山石SA2001A操作指导手册 这里需要先进入以太网口E0/1的接口配置模式,然后使用“bgroup bgroup1”命令把E0/1接口绑定到bgroup1。
注意:添加物理接口时,必须保证被添加的物理接口(此处为接口Eth0/1) 不属于任何其它接口也不属于任何安全域。
5.4.9创建集聚接口及其子接口
一个集聚接口是两个或者多个物理接口的集合。这些物理接口平均分担通过该集聚接口的流量,集聚接口可以提高接口的带宽,如果集聚接口中的一个物理接口出现故障,那么集聚接口中的其他接口可以继续处理流量,但是可使用的流量变小。
在全局配置模式下,使用“interface aggregate”命令创建集聚接口,如下图:
表示创建了名为“aggregate1”的集聚接口。
我们可以为已存在的集聚接口创建子接口。创建集聚子接口,在全局配置模式下使用命令
“interface aggregate1.X”,具体如下:
表示为已经存在的集聚接口aggregate1创建子接口aggregate1.1。
5.4.10 创建冗余接口及冗余子接口
一个冗余接口绑定两个物理接口,一个物理接口作为主接口处理流向该冗余接口的流量,另
外一个接口作为备用接口在主接口发生故障时升级为主接口继续处理流量。
在全局配置模式下使用“interface redundant1”命令创建名为redundant1的冗余接口,如下
图:
要为已经存在的redundan1冗余接口创建冗余子接口,在全局配置模式下使用命令“interface
redundant1.X”,具体如下图:
表示为冗余接口“redundan1”创建了子接口“redundan1.1”。
可以为冗余接口添加物理接口,在要添加的接口的接口配置模式下使用命令“redundant
redundant1”把物理接口绑定到冗余接口“redundan1”,具体如下:
表示先进入物理接口“eth0/3”的接口配置模式,然后使用命令“redundant redundant1”把物
信息中心
7/11/2013
16
山石SA2001A操作指导手册 理接口“eth0/3”绑定到冗余接口“redundan1”。
为冗余接口绑定了物理接口后,需要指定其中一个接口为主接口,使用的命令是“primary”,具体如下:
表示先在全局配置模式下进入冗余接口“redundan1”的配置模式,然后通过“primary ethernet0/3”命令指定物理接口“eth0/3”为冗余接口“redundan1”的主接口。
5.4.11 创建隧道接口
SA2001A支持 VPN 功能。隧道接口充当 VPN 通道的入口。流量通过隧道接口进出 VPN 通道。 隧道接口只能是三层接口。
在全局配置模式下,输入命令“interface tunnel1”创建一个隧道接口“tunnel1”并且进入隧道接口配置模式,如下图:
。
创建了隧道接口后,需要把指定的隧道绑定到隧道接口,隧道接口可以绑定 IPSec VPN 隧
道、GRE 隧道、SCVPN 隧道或者 L2TP 隧道。一个隧道接口可以绑定多个 IPSec VPN 隧道或多个 GRE 隧道,但仅可以绑定一个 SCVPN 隧道或者一个 L2TP隧道。具体配置如下:
表示把已经存在的名为“test”的IPSec VPN隧道绑定到隧道接口“tunnel1”。
注意:在配置上述命令时,需要先在全局配置模式下创建好相关隧道(此处为“test”)。命令
如下:
SA-2001(config)# tunnel ipsec test manual,表示在全局配置模式下创建名为“test”的ipsec VPN隧道。
信息中心
7/11/2013
17
山石SA2001A操作指导手册
六,SA2001A策略具体介绍
6.1 策略简介 策略是网络安全设备的基本功能。默认情况下,安全设备会拒绝设备上所有安全域之间的信息传输。而策略则通过策略规则(Policy Rule)决定从一个安全域到另一个安全域的哪些流量该被允许,哪些流量该被拒绝。
策略分为以下两种:域间策略:域间策略对安全域间的流量进行控制。可通过设置域间策略来拒绝、允许从一个安全域到另一个安全域的流量。域内策略:安全域内策略对源地址和目的地址在同一个安全域的流量进行控制。
6.2 策略规则简介
策略规则允许或者拒绝从一个安全域到另一个安全域的流量。流量的类型、流量的源地址与目标地址以及行为构成策略规则的基本元素。
Direction 表示两个安全域之间的流量的方向,指从源安全域到目标安全域。 Source Address表示流量的源地址。
Destination Address 表示流量的目标地址。 Service表示流量的服务类型。
Action表示安全设备在遇到指定类型流量时所做的行为,包括允许(Permit)、拒绝(Deny)、隧道(Tunnel)、是否来自隧道(Fromtunnel)以及 Web 认证五个行为。
举例如下:允许从 trust 域的任意地址到 untrust 域的任意地址 ICMP 服务流量通过SA2001A。
如图所示:
下面用“show policy id 2” 命令显示策略规则“2“的相关信息,如下图:
信息中心
7/11/2013
18
山石SA2001A操作指导手册
创建策略规则后,进入策略规则配置模式可以对规则相关参数进行修改,如下图:
在策略规则配置模式下可以起用或禁用策略规则,具体如下:
表示禁用当前策略规则,用“enable”命令可以起用当前策略规则。
6.3 策略规则日志管理功能介绍 信息中心
7/11/2013
19
山石SA2001A操作指导手册 我们可以根据需要,通过系统日志信息记录流量对策略规则的匹配情况,对于 permit 类型的策略规则,可以记录两种情况,分别是符合策略规则的流量建立会话时生成日志信息和结束会话时生成日志信息。对于 deny 类型的策略规则,可以记录的情况为:符合策略规则的流量被 deny 时生成日志信息。
不过需要注意的是:使用该功能前,必须保证系统的流量日志功能是开启的,即在全局配置模式下,执行 logging traffic on 命令。如下;
。
要配置规则的日志管理,需在策略规则配置模式下,使用命令“log”,事例如下:
其中policy-deny 适用于 deny 类型的策略规则,使系统生成规则拒绝流量的日志信息。 session-start 适用于 permit 类型的策略规则,使系统生成会话建立的日志信息。 session-end 适用于 permit 类型的策略规则,使系统生成会话结束的日志信息。
我们可以为安全域间未匹配到任何已配置策略规则的流量指定缺省行为,系统将按照指定的缺省行为对此类流量进行处理。默认情况下,系统会拒绝未匹配到任何已配置策略规则的流量通过。
要配置缺省行为,需使用命令 “default-action”,如下图:
表示指定缺省行为为“permit”(允许)。
6.4 修改规则排列顺序
在SA2001A中,每一条策略规则都有唯一一个 ID 号。流量进入安全网关时,安全网关对策略规则进行顺序查找,然后按照查找到的相匹配的第一条规则对流量进行处理。但是,策略规则 ID 的大小顺序并不是规则查找时的匹配顺序。使用 show policy 命令列出的规则顺序才是规则匹配顺序(系统将由上到下进行查找)。我们在创建策略规则时可以指定该规则的排列位置,也可以在策略配置模式下修改其位置。策略规则的排列位置可以是绝对位置,即处在首位(Top)或者处在末位(Bottom),也可以是相对位置,即位于某个 ID 之前或之后。
要修改规则排列顺序,在策略配置模式下使用命令“move”,具体如下:
信息中心
7/11/2013
20
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库山石SA2001A VPN防火墙简明配置手册(4)在线全文阅读。
相关推荐: