会话的正常进行，统一安全网关增加分片缓存功能，来保证会话的正常进行。其工作过程如下：

步骤 1 将先于首片分片报文到达的后续分片报文存于分片缓存。步骤 2 首片分片报文到达后再进行转发。

----结束

9-4

华为所有和机密

文档版本 02 (2009-02-15)

Secoway USG3000

配置指南安全防范分册 9 配置安全策略

如果在一定时间内（默认5s）首片分片报文无法到达统一安全网关，存于分片缓存的后续分片报文将被丢弃。

9.1.5 包过滤概述

只有当数据在两个安全区域之间流动时，才会激活统一安全网关的安全规则检查功能。包过滤即是统一安全网关安全规则检查的重要组成部分。包过滤功能实现对IP报文的过滤，工作过程如下：

步骤 1 对于需要转发的报文，统一安全网关先获取报文头信息，包括IP层所承载的上层协议

的协议号、报文的源地址、目的地址、源端口号和目的端口号。步骤 2 将报文头信息和设定的ACL规则进行比较。

步骤 3 根据比较结果，按照ACL设定的动作，允许或拒绝对报文的转发。

----结束

包过滤规则如表9-2所示。表9-2 包过滤规则条件1

域间包过滤规则允许报文通过域间包过滤规则拒绝报文通过未匹配到域间包过滤规则

域间包过滤规是通过在域间绑定具体的ACL规则实现的；缺省域间包过滤规则只能配置允许所有报文通过还是拒绝所有报文通过。

条件2 - -

缺省域间包过滤规则允许报文通过缺省域间包过滤规则拒绝报文通过

结果转发该报文丢弃该报文转发该报文丢弃该报文

9.1.6 攻击防范与报文统计概述

攻击防范概述

通常的网络攻击，是侵入或破坏网上的服务器（主机），盗取服务器的敏感数据或干扰破坏服务器对外提供的服务。也有直接破坏网络设备的网络攻击，这种攻击影响较大，会导致网络服务异常，甚至中断。统一安全网关的攻击防范功能能够检测出多种类型的网络攻击，并能采取相应的措施保护内部网络免受恶意攻击，保证内部网络及系统的正常运行。

文档版本 02 (2009-02-15)

华为所有和机密

9-5

9 配置安全策略

Secoway USG3000配置指南安全防范分册

报文统计概述

对于统一安全网关来说，不仅要对数据流量进行监控，还要对内外部网络之间的连接发起情况进行检测，因此要进行大量的统计、计算与分析。统一安全网关对报文统计结果的分析有如下两个方面：

z z

专门的分析软件事后分析日志信息。统一安全网关实时完成一部分分析功能。

通过对报文统计分析，统一安全网关实现了对内部网络的保护。如：

通过分析外部网络向内部网络发起的TCP或UDP连接总数是否超过设定的阈值，可以确定是否需要限制该方向的新连接发起，或者限制向内部网络某一IP地址发起新连接。

通过分析发现系统的总连接数超过阈值，则可以加快系统的连接老化速度，以保证新连接能够正常建立，防止因系统太忙而导致拒绝服务情况的发生。

图9-1是统一安全网关的一个典型应用，当启动了外部网络到DMZ区域的基于IP地址的统计分析功能时，如果外部网络对Web服务器129.9.0.1发起的TCP连接数超过了设定的阈值，将限制外部网络向该服务器发起新连接，直到连接数降到正常的范围。图9-1 报文统计典型应用组网图

PCPC启动统计功能USG3000Untrust公司内部网络TCP连接PCTrustServer

DMZ

9.1.7 ASPF概述

ASPF介绍

只有当数据在两个安全区域之间流动时，才会激活统一安全网关的安全规则检查功能。ASPF（Application Specific Packet Filter）是统一安全网关安全规则检查的重要组成部分。 ASPF是针对应用层的包过滤，即基于状态的报文过滤。ASPF和ACL协同工作，以便实施内部网络的安全策略。ASPF能够检测试图通过统一安全网关的应用层协议会话信

9-6

华为所有和机密

文档版本 02 (2009-02-15)

Secoway USG3000

配置指南安全防范分册 9 配置安全策略

息，通过维护会话的状态和检查会话报文的协议和端口号等信息，允许特定的数据报文通过。

ASPF能对如下协议进行监测：

z z z z z z z z z z z z z z

FTP（File Transfer Protocol） H.323

HTTP（Hyper Text Transport Protocol） HWCC（HuaWei Conference Control protocol） ILS（Internet Location Service）

MGCP（Media Gateway Control Protocol） MMS（Microsoft Media Server） MSN

PPTP（Point-to-Point Tunneling Protocol） QQ

RTSP（Real-Time Streaming Protocol） SIP（Session Initiation Protocol） SMTP（Simple Mail Transfer Protocol） SQLNET

ASPF还提供以下功能：

Java Blocking（Java阻断）

保护网络不受有害Java Applets的破坏 ActiveX Blocking（ActiveX阻断）保护网络不受有害ActiveX的破坏

对于FTP协议，还支持域内ASPF功能，对通过某个安全区域的数据流进行检测。

QQ/MSN聊天的检测

目前，为了节省有限的IP地址资源，绝大部分网络均部署了NAT设备提供地址转换。对于纯文本聊天，由于在QQ/MSN服务器中保存了聊天用户的地址映射信息，信息交互可以顺利地通过QQ/MSN服务器中转。

聊天用户可能传送文件或进行音频/视频聊天，如果QQ/MSN服务器中转此类报文将消耗过大资源，无法保证对纯文本聊天报文的正常中转。QQ/MSN服务器希望两个私网用户可以通过NAT设备直接交互大流量的文件/音频/视频信息，但是由于一般NAT设备需要转换聊天用户的地址信息，无法实现该需求。

配置统一安全网关NAT功能时，可以在相关域间启动QQ/MSN检测功能，统一安全网关在QQ/MSN聊天启动时则会创建地址映射关系，从而允许两个私网用户直接传送文件和进行音频/视频聊天。

文档版本 02 (2009-02-15)

华为所有和机密

9-7

9 配置安全策略

Secoway USG3000配置指南安全防范分册

三元组ASPF

统一安全网关相当于一个五元组的NAT设备，即统一安全网关上的每个会话的建立都需要五元组：源IP地址、源端口、目的IP地址、目的端口、协议号。只有这些元素都具备了，会话才能建立成功，报文才能通过。

而一些实时通讯工具，如QQ、MSN等，通过NAT设备，需要按三元组处理：源IP地址、源端口、协议号。统一安全网关为了适配类似QQ、MSN等通讯机制，支持三元组处理方式，让类似QQ、MSN等的通讯工具能够正常的穿越。

除QQ、MSN穿越NAT设备外，其他仅使用源IP地址、源端口、协议号的会话，如TFTP，同样需要配置统一安全网关三元组ASPF。

9.1.8 黑名单概述

黑名单是统一安全网关一个重要的安全特性，它是一个IP地址列表，如果用户的IP地址匹配黑名单的IP地址，统一安全网关将丢弃来自该用户的所有报文。黑名单的特点是允许动态地添加或删除。同基于ACL的包过滤功能相比，由于黑名单仅对IP地址进行匹配，可以以较高的速度实现黑名单表项匹配，从而快速有效地屏蔽特定IP地址的用户。

创建黑名单表项，有如下两种方式：

z z

通过命令行手工创建。

通过统一安全网关攻击防范模块或IDS模块动态创建。

统一安全网关动态创建黑名单的工作过程如下：

步骤 1 根据报文的行为特征检测到来自特定IP地址的攻击企图。步骤 2 自动将这一特定IP地址插入黑名单表项。

步骤 3 统一安全网关根据黑名单丢弃从该IP地址发送的报文，从而保障网络安全。

----结束

通过在黑名单中引用高级ACL，可绑定黑名单和高级ACL，根据高级ACL规则确定是否允许该报文通过。对于ACL规则拒绝的流量进行丢弃，而ACL规则允许的流量则允许通过。

9.1.9 MAC和IP地址绑定概述

MAC和IP地址绑定，指统一安全网关可以根据用户的配置，在IP地址和MAC地址之间形成关联关系。

MAC和IP地址绑定是避免IP地址假冒攻击的一种有效手段：

源地址为这个IP地址的报文，如果其MAC地址不是指定关系对中的MAC地址，统一安全网关将予以丢弃。

目的地址为这个IP地址的报文，将被强制发送到MAC-IP地址关联关系中，该IP地址对应的MAC地址。

9-8

华为所有和机密

文档版本 02 (2009-02-15)

Secoway USG3000

配置指南安全防范分册 9 配置安全策略

9.1.10 端口识别概述

应用层协议一般使用知名端口号进行通信。端口识别允许用户针对不同的应用在知名端口号之外定义一组新的端口号。端口识别提供了一些机制来维护和使用用户定义的端口配置信息。

端口识别能够对不同的应用协议创建和维护一张系统定义（system-defined）和用户定义（user-defined）的端口识别表。

统一安全网关支持基于基本ACL的主机端口识别。这种主机端口识别是对去往某些特定主机的报文建立自定义端口号和应用协议的识别。例如：将去往10.110.0.0网段的主机使用8080端口的TCP报文识别为HTTP报文。主机的范围可由基本ACL指定。

9.2 配置安全区域

9.2.1 建立配置任务

应用环境

配置统一安全网关业务功能前，需要首先配置统一安全网关的安全区域。

前置任务

在配置安全区域前，需要完成以下任务：

z z

（可选）配置统一安全网关工作模式（可选）配置接口的IP地址

只允许在路由模式或混合模式下配置接口的IP地址。

数据准备

在配置安全区域前，需要准备以下数据。序号 1 2 3

数据

安全区域的名称安全区域的优先级别接口类型和接口编号

配置过程

要完成安全区域的配置，需要按照以下过程配置。

文档版本 02 (2009-02-15)

华为所有和机密

9-9

9 配置安全策略

Secoway USG3000配置指南安全防范分册

序号 1 2

过程配置安全区域检查配置结果

9.2.2 配置安全区域

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令firewall zone [ name ] zone-name，创建安全区域，并进入相应安全区域视图。

执行firewall zone命令时，存在如下两种情况：

z z

安全区域已经存在，不必配置关键字name，直接进入安全区域视图。

安全区域不存在，需要配置关键字name，创建安全区域，并进入安全区域视图。

系统预定义了Local、Trust、DMZ和Untrust四个安全区域。此四个区域无需创建，也

不能删除。

步骤 3 执行命令set priority security-priority，配置安全区域的安全级别。

配置安全区域的安全级别时，需要遵循如下原则：

z z z

只能为自定义的安全区域设定安全级别。安全级别一旦设定，不允许更改。

同一系统中，两个安全区域不允许配置相同的安全级别。

步骤 4 执行命令add interface interface-type interface-number，配置接口加入安全区域。

配置接口加入安全区域时，需要遵循如下原则：

z z z

接口只能被加入除Local安全区域以外的安全区域。加入安全区域的接口可以是物理接口，也可以是逻辑接口。加入一个安全区域的接口数不大于1024。

步骤 5 （可选）执行命令description text，设置该域的描述信息，便于用户识别。

----结束

9.2.3 检查配置结果

完成上述配置后，请执行下面的命令检查配置结果。操作

查看安全区域的配置信息查看安全域间的配置信息

命令

display zone [ zone-name ] [ interface | priority ] display interzone [ zone-name1 zone-name2 ]

9-10

华为所有和机密

文档版本 02 (2009-02-15)

Secoway USG3000

配置指南安全防范分册 9 配置安全策略

9.3 配置会话表老化时间

9.3.1 建立配置任务

应用环境

当统一安全网关缺省的会话表老化时间不能满足现有网络的需求时，即可重新设置，或启用统一安全网关会话表的加速老化功能。

前置任务

在配置会话表老化时间前，需要完成以下任务：

z z z z

（可选）配置统一安全网关的工作模式（可选）配置接口的IP地址配置接口加入安全区域配置相关应用协议的ASPF

只允许在路由模式或混合模式下配置接口的IP地址。

数据准备

在配置会话表老化时间前，需要准备以下数据。序号 1 2

数据协议名老化时间

配置过程

要完成会话表老化时间的配置，需要按照以下过程配置。序号 1 2

过程

配置会话表老化时间检查配置结果

9.3.2 配置会话表老化时间

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令firewall session aging-time { esp | dns | fin-rst | fragment | ftp | ftp-data | h225 |

文档版本 02 (2009-02-15)

华为所有和机密

9-11

9 配置安全策略

Secoway USG3000配置指南安全防范分册

mgcp-rtp | mms | mms-data | msn | netbios-name | netbios-data | netbios-session | pptp | qq | ras | rtcp | rtp | rtsp | sip | sip-rtcp | sip-rtp | smtp | sqlnet | sqlnet-data | syn | tcp | telnet | udp | user-define } interval，配置会话表老化时间。

步骤 3 执行命令firewall session aging-time accelerate enable，打开统一安全网关会话表项加速

老化功能。

配置时请注意：

普通会话表项数超过150000条或长连接会话表项超过4000条时，统一安全网关自动启用会话表项加速老化功能。

会话表项加速老化功能启动之后，表项的老化按照系统缺省设置时间和用户设定的时间之中比较短的为准进行。

由于用于MSN会话的端口的缺省空闲超时时间相对较短，会话表项老化后，MSN会话的连接将会断开，会话无法完成。建议配置MSN的空闲超时时间为1800s。

----结束

9.3.3 检查配置结果

完成上述配置后，请执行下面的命令检查配置结果。操作

查看会话表的老化时间

命令

display firewall session aging-time

9.4 配置长连接

9.4.1 建立配置任务

应用环境

这项特殊业务与目前业界的状态防火墙的实现机制存在矛盾。

为保证内部网络的安全，统一安全网关上的各会话缺省老化时间都相对较短，例如：缺省情况下，TCP的老化时间为600s。

正常情况下，当一个TCP会话的两个连续报文到达统一安全网关的时间间隔大于该会话的老化时间时，为保证网络的安全性，统一安全网关将从会话表中删除相应会话信息。后续报文到达统一安全网关后，统一安全网关根据自身的转发机制，丢弃该报文，导致连接中断。

在实际应用中，用户需要查询服务器上的数据，这些查询时间间隔远大于TCP的会话老化时间。此时需要在统一安全网关上保持TCP连接一段相对较长的时间。当某会话的报文长时间没有到达统一安全网关后再次到达时，仍然能够通过统一安全网关。当统一安全网关需要支持网管等服务时，需要配置长连接功能。

9-12

华为所有和机密

文档版本 02 (2009-02-15)

Secoway USG3000

配置指南安全防范分册 9 配置安全策略

前置任务

在配置长连接功能前，需要完成以下任务：

z z z z z

（可选）配置统一安全网关的工作模式（可选）配置接口的IP地址配置接口加入安全区域（可选）配置地址集（可选）配置端口集

不能配置工作于透明模式下的接口的IP地址。

数据准备

在配置长连接功能前，需要准备以下数据。序号 1 2 3

数据

应用长连接的ACL相关参数协议名TCP 应用长连接的安全域间方向长连接的老化时间

9.4.2 配置长连接功能

USG3000只针对TCP数据流做长连接操作。

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令acl [ number ] acl-number [match-order { config | auto } ]，创建高级ACL，并

进入相应视图。步骤 3 执行命令rule [ rule-id ] { permit | deny } tcp

[ source { source-address source-wildcard | address-set address-set-name | any } |

destination { destination-address destination- wildcard | address-set address-set-name | any } | source-port { operator port | range port1 port2 | port-set port-set-name } | destination-port { operator port | range port1 port2 | port-set port-set-name } | precedence precedence | tos tos | time-range time-name | logging ] * 配置高级ACL规则。

建议不要配置源地址或目的地址范围过大的ACL规则，以防影响统一安全网关的性能。

步骤 4 执行命令quit，退回系统视图。

步骤 5 执行命令firewall long-link aging-time interval，配置长连接的老化时间。

文档版本 02 (2009-02-15)

华为所有和机密

9-13

9 配置安全策略

Secoway USG3000配置指南安全防范分册

步骤 6 执行命令firewall interzone zone-name1 zone-name2，进入安全域间视图。步骤 7 执行命令firewall long-link acl-number { inbound | outbound }，配置长连接功能。

----结束

安全域间的入域方向和出域方向可以关联不同的ACL规则。

在统一安全网关的安全域间，重新配置长连接功能时，新配置将覆盖原有配置。在安全域间配置长连接功能后，可以修改引用的ACL。此时，统一安全网关将针对匹配新ACL的数据流做长连接操作。

删除长连接ACL时，统一安全网关会同时清除对应的长连接操作。

9.5 配置分片缓存

9.5.1 建立配置任务

应用环境

当报文在网络传输过程中分片后，如果首片分片报文在其他分片报文后到达，则统一安全网关将丢弃该报文。

为防止此类现象发生，保证会话不中断，请配置统一安全网关的分片缓存功能。

前置任务

在配置分片缓存功能前，需要完成以下任务：

z z z

（可选）配置统一安全网关的工作模式（可选）配置接口的IP地址配置接口加入安全区域

只允许在路由模式或混合模式下配置接口的IP地址。

数据准备

配置分片缓存功能前，需要准备以下数据。序号 1 2 3

数据 ACL组号

允许缓存一个报文的最大分片数允许缓存的最大分片报文总数

9-14

华为所有和机密

文档版本 02 (2009-02-15)

Secoway USG3000

配置指南安全防范分册 9 配置安全策略

9.5.2 配置分片缓存功能

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令firewall fragment-cache enable [ acl acl-number ]，启用报文分片缓存功能。步骤 3 （可选）执行命令firewall fragment-cache max-number one-packet number，设置一个报

文的最大分片缓存数。步骤 4 （可选）执行命令firewall fragment-cache max-number total number，设置系统能缓存的

最大分片报文数。

----结束

缺省情况下，一个报文的最大分片数是10，系统能缓存的最大分片报文数是2000。当需要修改这两个数时，请分别执行步骤 3和步骤 4。

9.5.3 配置分片报文直接转发功能

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令firewall fragment-forward enable，启用分片报文直接转发功能。

----结束

分片报文直接转发功能不用于NAT组网。启用该功能后，统一安全网关将收到的分片报文直接转发出去，不创建分片散列表。

9.6 配置包过滤

9.6.1 建立配置任务

应用环境

当需要对通过统一安全网关的数据流进行限制时，可配置包过滤。

前置任务

在配置包过滤前，需要完成以下任务：

z z z

（可选）配置统一安全网关的工作模式（可选）配置接口的IP地址配置接口加入安全区域

只允许在路由模式或混合模式下配置接口的IP地址。

文档版本 02 (2009-02-15)

华为所有和机密

9-15

9 配置安全策略

Secoway USG3000配置指南安全防范分册

数据准备

在配置包过滤前，需要准备以下数据。序号 1 2 3

数据安全区域名1 安全区域名2 ACL相关参数

配置过程

要完成包过滤功能的配置，需要按照以下过程配置。序号 1 2 3

过程

配置域间缺省包过滤规则配置域间包过滤规则检查配置结果

9.6.2 配置域间缺省包过滤规则

当数据流无法匹配统一安全网关中的ACL时，会按照域间缺省包过滤规则转发或丢弃该数据流的报文。

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令firewall packet-filter default { permit | deny } { all | interzone zone1 zone2 }

[ direction { inbound | outbound } ]，配置域间缺省包过滤规则。

缺省情况下，在统一安全网关所有安全区域间的所有方向都禁止报文通过。 ----结束

9.6.3 配置域间包过滤规则

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令firewall interzone zone-name1 zone-name2，进入安全域间视图。步骤 3 执行命令packet-filter acl-number { inbound | outbound }，配置域间包过滤规则。

域间入方向或出方向的过滤规则仅能分别引用一条ACL。 ----结束

9-16

华为所有和机密

文档版本 02 (2009-02-15)

Secoway USG3000

配置指南安全防范分册 9 配置安全策略

9.6.4 检查配置结果

完成上述配置后，请执行下面的命令检查配置结果。操作

查看域间缺省包过滤规则

命令

display firewall packet-filter default { all | interzone zone1 zone2 }

9.7 配置攻击防范

9.7.1 建立配置任务

应用环境

当需要保护网络或用户不受恶意用户的侵害时，即可配置攻击防范功能。

前置任务

在配置攻击防范功能前，需要完成以下任务：

z z z z z

（可选）配置统一安全网关的工作模式（可选）配置接口的IP地址配置接口加入安全区域配置ACL

配置统一安全网关的域间缺省包过滤规则或域间包过滤规则

只允许在路由模式或混合模式下配置接口的IP地址。

数据准备

配置攻击防范功能前，需要准备以下数据。序号 1 2 3 4 5 6

数据安全区域名称

Flood类攻击防范需要保护的接口、主机IP地址或安全区域名称（可选）IP地址对应的VPN实例 Flood类攻击防范的最大连接速率 Flood类攻击防范的最大连接数 TCP代理的启动状态

文档版本 02 (2009-02-15)

华为所有和机密

9-17

9 配置安全策略

Secoway USG3000配置指南安全防范分册

序号 7 8 9 10

数据

会话类攻击防范的最大会话报文速率扫描类攻击防范的最大扫描速率扫描攻击者加入黑名单的时间超大ICMP攻击防范的最大报文长度

配置过程

要完成各类攻击防范功能的配置，需要按照以下对应过程进行配置。序号 1 2 3 4 5 6 7

过程

启用丢弃分片报文功能启用攻击防范功能配置Flood类攻击防范参数配置基于会话的攻击防范参数配置扫描类攻击防范参数配置超大ICMP报文控制参数检查配置结果

9.7.2 启用丢弃分片报文功能

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令firewall fragment-discard enable，启用丢弃分片报文功能。

----结束

9.7.3 启用攻击防范功能

步骤 1 执行命令system-view，进入系统视图。

步骤 2 根据需要启用的攻击防范功能，执行对应的命令。

执行命令firewall defend all enable，启用所有攻击防范功能。

该命令无法启用ARP Flood攻击防范和UDP指纹识别攻击防范功能。并且undo firewall defend all enable命令不能禁用UDP指纹识别攻击防范，必须执行每种攻击防范对应的命令。

9-18

华为所有和机密

文档版本 02 (2009-02-15)

Secoway USG3000

配置指南安全防范分册 9 配置安全策略

z 执行命令firewall defend arp-flood enable interface { all | interface-type

interface-number } [ max-rate rate-number ]，启用基于接口的ARP Flood攻击防范功能，并且可以同时配置ARP Flood攻击防范报文速率的上限阈值。

z z

rate-number的缺省值为1000包/秒，取值范围为1包/秒～10000包/秒。

如果上限阈值配置为非缺省值后，可以通过执行命令firewall defend arp-flood enable interface { all | interface-type interface-number }来恢复默认配置。

z z z

执行命令firewall defend arp-spoofing enable，启用ARP欺骗攻击防范功能。执行命令firewall defend ip-spoofing enable，启用IP欺骗攻击防范功能。执行命令firewall defend packet-header check enable，启用TCP、UDP、ICMP头部检验功能。

执行命令firewall defend land enable，启用Land攻击防范功能。执行命令firewall defend smurf enable，启用Smurf攻击防范功能。执行命令firewall defend fraggle enable，启用Fraggle攻击防范功能。执行命令firewall defend winnuke enable，启用WinNuke攻击防范功能。执行命令firewall defend syn-flood enable，启用SYN Flood攻击防范功能。执行命令firewall defend icmp-flood enable，启用ICMP Flood攻击防范功能。执行命令firewall defend udp-flood enable，启用UDP Flood攻击防范功能。执行命令firewall defend ddos udp-flood enable，启用UDP指纹识别攻击防范功能。

启用UDP指纹识别攻击防范功能的前提条件是已经启用了UDP Flood攻击防范功能。

z z z z z z z z

z z z

执行命令firewall defend tcp-flood enable，启用TCP Flood攻击防范功能。执行命令firewall defend icmp-redirect enable，启用ICMP重定向报文控制功能。执行命令firewall defend icmp-unreachable enable，启用ICMP不可达报文控制功能。

执行命令firewall defend ip-sweep enable，启用地址扫描攻击防范功能。执行命令firewall defend port-scan enable，启用端口扫描攻击防范功能。

执行命令firewall defend source-route enable，启用带源路由选项IP报文控制功能。执行命令firewall defend route-record enable，启用带路由记录选项IP报文攻击防范功能。

执行命令firewall defend tracert enable，启用Tracert报文控制功能。

执行命令firewall defend ping-of-death enable，启用Ping of Death攻击防范功能。执行命令firewall defend teardrop enable，启用TearDrop攻击防范功能。执行命令firewall defend tcp-flag enable，启用TCP报文标志合法性检测功能。执行命令firewall defend ip-fragment enable，启用IP分片报文检测功能。执行命令firewall defend time-stamp enable，启用带时间戳记录选项IP报文攻击防范功能。

执行命令firewall defend large-icmp enable，启用超大ICMP报文控制功能。执行命令firewall defend ftp-bounce enable，启用FTP Bounce攻击防范功能。

z z z z

z z z z z z

z z

----结束

文档版本 02 (2009-02-15)

华为所有和机密

9-19

9 配置安全策略

Secoway USG3000配置指南安全防范分册

配置时请注意：

z z

请按实际需要启用攻击防范功能，大量冗余配置将导致统一安全网关性能下降。上述命令仅用于启用统一安全网关攻击防范功能。对于Flood类攻击防范、会话类攻击防范、扫描类攻击防范和超大ICMP报文控制功能，还需要进一步配置相关参数，具体请参见“9.7.4 配置Flood类攻击防范参数”、“9.7.5 配置基于会话的攻击防范参数”、“9.7.6 配置扫描类攻击防范参数”和“9.7.7 配置超大ICMP报文控制参数”。统一安全网关工作于透明模式下时，不能配置IP欺骗攻击防范功能。

网络中的某设备启用Tracert报文控制功能，当Tracert报文到达该设备后，将无法获悉该设备及后续网络设备的IP地址。

9.7.4 配置Flood类攻击防范参数

配置攻击防范参数时，如果设置的阈值与正常业务流量值太接近，可能导致统一安全网关对报文的错误统计，请将阈值rate-number设置为正常业务流量的110％～120％。配置时请注意：

Flood类攻击防范的优先级从高到低依次为：

− − −

基于接口的攻击防范基于IP地址的攻击防范基于安全区域的攻击防范

如果高优先级的攻击防范和低优先级的攻击防范功能同时配置，检测参数以高优先级的攻击防范为准。

z z z

Flood类攻击防范最多能够分别对1000个IP地址进行保护。

ARP Flood和SYN Flood攻击防范可以针对某个或全部的入接口进行保护。请根据实际需要，选择配置SYN Flood攻击防范、配置UDP Flood攻击防范或配置ICMP Flood攻击防范。

基本配置

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令firewall zone zone-name，进入目的安全区域视图。

安全区域为受保护安全区域或受保护IP地址所在的安全区域。

步骤 3 执行命令statistic enable ip inzone，配置基于IP的入方向的统计功能。

----结束

9-20

华为所有和机密

文档版本 02 (2009-02-15)

Secoway USG3000

配置指南安全防范分册 9 配置安全策略

配置SYN Flood攻击防范

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令firewall defend syn-flood enable，启用SYN Flood攻击防范功能。步骤 3 执行对应命令，配置SYN Flood攻击防范参数。

请根据实际组网环境配置SYN Flood攻击方法参数：

执行命令firewall defend syn-flood ip ip-address [ vpn-instance vpn-instance-name ] [ max-rate rate-number | max-number max-number | tcp-proxy { auto | on | off } ] *，配置基于IP地址的SYN Flood攻击防范参数。

执行命令firewall defend syn-flood zone zone-name [ max-rate rate-number | max-number max-number | tcp-proxy { auto | on | off } ] *，配置基于安全区域的SYN Flood攻击防范参数。

执行命令firewall defend syn-flood interface {all | interface-type interface-number } [ max-rate rate-number ] [ tcp-proxy { auto | on | off } ]，配置基于入接口的SYN Flood攻击防范参数。

步骤 4 执行命令firewall http-authentication ip ip-address，配置为针对HTTP服务的Flood攻

击添加的认证保护。

----结束

配置UDP Flood攻击防范

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令firewall defend udp-flood enable，启用UDP Flood攻击防范功能。步骤 3 执行命令firewall defend ddos udp-flood enable，启用UDP指纹识别攻击防范功能。步骤 4 执行对应命令，配置UDP Flood攻击防范参数。

请根据实际组网环境配置UDP Flood攻击方法参数：

执行命令firewall defend udp-flood ip ip-address [ vpn-instance vpn-instance-name ] [ max-rate rate-number ]，配置基于IP地址的UDP Flood攻击防范参数。执行命令firewall defend udp-flood zone zone-name [ max-rate rate-number ]，配置基于安全区域的UDP Flood攻击防范参数。

----结束

配置ICMP Flood攻击防范

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令firewall defend icmp-flood enable，启用ICMP Flood攻击防范功能。步骤 3 执行对应命令，配置ICMP Flood攻击防范参数。

请根据实际组网环境配置ICMP Flood攻击方法参数：

文档版本 02 (2009-02-15)

华为所有和机密

9-21

9 配置安全策略

Secoway USG3000配置指南安全防范分册

执行命令firewall defend icmp-flood ip ip-address [ vpn-instance vpn-instance-name ] [ max-rate rate-number ]，配置基于IP地址的ICMP Flood攻击防范参数。

执行命令firewall defend icmp-flood zone zone-name [ max-rate rate-number ]，配置基于安全区域的ICMP Flood攻击防范参数。

----结束

9.7.5 配置基于会话的攻击防范参数

如果攻击报文都命中同一条会话，则可以配置基于会话的攻击防范。当会话上的报文速率超过设定域值时，则认为是异常会话，锁定此会话，后续此会话上不再允许通过报文。当此会话连续3秒或者3秒以上没有流量时，则解锁此会话，后续此会话上的报文可以继续通过。

如果是TCP会话锁定，则上报TCP Flood攻击日志，如果是ICMP、UDP会话锁定，则分别上报ICMP Flood、UDP Flood攻击日志。

配置基于会话的TCP Flood攻击防范

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令firewall defend tcp-flood enable，打开TCP Flood攻击防范功能的全局开关。步骤 3 执行命令firewall defend tcp-flood based-session max-rate rate-number，配置基于会话的

TCP Flood报文速率的上限阈值。

rate-number的默认值为65535包/秒，取值范围为1包/秒～65535包/秒。 ----结束

配置基于会话的UDP Flood攻击防范

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令firewall defend udp-flood enable，打开UDP Flood攻击防范功能的全局开关。步骤 3 执行命令firewall defend udp-flood based-session max-rate rate-number，配置基于会话

的UDP Flood报文速率的上限阈值。

rate-number的默认值为65535包/秒，取值范围为1包/秒～65535包/秒。 ----结束

配置基于会话的ICMP Flood攻击防范

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令firewall defend icmp-flood enable，打开ICMP Flood攻击防范功能的全局开关。步骤 3 执行命令firewall defend icmp-flood based-session max-rate rate-number，配置基于会话

的ICMP Flood报文速率的上限阈值。

9-22

华为所有和机密

文档版本 02 (2009-02-15)

Secoway USG3000

配置指南安全防范分册 9 配置安全策略

rate-number的默认值为200包/秒，取值范围为1包/秒～200包/秒。

----结束

9.7.6 配置扫描类攻击防范参数

配置地址扫描攻击防范

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令firewall blacklist enable，启用黑名单功能。步骤 3 执行命令firewall zone zone-name，进入源安全区域视图。

步骤 4 执行命令statistic enable ip outzone，启用基于IP地址的出方向的统计功能。步骤 5 执行命令quit退回系统视图。

步骤 6 执行命令firewall defend ip-sweep max-rate rate-number，配置地址扫描速率阈值。步骤 7 执行命令firewall defend ip-sweep blacklist-timeout interval，配置地址扫描攻击者加入

黑名单的时间。

扫描攻击者加入黑名单的时间缺省为10min，通过配置攻击者加入黑名单的时间，有效阻止网络上的扫描攻击。 ----结束

配置端口扫描攻击防范

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令firewall blacklist enable，启用黑名单功能。步骤 3 执行命令firewall zone zone-name，进入源安全区域视图。

步骤 4 执行命令statistic enable ip outzone，启用基于IP地址的出方向的统计功能。步骤 5 执行命令quit退回系统视图。

步骤 6 执行命令firewall defend port-scan max-rate rate-number，配置端口扫描速率阈值。步骤 7 执行命令firewall defend port-scan blacklist-timeout interval，配置端口扫描攻击者加入

黑名单的时间。

扫描攻击者加入黑名单的时间缺省为10min，通过配置攻击者加入黑名单的时间，有效阻止网络上的扫描攻击。 ----结束

9.7.7 配置超大ICMP报文控制参数

步骤 1 执行命令system-view，进入系统视图。

文档版本 02 (2009-02-15)

华为所有和机密

9-23

9 配置安全策略

Secoway USG3000配置指南安全防范分册

步骤 2 执行命令firewall defend large-icmp max-length length，配置超大ICMP报文控制参数。

----结束

9.7.8 检查配置结果

完成上述配置后，请执行下面的命令检查配置结果。操作

查看当前攻击防范的配置情况

命令

display firewall defend flag

9.8 配置连接数限制和新建连接速率限制和带宽限制

9.8.1 建立配置任务

应用环境

连接数是某一方向发起的TCP连接/UDP连接总数，新建连接速率是每一秒钟某一方向

新发起的TCP连接/UDP连接数。当需要对通过USG3000的数据流进行监控或限制时，可配置如下功能：

z z z z z z

全局连接数/比例监控连接数限制新建连接速率限制 H.323流量带宽保证特定数据流带宽保证限制其他数据流的流量

前置任务

在配置连接数限制/新建连接速率限制和带宽限制前，需要完成以下任务：

z z z z z

（可选）配置统一安全网关的工作模式（可选）配置接口的IP地址配置接口加入安全区域配置ACL规则

配置域间包过滤规则或域间缺省包过滤规则

只允许在路由模式或混合模式下配置接口的IP地址。

9-24

华为所有和机密

文档版本 02 (2009-02-15)

Secoway USG3000

配置指南安全防范分册 9 配置安全策略

数据准备

在配置连接数限制/新建连接速率限制和带宽限制功能前，需要准备以下数据。序号 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

数据

全局连接数上限阈值全局连接数下限阈值

全局TCP/UPD/ICMP报文所占的比率全局各类报文允许的变动百分比范围检测时间间隔安全区域名称 ACL组号

基于IP地址或安全区域的连接数量限制的上限阈值基于IP地址或安全区域的连接数量限制的下限阈值基于IP地址或安全区域的新建连接速率限制的上限阈值基于IP地址或安全区域的新建连接速率限制的下限阈值接口名称承诺信息速率承诺突发尺寸过渡突发尺寸

配置过程

要完成连接数限制/新建连接速率限制和带宽限制功能的配置，需要按照以下过程配置。序号 1 2 3 4 5 6

过程

配置全局连接数和比例监控配置连接数限制配置新建连接速率限制配置H.323流量带宽保证配置特定数据流流量带宽保证配置对其他数据流的流量限制

文档版本 02 (2009-02-15)

华为所有和机密

9-25

9 配置安全策略

Secoway USG3000配置指南安全防范分册

9.8.2 配置全局连接数和比例监控

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令firewall statistic system enable，启用系统统计功能。

步骤 3 执行命令firewall statistic system connect-number { tcp | udp } { high high-value low

low-value }，配置全局连接数监控。

当系统TCP/UDP连接数超过阈值上限后，会产生告警日志；当系统TCP/UDP连接数降到阈值下限后，产生相应恢复正常日志。该功能只是起到监控作用，不会对连接数进行限制。

步骤 4 （可选）执行命令firewall statistic system flow-percent { tcp tcp-percent udp udp-percent

icmp icmp-percent alternation alternation-percent [ time interval ] }，配置系统报文比率监控。

系统定时统计全局TCP、UDP、ICMP报文比例是否在配置的范围内，如果不在则产生告警日志。例如，缺省TCP报文数比率75%，UDP报文数比率15%，ICMP报文数比率5%，各协议波动比率25%，1个小时检测一次。则TCP报文数应该占总报文数50%～100%，如果小于50%或者大于100%则产生告警，但不会进行限制。

统一安全网关根据会话表进行连接数量及报文比率的监控。如果一个数据流没有匹配会话表（即不建立会话的数据流），且统一安全网关缺省域间规则允许通过，则统一安全网关不针对该数据流进行统计与监控。 ----结束

9.8.3 配置连接数限制

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令firewall zone zone-name，进入安全区域视图。

步骤 3 执行命令statistic enable { zone | ip } { inzone | outzone }，启用基于安全区域或IP的统

计功能。步骤 4 执行命令statistic connect-number { zone | ip } { inzone | outzone } { tcp | udp } { high

high-limit low low-limit }，配置连接数限制。

统一安全网关根据会话表进行连接数量的限制。如果一个数据流没有匹配会话表（即不建立会话的数据流），且统一安全网关缺省域间规则允许通过，则统一安全网关不针对该数据流进行统计与限制。

连接数限制功能必须先配置启用对应安全区域或IP的统计功能，否则无效。

启用基于安全区域的统计功能后，连接数监控功能自动生效，并采用缺省值进行连接数监控。 ----结束

9-26

华为所有和机密

文档版本 02 (2009-02-15)

Secoway USG3000

配置指南安全防范分册 9 配置安全策略

9.8.4 配置新建连接速率限制

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令firewall zone zone-name，进入安全区域视图。

步骤 3 执行命令statistic enable { zone | ip } { inzone | outzone }，启用基于安全区域或IP的统

计功能。步骤 4 执行命令statistic connect-speed { zone | ip } { inzone | outzone } { tcp | udp } { high

high-limit low low-limit }，配置新建连接速率限制。

统一安全网关根据会话表进行新建连接速率的限制。如果一个数据流没有命中会话表（即不建立会话的数据流），且统一安全网关缺省域间规则允许通过，则统一安全网关不针对该数据流进行统计与限制。

新建连接速率限制功能必须先配置启用对应安全区域或IP的统计功能，否则无效。启用基于安全区域的统计功能后，新建连接速率限制功能自动生效，并采用缺省值进行新建连接速率限制。 ----结束

9.8.5 配置H.323流量带宽保证

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令firewall flow-control h323 enable，全局开启H.323流量保证功能。步骤 3 执行命令interface interface-type interface-number，进入接口视图。步骤 4 执行命令firewall flow-control on，在接口上开启H.323流量保证功能。

----结束

9.8.6 配置特定数据流流量带宽保证

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令firewall flow-control acl acl-number，对符合ACL规则的数据流提供和H.323

一样的带宽保证功能。

----结束

9.8.7 配置对其他数据流的流量限制

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令firewall flow-control car cir cir-value [ cbs cbs-value ebs ebs-value]，配置对其他

数据流的流量限制。

USG3000在只有在监测到存在H.323流量时，才对其他数据流进行带宽限制。 ----结束

文档版本 02 (2009-02-15)

华为所有和机密

9-27

9 配置安全策略

Secoway USG3000配置指南安全防范分册

9.9 配置ASPF

9.9.1 建立配置任务

应用环境

当需要使用FTP、H.323、HTTP、HWCC、ILS、MSN、QQ、RTSP或SMTP等协议进行通讯时，请在域间配置相应ASPF功能。

前置任务

在配置ASPF前，需要完成以下任务：

z z z z

（可选）配置统一安全网关的工作模式（可选）配置接口的IP地址配置接口加入安全区域配置ACL

只允许在路由模式或混合模式下配置接口的IP地址。

数据准备

在配置ASPF前，需要准备以下数据。序号 1 2 3

数据安全区域名称协议名 ACL组号

配置过程

在配置ASPF任务中，配置过程1和2是并列关系，根据需要选择配置即可。序号 1 2

过程

配置域间应用ASPF 配置域内应用ASPF

9.9.2 配置域间应用ASPF

步骤 1 执行命令system-view，进入系统视图。

9-28

华为所有和机密

文档版本 02 (2009-02-15)

Secoway USG3000

配置指南安全防范分册 9 配置安全策略

步骤 2 执行命令firewall interzone zone-name1 zone-name2，进入安全域间视图。

步骤 3 执行命令detect { activex-blocking | ftp | h323 | http | hwcc | ils | java-blocking | mgcp |

mms | msn | pptp | qq | rtsp | smtp | sip | sqlnet } [ acl-number ]，配置域间应用ASPF。

只有在域间应用ASPF策略，才能对通过两个安全区域的数据流进行检测，包括QQ/MSN聊天信息。

配置detect java-blocking和detect activex-blocking时需要注意：

detect java-blocking和detect activex-blocking需要与detect http联合使用。如：

system-view [USG3000] acl 2000

[USG3000-acl-basic-2000] rule permit source 1.1.1.1 0 [USG3000-acl-basic-2000] quit

[USG3000] firewall interzone trust untrust

[USG3000-interzone-trust-untrust] detect java-blocking 2000 inbound [USG3000-interzone-trust-untrust] detect http

配置detect msn时请注意：

MSN用户使用私有协议MSNP进行通信。由于MSNP的通话端口是随机分配的，而统一安全网关开放的端口很少，当外网向内网发起呼叫请求时，统一安全网关无法解析MSNP协议，无法获得外网主机的IP地址。这时需要配置允许端口号为1000～9999的UDP数据流通过统一安全网关，以使统一安全网关能够获得MSN的外网主机地址，使MSN会话能够顺利进行。

由于MSN同时使用1863和443号端口作为登录和文字聊天的通道，故需要配置允许端口号为1863和443的数据流通过，使MSN会话顺利进行。

----结束

9.9.3 配置域内应用ASPF

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令firewall zone zone-name，进入安全区域视图。步骤 3 执行命令detect ftp，配置域内应用ASPF。

只有在域内应用ASPF策略，才能对通过这个安全区域的数据流进行检测。 ----结束

文档版本 02 (2009-02-15)

华为所有和机密

9-29

9 配置安全策略

Secoway USG3000配置指南安全防范分册

9.10 配置三元组ASPF

9.10.1 建立配置任务

应用环境

实际网络应用中存在如下需求之一时，即可配置三元组ASPF。

z z

使用QQ或MSN进行视频聊天或传送大文本文件。使用TFTP的协议进行文件传输。

上述两种应用均使用源地址、源端口号和协议号进行通信。此时，只有在统一安全网关支持三元组ASPF的情况下，才能解析相应协议，保证会话的顺利进行。

前置任务

在配置三元组ASPF功能前，需要完成以下任务：

z z z z

（可选）配置统一安全网关的工作模式（可选）配置接口的IP地址配置接口加入安全区域配置ACL

只允许在路由模式或混合模式下配置接口的IP地址。

数据准备

在配置三元组ASPF前，需要准备以下数据。序号 1 2 3

数据安全区域名称 ACL组号

三元组模块建立的Server map映射表项的老化时间

9.10.2 启用三元组ASPF

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令firewall interzone zone-name1 zone-name2，进入安全域间视图。步骤 3 执行命令detect user-define acl-number { inbound | outbound } interval，启用三元组

ASPF。

detect user-define命令中引用的ACL，端口号需要包含相关应用所使用的端口号。以TFTP应用为例，配置统一安全网关支持TFTP应用时，ACL涉及的端口需要包含TFTP端口。例如，可以将ACL规则设置为：rule 5 permit udp destination-port eq tftp。如果

9-30

华为所有和机密

文档版本 02 (2009-02-15)

Secoway USG3000

配置指南安全防范分册 9 配置安全策略

ACL端口不包含TFTP端口，则TFTP数据流的首报文由于无法匹配ACL，导致会话连接无法建立。

----结束

9.11 配置静态黑名单

9.11.1 建立配置任务

应用环境

如果某个IP地址对应的用户不被信任，为了安全起见，建议将该用户的IP地址加入黑名单。将该用户的IP地址加入黑名单之后，当统一安全网关收到源地址为该IP地址的报文时，将予以丢弃，从而达到保护网络的目的。

前置任务

在配置静态黑名单前，需要完成以下任务：

z z z z z

（可选）配置统一安全网关的工作模式（可选）配置接口的IP地址配置接口加入安全区域配置ACL规则

配置域间包过滤规则或域间缺省包过滤规则

只允许在路由模式或混合模式下配置接口的IP地址。

数据准备

在配置静态黑名单功能前，需准备以下数据。序号 1 2

数据

需加入黑名单的IP地址加入黑名单的时间

配置过程

要完成静态黑名单功能的配置，需按照以下过程配置。序号 1 2

过程

配置静态黑名单功能检查配置结果

文档版本 02 (2009-02-15)

华为所有和机密

9-31

9 配置安全策略

Secoway USG3000配置指南安全防范分册

9.11.2 配置静态黑名单功能

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令firewall blacklist enable manual，启用静态黑名单功能。

只有启用黑名单功能后，统一安全网关才会丢弃匹配黑名单表项的报文。

步骤 3 执行命令firewall blacklist item source-address [ timeout interval ] [ vpn-instance

vpn-instance-name ]，创建黑名单表项。

黑名单表项的插入遵循如下原则：

z z z

如果一个IP地址被多次加入黑名单，只有最新的表项生效。插入或删除黑名单表项与是否启用黑名单功能无关。

如果firewall blacklist enable命令引用了ACL，且该ACL规则的关键字为permit，当数据流同时命中黑名单和该ACL时，允许通过。此时ACL仅支持5元组和时间段，5元组即协议、源IP地址及掩码、目的IP地址及掩码、源端口范围、目的端口范围。

----结束

9.11.3 检查配置结果

完成上述配置后，请执行下面的命令检查配置结果。操作

查看黑名单运行状态查看黑名单表项

命令

display firewall blacklist enable

display firewall blacklist item [ source-address ] [ vpn-instance vpn-instance-name ]

9.12 动态插入黑名单

9.12.1 建立配置任务

应用环境

当网络现状满足如下任一条件：

z z z

在统一安全网关上配置IDS联动、地址扫描攻击防范功能或端口扫描攻击防范。在统一安全网关启用黑名单功能。

网络中存在攻击行为、会话认证失败或登录认证失败。

统一安全网关将动态生成黑名单表项，并插入黑名单中，从而达到保护网络的目的。

9-32

华为所有和机密

文档版本 02 (2009-02-15)

Secoway USG3000

配置指南安全防范分册 9 配置安全策略

前置任务

在配置动态黑名单前，需要完成以下任务：

z z z z z z

（可选）配置统一安全网关的工作模式（可选）配置接口的IP地址配置接口加入安全区域配置ACL规则

配置域间包过滤规则或域间缺省包过滤规则

配置IDS联动、攻击防范、会话认证或登录认证功能

只允许在路由模式或混合模式下配置接口的IP地址。

数据准备

无

9.12.2 启用动态黑名单功能

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令firewall blacklist enable [ auth-failed | ids | ip-sweep | login-failed | port-scan ]，

启用各种类型的动态黑名单功能。

----结束

在启用黑名单功能后，如果用户通过Telnet方式或SSH方式登录统一安全网关，连续输错密码达到指定次数时，统一安全网关会自动将Telnet客户端或SSH客户端的IP地址加入黑名单，并设置老化时间。用户在指定老化时间内不能再次使用该IP地址登录统一安全网关。

9.13 绑定黑名单和ACL

9.13.1 建立配置任务

应用环境

要确保用户免受黑名单的干扰，需要定义放行该用户的ACL，然后在黑名单中绑定ACL，即使用户被加入黑名单，仍能正常通信。

前置任务

在配置黑名单和ACL绑定前，需要完成以下任务：

z z

（可选）配置统一安全网关的工作模式（可选）配置接口的IP地址

文档版本 02 (2009-02-15)

华为所有和机密

9-33

9 配置安全策略

z z z

Secoway USG3000配置指南安全防范分册

配置接口加入安全区域配置ACL规则

配置域间包过滤规则或域间缺省包过滤规则

只允许在路由模式或混合模式下配置接口的IP地址。

数据准备

在绑定黑名单和ACL之前，需要准备已定义的ACL编号。

9.13.2 配置黑名单和ACL绑定

步骤 1 执行命令system-view，进入系统视图。

port-scan ]，启用黑名单功能。步骤 3 执行命令firewall blacklist enable acl-number acl-number，绑定黑名单与ACL。

----结束

9.14 绑定MAC和IP地址

9.14.1 建立配置任务

应用环境

要防止IP假冒攻击，需要绑定MAC地址与IP地址。

前置任务

在配置MAC和IP地址绑定之前，需要完成以下任务：

z z z z z

（可选）配置统一安全网关的工作模式（可选）配置接口的IP地址配置接口加入安全区域配置ACL规则

配置域间包过滤规则或域间缺省包过滤规则

z z

当接口属于VPN实例时，需要首先在接口上绑定该VPN实例，再配置接口的IP地址。只允许在路由模式或混合模式下配置接口的IP地址。

数据准备

在配置MAC和IP地址绑定前，需要准备以下数据。

9-34

华为所有和机密

文档版本 02 (2009-02-15)

Secoway USG3000

配置指南安全防范分册 9 配置安全策略

序号 1 2 3 4

数据

需加绑定的IP地址需要绑定的MAC地址

（可选）IP地址对应的VPN实例

（可选）IP地址对应的USG3000子接口关联的VLAN ID

配置过程

要完成MAC和IP地址绑定的配置，需要按照以下过程配置。序号 1 2

过程

配置MAC和IP地址绑定检查配置结果

9.14.2 配置MAC和IP地址绑定

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令firewall mac-binding enable，启用MAC和IP地址绑定功能。

启用地址绑定功能后，只有匹配绑定关系的报文才允许通过。

步骤 3 执行命令firewall mac-binding source-address mac-address [ vpn-instance

vpn-instance-name ] [ vid vlan-id ]，绑定MAC地址和IP地址。

如果IP地址对应的USG3000子接口关联VLAN ID时，必须指定vid参数。

----结束

地址绑定关系表项的插入遵循如下原则：

z z z

在绑定同一个IP地址的情况下，最新配置的表项生效。允许将多个IP地址绑定到同一个MAC地址。

插入或删除地址绑定关系与是否启用地址绑定功能无关。

地址绑定关系可以看作是静态ARP的另一种表现形式。创建二者时遵循原则如表9-3所示。

文档版本 02 (2009-02-15)

华为所有和机密

9-35

9 配置安全策略

Secoway USG3000配置指南安全防范分册

表9-3 地址绑定与静态ARP的创建原则条件1

启用地址绑定功能

条件2

新增一个地址绑定关系，IP地址存在于静态ARP表中

新增一个静态ARP表项，IP地址存在地址绑定表中

未启用地址绑定功能

地址绑定表与静态ARP表中有重复的IP地址

结果

删除相应静态ARP表项创建失败可以共存

9.14.3 检查配置结果

完成上述配置后，请执行下面的命令检查配置结果。操作

查看MAC和IP地址绑定的运行情况查看MAC和IP地址绑定关系信息

命令

display firewall mac-binding enable display firewall mac-binding item [ source-address ] [ vpn-instance vpn-instance-name ]

9.15 配置端口识别

9.15.1 建立配置任务

应用环境

当为某一条数据流分配通信端口时，需要配置主机端口识别。

例如：FTP的通用端口号为21，在使用端口1234传输数据的情况下，需要启用端口识别功能，使统一安全网关允许数据流通过该端口传输。

前置任务

在配置端口识别前，需要完成以下任务：

z z z z z

（可选）配置统一安全网关的工作模式（可选）配置接口的IP地址配置接口加入安全区域配置ACL规则

配置域间包过滤规则或域间缺省包过滤规则

9-36

华为所有和机密

文档版本 02 (2009-02-15)

Secoway USG3000

配置指南安全防范分册 9 配置安全策略

只允许在路由模式或混合模式下配置接口的IP地址。

数据准备

在配置端口识别功能前，需要准备以下数据。序号 1 2 3

数据协议名称端口号 ACL组号

配置过程

要完成端口识别功能的配置，需要按照以下过程配置。序号 1 2

过程配置端口识别检查配置结果

9.15.2 配置端口识别

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令port-mapping application-name port port-number [ acl acl-number ]，配置端口

识别。

几点说明：

不能删除或修改系统定义的端口号，但可以配置通用端口识别，或使用基于基本ACL的主机端口识别机制来重新定义。

对于同一协议，可以多次使用port-mapping命令配置多个识别端口。

对于同一端口，可以配置识别不同的协议，但需要通过acl命令来为不同的协议定义不同的主机范围。

例如，通过配置两条命令port-mapping http port 4567 acl 2010和port-mapping ftp port 4567 acl 2020，就可以将ACL 2010所定义的主机的4567端口的报文识别为HTTP报文，同时将ACL 2020所定义的主机的4567端口报文识别为FTP报文。

z z

对于同一端口，不能同时配置通用端口识别和基于基本ACL的主机端口识别。

与包过滤不同，当配置端口识别时，引用的基本ACL规则仅用于定义主机的范围，不存在方向性。例如，当端口识别功能引用如下基本ACL时，统一安全网关将来自和发往1.1.1.0网段的使用3000端口的报文识别为FTP报文。

system-view

文档版本 02 (2009-02-15)

华为所有和机密

9-37

9 配置安全策略

[USG3000] acl 2000

Secoway USG3000配置指南安全防范分册

[USG3000-acl-basic-2000] rule permit source 1.1.1.0 0.0.0.255 [USG3000-acl-basic-2000] quit

[USG3000] port-mapping ftp port 3000 acl 2000

----结束

9.15.3 检查配置结果

完成上述配置后，请执行下面的命令检查配置结果。操作

查看端口识别信息

命令

display port-mapping [ application-name | port port-number ]

9.16 维护

9.16.1 查看统一安全网关的会话信息

操作

查看一对一的NAT地址转换表查看统一安全网关的会话信息

命令

display firewall session no-pat

display firewall session table [ vpn-instance

vpn-instance-name ] [ source { inside | global} { ip source-ip-address | port source-port } * ] [ destination { inside | global} { ip

destination-ip-address | port destination-port }* ] [ application protocol ] [ nat ] [ long-link ] [ verbose [ timeout ] ] display firewall fragment debugging firewall sessionreuse

查看统一安全网关的分片表信息查看会话表复用调试信息

9.16.2 清除统一安全网关的会话表项、分片表

操作

清除统一安全网关的会话表项、分片表

命令

reset firewall session table [ interzone zone-name1 zone-name2 | zone zone-name ] [ address-group address-group-number ] reset firewall session table [ source { inside | global } ip source-ip-address ] [ destination { inside | global } ip destination-ip-address ]

9-38

华为所有和机密

文档版本 02 (2009-02-15)

Secoway USG3000

配置指南安全防范分册 9 配置安全策略

使用reset firewall session table命令清除会话表项将导致所有的连接中断，请慎重使用该命令。

9.16.3 调试统一安全网关包过滤

在出现包过滤运行故障时，请在用户视图下执行debugging命令对包过滤进行调试，查看调试信息，定位故障并分析故障原因。打开调试开关的操作步骤请参见《Secoway USG3000 统一安全网关配置指南系统管理分册》中“系统维护”的内容。有关debugging命令的解释请参见《Secoway USG3000 统一安全网关命令参考》。操作

调试统一安全网关包过滤

命令

debugging firewall packet-filter { all | icmp | tcp |

udp | others } [ interzone zone1 zone2 ]

9.16.4 调试统一安全网关攻击防范功能

在出现攻击防范运行故障时，请在用户视图下执行debugging命令对攻击防范进行调试，查看调试信息，定位故障并分析故障原因。打开调试开关的操作步骤请参见《Secoway USG3000 统一安全网关配置指南系统管理分册》中“系统维护”的内容。有关debugging命令的解释请参见《Secoway USG3000 统一安全网关命令参考》。操作

调试所有攻击防范功能调试ARP欺骗攻击防范功能调试ARP Flood攻击防范功能调试TCP、UDP和ICMP报文头部校验功能

调试IP欺骗攻击防范功能调试Land攻击防范功能调试Smurf攻击防范功能调试Fraggle攻击防范功能调试WinNuke攻击防范功能调试SYN Flood攻击防范功能调试ICMP Flood攻击防范功能调试UDP Flood攻击防范功能

命令

debugging firewall defend all

debugging firewall defend arp-spoofing debugging firewall defend arp-flood debugging firewall defend packet-header check

debugging firewall defend ip-spoofing debugging firewall defend land debugging firewall defend smurf debugging firewall defend fraggle debugging firewall defend winnuke debugging firewall defend syn-flood debugging firewall defend icmp-flood debugging firewall defend udp-flood

文档版本 02 (2009-02-15)

华为所有和机密

9-39

9 配置安全策略

Secoway USG3000配置指南安全防范分册

操作

调试TCP Flood攻击防范功能调试ICMP重定向报文攻击防范功能调试ICMP不可达报文攻击防范功能调试地址扫描攻击防范功能调试端口扫描攻击防范功能

调试带路由记录选项IP报文攻击防范功能

调试带源路由选项报文攻击防范功能调试tracert攻击防范功能调试Ping of Death攻击防范功能调试TearDrop攻击防范功能调试TCP标志合法性检测功能调试IP分片报文检测功能调试超大ICMP报文攻击防范功能调试time-stamp攻击防范功能调试FTP Bounce攻击防范功能

命令

debugging firewall defend tcp-flood debugging firewall defend icmp-redirect debugging firewall defend icmp-unreachabledebugging firewall defend ip-sweep debugging firewall defend port-scan debugging firewall defend route-record debugging firewall defend source-route debugging firewall defend tracert debugging firewall defend ping-of-death debugging firewall defend teardrop debugging firewall defend tcp-flag debugging firewall defend ip-fragment debugging firewall defend large-icmp debugging firewall defend time-stamp debugging firewall defend ftp-bounce

9.16.5 查看统一安全网关统计信息

操作

查看最近5分钟全局数据统计

命令

display firewall statistic system packet-rate

说明：

执行firewall statistic system last_five_min enable命令后才可以查看5分钟全局数据统计，默认关闭5分钟全局数据统计。

查看统一安全网关全局攻击防范统计信息

查看统一安全网关基于安全区域的统计信息

查看统一安全网关基于IP地址的统计信息

display firewall statistic system defend

display firewall statistic zone zone-name { inzone | outzone }

display firewall statistic ip ip-address { source-ip | destination-ip | both }

9-40

华为所有和机密

文档版本 02 (2009-02-15)

Secoway USG3000

配置指南安全防范分册 9 配置安全策略

9.16.6 清除统一安全网关统计信息

操作

清除统一安全网关全局统计信息清除统一安全网关基于安全区域的统计信息

清除统一安全网关基于IP地址的统计信息

命令

reset firewall statistic system [ defend ] reset firewall statistic zone zone-name { inzone | outzone }

reset firewall statistic ip ip-address [ vpn-instance vpn-instance-name ] { source-ip | destination-ip }

9.16.7 调试ASPF

在出现ASPF运行故障时，请在用户视图下执行debugging命令对ASPF进行调试，查看调试信息，定位故障并分析故障原因。打开调试开关的操作步骤请参见《Secoway USG3000 统一安全网关配置指南系统管理分册》中“系统维护”的内容。有关debugging命令的解释请参见《Secoway USG3000 统一安全网关命令参考》。操作调试ASPF

命令

debugging firewall aspf { all | activex-blocking |

ftp | h323 | http | hwcc | ils | java-blocking | mgcp | mms | msn | pptp | qq | rtsp | smtp | sip |sqlnet | tcp | udp | user-define }

9.16.8 调试统一安全网关黑名单

在出现黑名单运行故障时，请在用户视图下执行debugging命令对其进行调试，查看调试信息，定位故障并分析故障原因。打开调试开关的操作步骤请参见《Secoway USG3000 统一安全网关配置指南系统管理分册》中“系统维护”的内容。有关debugging命令的解释请参见《Secoway USG3000 统一安全网关命令参考》。操作调试黑名单

命令

debugging firewall blacklist { all | item | packet }

9.16.9 调试MAC和IP地址绑定

在出现MAC和IP地址绑定运行故障时，请在用户视图下执行debugging命令对其进行调试，查看调试信息，定位故障并分析故障原因。打开调试开关的操作步骤请参见

《Secoway USG3000 统一安全网关配置指南系统管理分册》中“系统维护”的内容。有关debugging命令的解释请参见《Secoway USG3000 统一安全网关命令参考》。

文档版本 02 (2009-02-15)

华为所有和机密

9-41

9 配置安全策略

Secoway USG3000配置指南安全防范分册

操作

调试MAC和IP地址绑定

命令

debugging firewall mac-binding { all | item | packet }

9.17 配置举例

9.17.1 配置安全区域示例

组网需求

某公司以统一安全网关作为网络边防设备。网络部署如下：

公司内部网络部署在Trust安全区域，统一安全网关的以太网接口GigabitEthernet 0/0与之相连。

公司对外提供服务的WWW Server、FTP Server等部署在DMZ安全区域，统一安全网关的以太网接口GigabitEthernet 0/1与之相连。

外部网络部署于Untrust安全区域，由统一安全网关的以太网接口GigabitEthernet 0/2连接。

现需要对统一安全网关进行安全区域的配置，为后面的安全策略的配置做好准备。

组网图

图9-2 安全区域典型配置举例组网图

PCPCGE0/0USG3000(Local)GE0/2GE0/1外部网络Untrust内部网络TrustWWW serverDMZFTP server

配置步骤

# 配置统一安全网关工作模式。

system-view

9-42

华为所有和机密

文档版本 02 (2009-02-15)

Secoway USG3000

配置指南安全防范分册 9 配置安全策略

[USG3000] firewall mode route

# 配置GigabitEthernet 0/0的IP地址。

[USG3000] interface GigabitEthernet 0/0

[USG3000-GigabitEthernet0/0] ip address 192.168.1.1 24 [USG3000-GigabitEthernet0/0] quit

# 配置GigabitEthernet 0/1的IP地址。

[USG3000] interface GigabitEthernet 0/1

[USG3000-GigabitEthernet0/1] ip address 10.1.1.1 24 [USG3000-GigabitEthernet0/1] quit

# 配置GigabitEthernet 0/2的IP地址。

[USG3000] interface GigabitEthernet 0/2

[USG3000-GigabitEthernet0/2] ip address 1.1.1.1 16 [USG3000-GigabitEthernet0/2] quit

# 配置GigabitEthernet 0/0加入Trust区域。

[USG3000] firewall zone trust

[USG3000-zone-trust] add interface GigabitEthernet 0/0 [USG3000-zone-trust] quit

# 配置GigabitEthernet 0/1加入DMZ区域。

[USG3000] firewall zone dmz

[USG3000-zone-dmz] add interface GigabitEthernet 0/1 [USG3000-zone-dmz] quit

# 配置GigabitEthernet 0/2加入Untrust区域。

[USG3000] firewall zone untrust

[USG3000-zone-untrust] add interface GigabitEthernet 0/2 [USG3000-zone-untrust] quit

9.17.2 配置会话老化时间示例

组网需求

如图9-3所示，某公司对外提供FTP、HTTP等服务。网络部署如下：

公司对外提供服务的WWW Server、FTP Server等部署在DMZ安全区域，统一安全网关的以太网接口GigabitEthernet 0/0与之相连。

外部网络部署于Untrust安全区域，统一安全网关的以太网接口GigabitEthernet 0/1与之相连。

要求：

z z z z

对外隐藏内部服务器的IP地址。 FTP数据通道的老化时间为300秒。 FTP控制通道的老化时间为500秒。 HTTP的老化时间为500秒。

文档版本 02 (2009-02-15)

华为所有和机密

9-43

9 配置安全策略

Secoway USG3000配置指南安全防范分册

组网图

图9-3 会话老化时间配置举例组网图

GE0/11.1.1.1/16GE0/010.1.1.1/24DMZPC2.2.1.2/24RouterUSG3000FTP server10.1.1.2/24

WWW server10.1.1.3/24

配置步骤

步骤 1 统一安全网关基本配置。

# 配置GigabitEthernet 0/0的IP地址。

system-view

[USG3000] interface GigabitEthernet 0/0

[USG3000-GigabitEthernet0/0] ip address 10.1.1.1 24 [USG3000-GigabitEthernet0/0] quit

# 配置GigabitEthernet 0/1的IP地址。

[USG3000] interface GigabitEthernet 0/1

[USG3000-GigabitEthernet0/1] ip address 1.1.1.1 16 [USG3000-GigabitEthernet0/1] quit

# 配置GigabitEthernet 0/0加入DMZ区域。

[USG3000] firewall zone dmz

[USG3000-zone-dmz] add interface GigabitEthernet 0/0 [USG3000-zone-dmz] quit

# 配置GigabitEthernet 0/1加入Untrust区域。

[USG3000] firewall zone untrust

[USG3000-zone-untrust] add interface GigabitEthernet 0/1 [USG3000-zone-untrust] quit

# 配置到达2.2.1.0网段的静态路由。

[USG3000] ip route-static 2.2.1.0 24 1.1.2.1

z z

1.1.2.1为USG3000的下一跳路由器的IP地址。

由于后续有统一安全网关的包过滤配置，此处暂不说明。

9-44

华为所有和机密

文档版本 02 (2009-02-15)

Secoway USG3000

配置指南安全防范分册 9 配置安全策略

需要配置到达外部特定PC和Router的静态路由。否则统一安全网关收到外部PC的报文后，由于无法查到路由表而丢弃该报文，导致业务不通。

步骤 2 需求配置。

# 配置内部服务器。

[USG3000] nat server protocol tcp global 1.1.1.2 ftp inside 10.1.1.2 ftp [USG3000] nat server protocol tcp global 1.1.1.3 www inside 10.1.1.3 www

# 配置ACL规则，允许源地址为2.2.1.2所在网段的报文通过。

[USG3000] acl 2000

[USG3000-acl-basic-2000] rule permit source 2.2.1.2 0.0.0.255 [USG3000-acl-basic-2000] quit

# 配置域间包过滤规则。

[USG3000] firewall interzone dmz untrust

[USG3000-interzone-dmz-untrust] packet-filter 2000 inbound [USG3000-interzone-dmz-untrust] quit

# 启用NAT ALG。

[USG3000] nat alg enable ftp

# 配置ASPF。

[USG3000] firewall interzone dmz untrust [USG3000-interzone-dmz-untrust] detect ftp [USG3000-interzone-dmz-untrust] detect http [USG3000-interzone-dmz-untrust] quit

# 配置FTP控制通道和数据通道的老化时间。

[USG3000] firewall session aging-time ftp 500 [USG3000] firewall session aging-time ftp-data 300

# 配置HTTP的老化时间。

[USG3000] firewall session aging-time http 500

----结束

9.17.3 配置Land攻击防范示例

组网需求

如图9-4所示，统一安全网关的以太网接口GigabitEthernet 0/0连接外部网络，以太网接口GigabitEthernet0/1连接内部网络。

需要隔离外部恶意用户对内部PC的Land攻击行为。

文档版本 02 (2009-02-15)

华为所有和机密

9-45

9 配置安全策略

Secoway USG3000配置指南安全防范分册

假设需要保护的内部用户的IP地址为10.1.1.2/24。

组网图

图9-4 统一安全网关攻击防范功能配置组网图

PCPC10.1.1.2/2410.1.1.3/24USG3000Trust2.2.2.1/16GE0/110.1.1.1/24GE0/02.2.3.1/16PC1.1.1.2/24

1.1.1.1/24配置步骤

步骤 1 统一安全网关基本配置。

# 配置GigabitEthernet 0/0的IP地址。

system-view

[USG3000] interface GigabitEthernet 0/0

[USG3000-GigabitEthernet0/0] ip address 2.2.3.1 16 [USG3000-GigabitEthernet0/0] quit

# 配置GigabitEthernet 0/1的IP地址。

[USG3000] interface GigabitEthernet 0/1

[USG3000-GigabitEthernet0/1] ip address 10.1.1.1 24 [USG3000-GigabitEthernet0/1] quit

# 配置GigabitEthernet 0/1加入Trust区域。

[USG3000] firewall zone trust

[USG3000-zone-trust] add interface GigabitEthernet 0/1 [USG3000-zone-trust] quit

# 配置GigabitEthernet 0/0加入Untrust区域。

[USG3000] firewall zone untrust

[USG3000-zone-untrust] add interface GigabitEthernet 0/0 [USG3000-zone-untrust] quit

# 配置到达1.1.1.0网段的静态路由。

[USG3000] ip route-static 1.1.1.0 24 2.2.2.1

9-46

华为所有和机密

文档版本 02 (2009-02-15)

Secoway USG3000

配置指南安全防范分册 9 配置安全策略

需要配置到达外部特定PC和Router的静态路由。否则统一安全网关收到外部PC的报文后，由于无法查到路由表而丢弃该报文，导致业务不通。 # 在Router上配置静态路由。此处不再赘述。

# 配置ACL，允许来自1.1.1.0网段的报文通过统一安全网关。

[USG3000] acl 2000

[USG3000-acl-basic-2000] rule permit source 1.1.1.0 0.0.0.255 [USG3000-acl-basic-2000] quit

# 配置域间包过滤规则。

[USG3000] firewall interzone trust untrust

[USG3000-interzone-trust-untrust] packet-filter 2000 inbound [USG3000-interzone-trust-untrust] quit

步骤 2 启用Land攻击防范功能。

[USG3000] firewall defend land enable

----结束

9.17.4 配置基于IP地址的SYN Flood攻击防范示例

组网需求

统一安全网关的以太网接口GigabitEthernet 0/0连接外部网络，以太网接口GigabitEthernet 0/1连接内部网络。

需要隔离外部恶意用户对内部IP地址为10.1.1.2的PC的SYN Flood攻击行为。

基于接口的SYN Flood攻击防范功能比基于IP地址的SYN Flood攻击防范功能的防范强度更高，建议采用。

组网图

请参见图9-4。

配置步骤

步骤 1 统一安全网关基本配置。

# 配置GigabitEthernet 0/0的IP地址。

system-view

[USG3000] interface GigabitEthernet 0/0

[USG3000-GigabitEthernet0/0] ip address 2.2.3.1 16 [USG3000-GigabitEthernet0/0] quit

# 配置GigabitEthernet 0/1的IP地址。

文档版本 02 (2009-02-15)

华为所有和机密

9-47

9 配置安全策略

[USG3000] interface GigabitEthernet 0/1

[USG3000-GigabitEthernet0/1] ip address 10.1.1.1 24 [USG3000-GigabitEthernet0/1] quit

Secoway USG3000配置指南安全防范分册

# 配置GigabitEthernet 0/1加入Trust区域。

[USG3000] firewall zone trust

[USG3000-zone-trust] add interface GigabitEthernet 0/1 [USG3000-zone-trust] quit

# 配置GigabitEthernet 0/0加入Untrust区域。

[USG3000] firewall zone untrust

[USG3000-zone-untrust] add interface GigabitEthernet 0/0 [USG3000-zone-untrust] quit

# 配置到达1.1.1.0网段的静态路由。

[USG3000] ip route-static 1.1.1.0 24 2.2.2.1

# 配置ACL，允许来自1.1.1.0网段的报文通过统一安全网关。

[USG3000] acl 2000

[USG3000-acl-basic-2000] rule permit source 1.1.1.0 0.0.0.255 [USG3000-acl-basic-2000] quit

# 配置域间包过滤规则。

[USG3000] firewall interzone trust untrust

[USG3000-interzone-trust-untrust] packet-filter 2000 inbound [USG3000-interzone-trust-untrust] quit

步骤 2 需求配置。

# 启用基于IP的统计功能。

[USG3000] firewall zone trust

[USG3000-zone-trust] statistic enable ip inzone

此处需要配置受保护的安全区域的基于IP的入方向上的统计功能。

[USG3000-zone-trust] quit

# 打开SYN Flood攻击防范功能全局开关。

[USG3000] firewall defend syn-flood enable

# 配置对服务器10.1.1.2进行SYN Flood攻击防范，配置SYN报文的最大连接速率为500个/秒，启动TCP代理。

9-48

华为所有和机密

文档版本 02 (2009-02-15)

Secoway USG3000

配置指南安全防范分册 9 配置安全策略

[USG3000] firewall defend syn-flood ip 10.1.1.2 max-rate 500 tcp-proxy on

----结束

9.17.5 配置基于接口的ARP Flood攻击防范示例

组网需求

统一安全网关的以太网接口GigabitEthernet 0/0连接外部网络，以太网接口GigabitEthernet 0/1连接内部网络。

需要隔离外部恶意用户对接口GigabitEthernet 0/1所连接网络中的PC机的ARP Flood攻击行为。

组网图

请参见图9-4。

配置步骤

步骤 1 统一安全网关基本配置。

# 配置GigabitEthernet 0/0的IP地址。

system-view

[USG3000] interface GigabitEthernet 0/0

[USG3000-GigabitEthernet0/0] ip address 2.2.3.1 16 [USG3000-GigabitEthernet0/0] quit

# 配置GigabitEthernet 0/1的IP地址。

[USG3000] interface GigabitEthernet 0/1

[USG3000-GigabitEthernet0/1] ip address 10.1.1.1 24 [USG3000-GigabitEthernet0/1] quit

# 配置GigabitEthernet 0/1加入Trust区域。

[USG3000] firewall zone trust

[USG3000-zone-trust] add interface GigabitEthernet 0/1 [USG3000-zone-trust] quit

# 配置GigabitEthernet 0/0加入Untrust区域。

[USG3000] firewall zone untrust

[USG3000-zone-untrust] add interface GigabitEthernet 0/0 [USG3000-zone-untrust] quit

# 配置到达1.1.1.0网段的静态路由。

[USG3000] ip route-static 1.1.1.0 24 2.2.2.1

文档版本 02 (2009-02-15)

华为所有和机密

9-49

9 配置安全策略

Secoway USG3000配置指南安全防范分册

# 配置ACL，允许来自1.1.1.0网段的报文通过统一安全网关。

[USG3000] acl 2000

[USG3000-acl-basic-2000] rule permit source 1.1.1.0 0.0.0.255 [USG3000-acl-basic-2000] quit

# 配置域间包过滤规则。

[USG3000] firewall interzone trust untrust

[USG3000-interzone-trust-untrust] packet-filter 2000 inbound [USG3000-interzone-trust-untrust] quit

步骤 2 需求配置。

# 进入Trust区域视图。

[USG3000] firewall zone trust

# 启用基于IP的统计功能。

[USG3000-zone-trust] statistic enable ip inzone

此处需要配置受保护的安全区域的基于IP的入方向上的统计功能。

# 退回系统视图。

[USG3000-zone-trust] quit

# 打开接口GigabitEthernet 0/1的ARP Flood攻击防范功能开关，并配置接口的ARP Flood攻击防范报文速率上限阈值为500包/秒。

[USG3000] firewall defend arp-flood enable interface GigabitEthernet 0/1 max-rate 500

----结束

9.17.6 配置地址扫描攻击防范示例

组网需求

统一安全网关USG3000，以太网接口GigabitEthernet 0/0连接Untrust安全区域，以太网接口GigabitEthernet 0/1连接Trust域。需要保护内部网络不受地址扫描的攻击。

组网图

请参见图9-4。

9-50

华为所有和机密

文档版本 02 (2009-02-15)

Secoway USG3000

配置指南安全防范分册 9 配置安全策略

配置步骤

步骤 1 统一安全网关基本配置。

# 配置GigabitEthernet 0/0的IP地址。

system-view

[USG3000] interface GigabitEthernet 0/0

[USG3000-GigabitEthernet0/0] ip address 2.2.3.1 16 [USG3000-GigabitEthernet0/0] quit

# 配置GigabitEthernet 0/1的IP地址。

[USG3000] interface GigabitEthernet 0/1

[USG3000-GigabitEthernet0/1] ip address 10.1.1.1 24 [USG3000-GigabitEthernet0/1] quit

# 配置GigabitEthernet 0/1加入Trust区域。

[USG3000] firewall zone trust

[USG3000-zone-trust] add interface GigabitEthernet 0/1 [USG3000-zone-trust] quit

# 配置GigabitEthernet 0/0加入Untrust区域。

[USG3000] firewall zone untrust

[USG3000-zone-untrust] add interface GigabitEthernet 0/0 [USG3000-zone-untrust] quit

# 配置到达1.1.1.0网段的静态路由。

[USG3000] ip route-static 1.1.1.0 24 2.2.2.1

# 配置ACL，允许来自1.1.1.0网段的报文通过统一安全网关。

[USG3000] acl 2000

[USG3000-acl-basic-2000] rule permit source 1.1.1.0 0.0.0.255 [USG3000-acl-basic-2000] quit

# 配置域间包过滤规则。

[USG3000] firewall interzone trust untrust

[USG3000-interzone-trust-untrust] packet-filter 2000 inbound

# 配置域间包过滤规则。

[USG3000-interzone-trust-untrust] quit

步骤 2 需求配置。

文档版本 02 (2009-02-15)

华为所有和机密

9-51

9 配置安全策略

Secoway USG3000配置指南安全防范分册

# 启用基于IP的统计功能。

[USG3000] firewall zone untrust

[USG3000-zone-untrust] statistic enable ip outzone

此处需要配置攻击者所在安全区域的基于IP的出方向上的统计功能。

[USG3000-zone-untrust] quit

# 启用黑名单功能。

[USG3000] firewall blacklist enable

# 启用地址扫描攻击防范功能。

[USG3000] firewall defend ip-sweep enable

# 配置抵制扫描攻击防范功能。

[USG3000] firewall defend ip-sweep max-rate 1000

[USG3000] firewall defend ip-sweep blacklist-timeout 20

----结束

9.17.7 配置超大ICMP报文控制示例

组网需求

统一安全网关的以太网接口GigabitEthernet 0/0连接外部网络，以太网接口GigabitEthernet 0/1连接内部网络。需要隔离来自恶意用户的超大ICMP报文。

组网图

参见图9-4。

配置步骤

步骤 1 统一安全网关基本配置。

# 配置GigabitEthernet 0/0的IP地址。

system-view

[USG3000] interface GigabitEthernet 0/0

[USG3000-GigabitEthernet0/0] ip address 2.2.3.1 16 [USG3000-GigabitEthernet0/0] quit

# 配置GigabitEthernet 0/1的IP地址。

[USG3000] interface GigabitEthernet 0/1

[USG3000-GigabitEthernet0/1] ip address 10.1.1.1 24 [USG3000-GigabitEthernet0/1] quit

# 配置GigabitEthernet 0/1加入Trust区域。

[USG3000] firewall zone trust

9-52

华为所有和机密

文档版本 02 (2009-02-15)

Secoway USG3000

配置指南安全防范分册 9 配置安全策略

[USG3000-zone-trust] add interface GigabitEthernet 0/1 [USG3000-zone-trust] quit

# 配置GigabitEthernet 0/0加入Untrust区域。

[USG3000] firewall zone untrust

[USG3000-zone-untrust] add interface GigabitEthernet 0/0 [USG3000-zone-untrust] quit

# 配置到达1.1.1.0网段的静态路由。

[USG3000] ip route-static 1.1.1.0 24 2.2.2.1

# 配置ACL，允许来自1.1.1.0网段的报文通过统一安全网关。

[USG3000] acl 2000

[USG3000-acl-basic-2000] rule permit source 1.1.1.0 0.0.0.255 [USG3000-acl-basic-2000] quit

# 配置域间包过滤规则。

[USG3000] firewall interzone trust untrust

[USG3000-interzone-trust-untrust] packet-filter 2000 inbound [USG3000-interzone-trust-untrust] quit

步骤 2 需求配置。

# 启用超大ICMP报文控制功能。

[USG3000] firewall defend large-icmp enable

# 配置ICMP报文的长度阈值。

[USG3000] firewall defend large-icmp max-length 2000

----结束

9.17.8 配置基于安全区域的连接数限制示例

组网需求

统一安全网关放置在内部网络与外部网络之间，并做如下部署：

z z z

GigabitEthernet 0/0与Trust安全区域相连。 GigabitEthernet 0/1与DMZ安全区域相连。 GigabitEthernet 0/2与Untrust安全区域相连。

文档版本 02 (2009-02-15)

华为所有和机密

9-53

9 配置安全策略

Secoway USG3000配置指南安全防范分册

需要对Trust安全区域向外发起的连接数目和其他安全区域向Trust安全区域发起的连接数目分别进行限制。

组网图

图9-5 基于安全区域的连接数量监控组网图

PCPCUSG3000UntrustGE0/2202.1.0.1/16RouterTrustGE0/0192.168.1.1/24GE0/110.110.0.1/8DMZServer

配置步骤

步骤 1 统一安全网关基本配置。

# 配置GigabitEthernet 0/0的IP地址。

system-view

[USG3000] interface GigabitEthernet 0/0

[USG3000-GigabitEthernet0/0] ip address 192.168.1.1 24 [USG3000-GigabitEthernet0/0] quit

# 配置GigabitEthernet 0/1的IP地址。

[USG3000] interface GigabitEthernet 0/1

[USG3000-GigabitEthernet0/1] ip address 10.110.0.1 8 [USG3000-GigabitEthernet0/1] quit

# 配置GigabitEthernet 0/2的IP地址。

[USG3000] interface GigabitEthernet 0/2

[USG3000-GigabitEthernet0/2] ip address 202.1.0.1 16 [USG3000-GigabitEthernet0/2] quit

# 配置GigabitEthernet 0/0加入Trust安全区域。

[USG3000] firewall zone trust

[USG3000-zone-trust] add interface GigabitEthernet 0/0 [USG3000-zone-trust] quit

# 配置GigabitEthernet 0/1加入DMZ安全区域。

[USG3000] firewall zone dmz

[USG3000-zone-dmz] add interface GigabitEthernet 0/1

9-54

华为所有和机密

文档版本 02 (2009-02-15)

Secoway USG3000

配置指南安全防范分册 9 配置安全策略

[USG3000-zone-dmz] quit

# 配置GigabitEthernet 0/2加入Untrust安全区域。

[USG3000] firewall zone untrust

[USG3000-zone-untrust] add interface GigabitEthernet 0/2 [USG3000-zone-untrust] quit

# 配置Trust和Untrust安全域间缺省允许所有报文通过。

[USG3000] firewall packet-filter default permit interzone trust untrust

# 配置Trust和DMZ安全区域缺省允许所有报文通过。

[USG3000] firewall packet-filter default permit interzone trust dmz

步骤 2 需求配置。

# 启用Trust安全区域出方向上的基于安全区域的统计功能。

[USG3000] firewall zone trust

[USG3000-zone-trust] statistic enable zone outzone

# 配置Trust安全区域的出方向TCP连接数量限制上限为200000，下限为10000。

[USG3000-zone-trust] statistic connect-number zone outzone tcp high 200000 low 10000

# 配置Trust安全区域入方向上的基于安全区域的统计功能。

[USG3000-zone-trust] statistic enable zone inzone

# 配置Trust安全区域入方向TCP连接数量限制上限为120000，下限为10000。

[USG3000-zone-trust] statistic connect-number zone inzone tcp high 120000 low 10000

----结束

9.17.9 配置基于安全区域的H.323流量带宽保证示例

组网需求

USG3000放置在内部网络与外部网络之间，并做如下部署：

z z z

GigabitEthernet 0/0与Trust安全区域相连。 GigabitEthernet 0/1与DMZ安全区域相连。 GigabitEthernet 0/2与Untrust安全区域相连。

需要尽力转发Trust域H.323流量，对其他流量进行限制。

组网图

请参见图9-5。

配置步骤

步骤 1 统一安全网关基本配置。

文档版本 02 (2009-02-15)

华为所有和机密

9-55

9 配置安全策略

Secoway USG3000配置指南安全防范分册

# 进入系统视图

system-view

# 进入GigabitEthernet 0/0视图。

[USG3000] interface GigabitEthernet 0/0

# 配置GigabitEthernet 0/0的IP地址。

[USG3000-GigabitEthernet0/0] ip address 192.168.1.1 24

# 退回系统视图。

[USG3000-GigabitEthernet0/0] quit

# 进入GigabitEthernet 0/1视图。

[USG3000] interface GigabitEthernet 0/1

# 配置GigabitEthernet 0/1的IP地址。

[USG3000-GigabitEthernet0/1] ip address 10.110.0.1 8

# 退回系统视图。

[USG3000-GigabitEthernet0/1] quit

# 进入GigabitEthernet 0/2视图。

[USG3000] interface GigabitEthernet 0/2

# 配置GigabitEthernet 0/2的IP地址。

[USG3000-GigabitEthernet0/2] ip address 202.1.0.1 16

# 退回系统视图。

[USG3000-GigabitEthernet0/2] quit

# 进入Trust区域视图。

[USG3000] firewall zone trust

# 配置GigabitEthernet 0/0加入Trust安全区域。

[USG3000-zone-trust] add interface GigabitEthernet 0/0

# 退回系统视图。

[USG3000-zone-trust] quit

# 进入DMZ安全区域视图。

[USG3000] firewall zone dmz

# 配置GigabitEthernet 0/1加入DMZ安全区域。

[USG3000-zone-dmz] add interface GigabitEthernet 0/1

# 退回系统视图。

[USG3000-zone-dmz] quit

9-56

华为所有和机密

文档版本 02 (2009-02-15)

Secoway USG3000

配置指南安全防范分册 9 配置安全策略

# 进入Untrust安全区域视图。

[USG3000] firewall zone untrust

# 配置GigabitEthernet 0/2加入Untrust安全区域。

[USG3000-zone-untrust] add interface GigabitEthernet 0/2

# 退回系统视图。

[USG3000-zone-untrust] quit

# 配置Trust和Untrust安全域间缺省允许所有报文通过。

[USG3000] firewall packet-filter default permit interzone trust untrust

# 配置Trust和DMZ安全区域缺省允许所有报文通过。

[USG3000] firewall packet-filter default permit interzone trust dmz

步骤 2 需求配置。

# 进入Trust和Untrust域间视图。

[USG3000] firewall interzone trust untrust

# 启用域间H.323协议的ASPF功能。

[USG3000-interzone-trust-untrust] detect h323

# 退回系统视图。

[USG3000-interzone-trust-untrust] quit

# 进入Trust 和Dmz域间视图。

[USG3000] firewall interzone trust dmz

# 启用域间H.323协议的ASPF功能。

[USG3000-interzone-trust-dmz] detect h323

# 退回系统视图。

[USG3000-interzone-trust-dmz] quit

# 进入GigabitEthernet 0/0接口视图。

[USG3000] interface GigabitEthernet 0/0

# 打开流控功能。

[USG3000-GigabitEthernet0/0] firewall flow-control on

# 退回系统视图。

[USG3000-GigabitEthernet0/0] quit

# 配置对H.323流量带宽保证。

[USG3000] firewall flow-control h323 enable

# 配置对其他流的限制为1M。

文档版本 02 (2009-02-15)

华为所有和机密

9-57

9 配置安全策略

[USG3000] firewall flow-control car cir 1000000

Secoway USG3000配置指南安全防范分册

----结束

9.17.10 配置ASPF示例

组网需求

如图9-6所示，一个公司通过统一安全网关将网络划分为两个安全区域：

z z

PC1处于Trust安全区域，分配地址202.101.1.0/24，具有最高安全级别。 HTTP和FTP Server处于Untrust安全区域，地址为2.2.2.11/24。

需求如下：

需求1：内部用户PC1使用统一安全网关地址池中的地址访问FTP和HTTP服务器Server。

需求2：当FTP的连接时间大于120s时，统一安全网关会主动断开FTP连接。需求3：仅允许Trust安全区域的用户向Untrust安全区域发起FTP和HTTP连接的返回报文通过统一安全网关。

需求4：禁止来自Server的HTTP报文中的Java Applets通过统一安全网关。

z z

组网图

图9-6 ASPF配置案例组网图

202.101.1.2/24TrustUSG3000Server2.2.2.11/24UntrustGE0/0202.101.1.1/24

GE0/12.2.2.1/24 配置步骤

步骤 1 统一安全网关基本配置。

# 配置GigabitEthernet 0/0的IP地址。

system-view

[USG3000] interface GigabitEthernet 0/0

[USG3000-GigabitEthernet0/0] ip address 202.101.1.1 24 [USG3000-GigabitEthernet0/0] quit

# 配置GigabitEthernet 0/1的IP地址。

[USG3000] interface GigabitEthernet 0/1

[USG3000-GigabitEthernet0/1] ip address 2.2.2.1 24

9-58

华为所有和机密

文档版本 02 (2009-02-15)

Secoway USG3000

配置指南安全防范分册 9 配置安全策略

[USG3000-GigabitEthernet0/1] quit

# 配置GigabitEthernet 0/0加入Trust区域。

[USG3000] firewall zone trust

[USG3000-zone-trust] add interface GigabitEthernet 0/0 [USG3000-zone-trust] quit

# 配置GigabitEthernet 0/1加入Untrust区域。

[USG3000] firewall zone untrust

[USG3000-zone-untrust] add interface GigabitEthernet 0/1 [USG3000-zone-untrust] quit

z z

后续有统一安全网关的域间包过滤规则的配置。此处不再赘述。

可以配置统一安全网关缺省允许报文通过所有安全域间，但配置后统一安全网关将未匹配会话表和ACL的报文按照缺省规则转发，会存在安全隐患。

需要配置PC1的静态路由或缺省路由，否则设备不能通过统一安全网关互通。

步骤 2 需求1配置。

# 配置NAT地址池。

[USG3000] nat address-group 1 2.2.2.2 2.2.2.5

# 配置ACL规则。

[USG3000] acl 2001

[USG3000-acl-basic-2001] rule 0 permit source 202.101.1.2 24 [USG3000-acl-basic-2001] quit

# 配置域间包过滤规则。

[USG3000] firewall interzone trust untrust

[USG3000-interzone-trust-untrust] packet-filter 2001 outbound

# 配置NAT地址池与ACL关联。

[USG3000-interzone-trust-untrust] nat outbound 2001 address-group 1 [USG3000-interzone-trust-untrust] quit

# 启用NAT ALG。

[USG3000] nat alg enable ftp

# 配置ASPF。

[USG3000] firewall interzone trust untrust [USG3000-interzone-trust-untrust] detect ftp [USG3000-interzone-trust-untrust] detect http [USG3000-interzone-trust-untrust] quit

步骤 3 需求2配置。

文档版本 02 (2009-02-15)

华为所有和机密

9-59

9 配置安全策略

Secoway USG3000配置指南安全防范分册

# 配置FTP的控制通道的超时时间。

[USG3000] firewall session aging-time ftp 120

步骤 4 需求3配置。

# 配置ACL规则，要求统一安全网关允许Trust安全区域到Untrust安全区域的FTP和HTTP的报文的反向报文通过，拒绝其他流量进入内部网络。

[USG3000] acl number 3101

[USG3000-acl-adv-3101] rule deny ip [USG3000-acl-adv-3101] quit

# 配置Trust和Untrust域间应用包过滤规则。

[USG3000] firewall interzone trust untrust

[USG3000-interzone-trust-untrust] packet-filter 3101 inbound [USG3000-interzone-trust-untrust] quit

步骤 5 需求4配置。

# 配置ACL 2010，拒绝来自站点2.2.2.11的Java Applets报文。

[USG3000] acl number 2010

[USG3000-acl-basic-2010] rule deny source 2.2.2.11 0.0.0.0 [USG3000-acl-basic-2010] rule permit source any [USG3000-acl-basic-2010] quit

# 配置在Trust和Untrust域间上应用ACL规则和ASPF策略。

[USG3000] firewall interzone trust untrust

[USG3000-interzone-trust-untrust] detect java-blocking 2010

----结束

9.17.11 配置三元组ASPF示例

组网需求

如图9-7所示，文件服务器TFTP Server放置于公网，TFTP Client放置于私网。当需要使用TFTP协议进行文件传输时，即可在统一安全网关上配置三元组ASPF功能。

9-60

华为所有和机密

文档版本 02 (2009-02-15)

Secoway USG3000

配置指南安全防范分册 9 配置安全策略

组网图

图9-7 三元组ASPF典型配置举例

USG3000内部网络GE0/02.2.2.1/24GE0/11.1.1.1/24TFTP server

TFTP client

配置步骤

# 配置GigabitEthernet 0/0的IP地址。

system-view

[USG3000] interface GigabitEthernet 0/0

[USG3000-GigabitEthernet0/0] ip address 2.2.2.1 24 [USG3000-GigabitEthernet0/0] quit

# 配置GigabitEthernet 0/1的IP地址。

[USG3000] interface GigabitEthernet 0/1

[USG3000-GigabitEthernet0/1] ip address 1.1.1.1 24 [USG3000-GigabitEthernet0/1] quit

# 配置GigabitEthernet 0/0加入Trust区域。

[USG3000] firewall zone trust

[USG3000-zone-trust] add interface GigabitEthernet 0/0 [USG3000-zone-trust] quit

TFTP Server连接的以太网接口应隶属于统一安全网关的Untrust区域。

# 配置GigabitEthernet 0/1加入Untrust区域。

[USG3000] firewall zone untrust

[USG3000-zone-untrust] add interface GigabitEthernet 0/1 [USG3000-zone-untrust] quit

TFTP Client连接的以太网接口应隶属于统一安全网关的Trust区域。

# 配置ACL规则，允许报文通过统一安全网关。

[USG3000] acl 2001

[USG3000-acl-basic-2001] rule permit source 2.2.2.0 0.0.0.255 [USG3000-acl-basic-2001] quit

# 配置域间包过滤规则。

[USG3000] firewall interzone trust untrust

[USG3000-interzone-trust-untrust] packet-filter 2001 outbound

文档版本 02 (2009-02-15)

华为所有和机密

9-61

9 配置安全策略

Secoway USG3000配置指南安全防范分册

# 配置user-define功能。

[USG3000-interzone-trust-untrust] detect user-define 2001 outbound

此处需要配置出方向的域间包过滤规则和启用统一安全网关出方向的user-define功能。

----结束

9.17.12 配置静态黑名单示例

组网需求

服务器和客户机分别位于统一安全网关DMZ安全区域和Untrust安全区域中，现要在100min内过滤掉客户机发送的所有IP报文。

组网图

图9-8 黑名单过滤的组网图

GE0/0192.168.10.1/24Server192.168.10.2/24

GE0/1202.169.168.1/24IP packetsPC202.169.168.2/24

USG3000

配置步骤

步骤 1 统一安全网关基本配置。

# 配置GigabitEthernet 0/0的IP地址。

system-view

[USG3000] interface GigabitEthernet 0/0

[USG3000-GigabitEthernet0/0] ip address 192.168.10.1 24 [USG3000-GigabitEthernet0/0] quit

# 配置GigabitEthernet 0/1的IP地址。

[USG3000] interface GigabitEthernet 0/1

[USG3000-GigabitEthernet0/1] ip address 202.169.168.1 24 [USG3000-GigabitEthernet0/1] quit

# 配置GigabitEthernet 0/0加入DMZ区域。

[USG3000] firewall zone dmz

[USG3000-zone-dmz] add interface GigabitEthernet 0/0 [USG3000-zone-dmz] quit

# 配置GigabitEthernet 0/1加入Untrust区域。

[USG3000] firewall zone untrust

9-62

华为所有和机密

文档版本 02 (2009-02-15)

Secoway USG3000

配置指南安全防范分册 9 配置安全策略

[USG3000-zone-untrust] add interface GigabitEthernet 0/1 [USG3000-zone-untrust] quit

# 配置域间缺省包过滤规则。

[USG3000] firewall packet-filter default permit interzone dmz untrust direction inbound

z z

请根据实际组网需求配置域间包过滤规则，否则会存在安全隐患；

此时注意在PC上配置静态路由和缺省路由。否则设备不能通过统一安全网关互通。

步骤 2 需求配置。

# 配置黑名单表项。

[USG3000] firewall blacklist item 202.169.168.2 timeout 100

# 启用黑名单功能。

[USG3000] firewall blacklist enable manual

----结束

9.17.13 配置动态黑名单示例

请参见“9.17.6 配置地址扫描攻击防范示例”。

9.17.14 配置MAC和IP地址绑定示例

组网需求

某组网方案有如下信息：

z z z

服务器和客户机分别位于统一安全网关DMZ区域和Untrust区域。服务器和客户机的IP地址分别为192.168.10.2/24和202.169.168.2/24。客户机的MAC地址为00e0-fc00-0100。

要求配置统一安全网关，只有符合上述关系对的报文才能通过，同时发送给202.169.168.2/24的报文将被发送给MAC地址为00e0-fc00-0100的网卡。

文档版本 02 (2009-02-15)

华为所有和机密

9-63

9 配置安全策略

Secoway USG3000配置指南安全防范分册

组网图

图9-9 地址绑定配置组网图

GE0/0192.168.10.1/24Server192.168.10.2/24

GE0/1202.169.168.1/24PC202.169.168.2/24

USG3000DMZ

Untrust

配置步骤

步骤 1 统一安全网关基本配置。

# 配置GigabitEthernet 0/0的IP地址。

system-view

[USG3000] interface GigabitEthernet 0/0

[USG3000-GigabitEthernet0/0] ip address 192.168.10.1 24 [USG3000-GigabitEthernet0/0] quit

# 配置GigabitEthernet 0/1的IP地址。

[USG3000] interface GigabitEthernet 0/1

[USG3000-GigabitEthernet0/1] ip address 202.169.168.1 24 [USG3000-GigabitEthernet0/1] quit

# 配置GigabitEthernet 0/0加入DMZ区域。

[USG3000] firewall zone dmz

[USG3000-zone-dmz] add interface GigabitEthernet 0/0 [USG3000-zone-dmz] quit

# 配置GigabitEthernet 0/1加入Untrust区域。

[USG3000] firewall zone untrust

[USG3000-zone-untrust] add interface GigabitEthernet 0/1 [USG3000-zone-untrust] quit

z z

后续有统一安全网关的域间包过滤规则的配置。此处不再赘述；

可以配置统一安全网关缺省允许报文通过所有安全域间，但配置后统一安全网关将未匹配会话表和ACL的报文按照缺省规则转发，会存在安全隐患；

需要配置PC1的静态路由或缺省路由，否则设备不能通过统一安全网关互通。

步骤 2 需求配置。

9-64

华为所有和机密

文档版本 02 (2009-02-15)

Secoway USG3000

配置指南安全防范分册 9 配置安全策略

# 配置ACL规则，允许PC访问服务器。

[USG3000] acl 3000

[USG3000-acl-adv-3000] rule permit ip source 202.169.168.2 0 destination 192.168.10.2 0

[USG3000-acl-adv-3000] quit

# 配置域间包过滤规则，允许PC访问服务器。

[USG3000] firewall interzone dmz untrust

[USG3000-interzone-dmz-untrust] packet-filter 3000 inbound [USG3000-interzone-dmz-untrust] quit

# 启用地址绑定功能。

[USG3000] firewall mac-binding enable

# 配置客户机IP地址和MAC地址到地址绑定关系中。

[USG3000] firewall mac-binding 202.169.168.2 00e0-fc00-0100

----结束

9.17.15 配置端口识别示例

组网需求

如图9-10所示，某公司对外提供WWW和FTP服务，通过配置统一安全网关，希望能够识别以下端口：

z z z

将使用端口号为8080、8081和8082的报文识别为HTTP报文。将去往主机129.38.1.1/24的使用端口号80的报文识别为FTP报文。将去往网段129.38.1.0/24的使用端口号5678的报文识别为HTTP报文。

组网图

图9-10 端口识别配置案例组网图

FTP server129.38.1.1/24USG3000内部网络GE0/0129.38.1.5/24WWW server129.38.1.3/24

GE0/1202.38.160.1/16202.39.2.3/24

文档版本 02 (2009-02-15)

华为所有和机密

9-65

9 配置安全策略

Secoway USG3000配置指南安全防范分册

配置步骤

步骤 1 统一安全网关基本配置。

# 配置GigabitEthernet 0/0的IP地址。

system-view

[USG3000] interface GigabitEthernet 0/0

[USG3000-GigabitEthernet0/0] ip address 129.38.1.5 24 [USG3000-GigabitEthernet0/0] quit

# 配置GigabitEthernet 0/1的IP地址。

[USG3000] interface GigabitEthernet 0/1

[USG3000-GigabitEthernet0/1] ip address 202.38.160.1 16 [USG3000-GigabitEthernet0/1] quit

# 配置GigabitEthernet 0/0加入DMZ区域。

[USG3000] firewall zone dmz

[USG3000-zone-dmz] add interface GigabitEthernet 0/0 [USG3000-zone-dmz] quit

# 配置GigabitEthernet 0/1加入Untrust区域。

[USG3000] firewall zone untrust

[USG3000-zone-untrust] add interface GigabitEthernet 0/1 [USG3000-zone-untrust] quit

# 配置DMZ和Untrust域间缺省包过滤规则。

[USG3000] firewall packet-filter default permit interzone dmz untrust direction inbound

由于该公司向外提供FTP和WWW服务，可以允许Untrust区域的外部用户自由访问DMZ区域的服务器。此时配置缺省允许Untrust区域的报文到达DMZ区即可。

步骤 2 需求配置。

# 将使用端口号为8080、8081和8082的报文识别为HTTP报文。

[USG3000] port-mapping http port 8080 [USG3000] port-mapping http port 8081 [USG3000] port-mapping http port 8082

# 将去往主机129.38.1.1的使用端口号80的报文识别为FTP报文。

[USG3000] acl number 2010

[USG3000-acl-basic-2010] rule permit source 129.38.1.1 0.0.0.0 [USG3000-acl-basic-2010] quit

[USG3000] port-mapping ftp port 80 acl 2010

# 将去往网段129.38.1.0的使用端口号5678的报文识别为HTTP报文。

[USG3000] acl number 2020

[USG3000-acl-basic-2020] rule permit source 129.38.1.0 0.0.0.255 [USG3000-acl-basic-2020] quit

[USG3000] port-mapping http port 5678 acl 2020

9-66

华为所有和机密

文档版本 02 (2009-02-15)

Secoway USG3000

配置指南安全防范分册 9 配置安全策略

ACL规则只有用于包过滤规则时，才存在方向性。此处的基本ACL规则仅用于定义主机的范围。

需要在FTP服务器上设置FTP端口为80，在HTTP服务器上设置HTTP端口为5678。

# 进入DMZ和Untrust域间视图。

[USG3000] firewall interzone dmz untrust

# 配置ASPF功能。

[USG3000-interzone-dmz-untrust] detect ftp [USG3000-interzone-dmz-untrust] detect http

----结束

文档版本 02 (2009-02-15)

华为所有和机密

9-67

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文

USG3000 统一安全网关 配置指南01-09 配置安全策略

USG3000 统一安全网关配置指南01-09 配置安全策略