USG配置nat server(8)

6. 执行命令policy service service-set { service-set-name } &<1-256>，指定需匹配流

量的服务类型。

7. 可选：执行命令description description-information，配置策略的描述信息。 8. 可选：配置策略的一些特殊匹配条件。这些条件是在源地址和目的地址的基础上，根据报

文中的一些特殊标记和属性对流量进行更加精确的匹配。 ?

执行命令policy precedence precedence-value，配置报文优先级字段。 报文优先级字段是IP报文头中的一个字段，一般用于标记该报文的转发优先级。可以通过匹配该字段来匹配流量。 ?

执行命令policy tos tos-value，配置报文服务类型字段。

服务类型字段是IP报文头中的一个字段，一般用于标记该报文的服务类型。可以通过匹配该字段来匹配流量。 ? ?

执行命令policy time-range time-name，配置策略生效的时间段。 执行命令policy logging，配置对符合条件的数据包做日志。

9. 执行命令action { permit | deny }，配置TSM联动策略动作。

通过上述多条命令进行流量匹配后，通过此命令就可以配置对所定义流量的动作。如果是permit就是将这些流量直接转发，如果是deny就是将这些流量直接丢弃。

注意：

如果在联动策略中对TSM的终端配置了deny的动作，将会导致TSM的逃生通道功能失效，因为USG是先匹配联动策略中的规则，再匹配逃生通道的规则的，一旦匹配上了联动策略中的deny规则，将无法匹配到逃生通道的规则，导致TSM的逃生通道功能失效。 10. 执行命令quit，退回系统视图。 11. 执行命令policy

interzone [ vpn-instance vpn-instance-name ] zone-name1 zone-name2 { inbound | outbound }，进入域间策略视图。

将自定义策略应用到哪个域间以及什么方向，其原理和原则与域间包过滤是一样的。可以参考配置安全策略进行。

由于在配置SACG与TSM控制器的连接的过程中，已经将TSM策略应用到终端设备与认证前域的域间。所以如果只是希望修改这个域间的TSM策略，可以不需要执行下面的命令重复应用，自定义策略创建完成后即可生效。如果需要应用的域间之前没有应用过TSM策略，则需要执行下面的命令。

12. 执行命令apply packet-filter right-manager，在域间应用TSM联动功能。

应用之后，该条策略即可在该域间即可生效。

后续处理

配置自定义策略后，可以对自定义策略进行调整：

? 在TSM自定义策略视图下执行policy policy-id { enable | disable }，启用或者禁用一条自定义策略。

? 调整TSM联动策略优先级。 ?

执行命令policy move policy-id1 before policy-id2，将策略policy-id1优先级调整到策略policy-id2的前面。调整后，策略policy-id1的优先级高于策略policy-id2的优先级。 ?

执行命令policy move policy-id1 after policy-id2，将策略policy-id1优先级调整到策略policy-id2的后面。调整后，策略policy-id1的优先级低于策略policy-id2的优先级。

如果需要查看各个policy之间的优先级关系，可以执行命令display policy right-manager来进行查看。policy的显示顺序就是匹配顺序。 [sysname] display policy right-manager

policy right-manager policy 1 (Inactive)(1 times matched) action deny policy logging policy service service-set ip policy source any policy destination any policy 1 disable

policy 2 (Inactive)(1 times matched) action permit policy logging policy service service-set ftp policy source any policy destination any policy 2 disable

配置URPF

介绍URPF的配置。 ?

URPF概述

介绍了URPF在网络中的应用场景及处理流程。 ?

配置接口URPF

通过在接口上配置URPF，防止基于源地址欺骗的网络攻击行为。 ?

配置URPF示例

介绍单播逆向路径转发的配置举例。

URPF

URPF的处理流程

URPF的处理流程如下：

1. 如果报文的源地址在USG的FIB表中存在。

?

对于strict型检查，反向查找报文出接口，若只有一个出接口和报文的入接口一一匹配，则报文通过检查；否则报文将被拒绝。当有多个出接口和报文的入接口相匹配时，必须使用loose型检查。（反向查找是指查找以该报文源IP地址为目的IP地址的报文的出接口）。 ?

对于loose型检查，当报文的源地址在USG的FIB表中存在（不管反向查找的出接口和报文的入接口是否一致），报文就通过检查；否则报文将被拒绝。

2. 如果报文的源地址在USG的FIB表中不存在，则检查缺省路由及URPF的

allow-default-route参数。 ?

对于配置了缺省路由，但没有配置参数allow-default-route的情况。

不管是strict型检查还是loose型检查，只要报文的源地址在USG的FIB表中不存在，该报文都将被拒绝。 ?

对于配置了缺省路由，同时又配置了参数allow-default-route的情况。 ?

如果是strict检查，只要缺省路由的出接口与报文的入接口一致，则报文将通过URPF的检查，进行正常的转发。如果缺省路由的出接口和报文的入接口不一致，则报文将拒绝。 ?

如果是loose型检查，报文都将通过URPF的检查，进行正常的转发。

3. 当且仅当报文被拒绝后，才去匹配ACL列表。如果被ACL允许通过，则报文继续进行正常

的转发；如果被ACL拒绝，则报文被丢弃。

配置接口URPF

通过在接口上配置URPF，防止基于源地址欺骗的网络攻击行为。

前提条件

? ? ?

配置接口的链路层属性 配置接口的IP地址 配置URPF所针对报文的ACL

背景信息

URPF检查有严格（strict）型和松散（loose）型两种。此外，还可以支持ACL与缺省路由的检查。

URPF的处理流程如下：

1. 如果报文的源地址在USG的FIB表中存在。

?

对于strict型检查，反向查找报文出接口，若只有一个出接口和报文的入接口一一匹配，则报文通过检查；否则报文将被拒绝。当有多个出接口和报文的入接口相匹配时，必须使用loose型检查。（反向查找是指查找以该报文源IP地址为目的IP地址的报文的出接口） ?

对于loose型检查，当报文的源地址在USG的FIB表中存在（不管反向查找的出接口和报文的入接口是否一致），报文就通过检查；否则报文将被拒绝。

2. 如果报文的源地址在USG的FIB表中不存在，则检查缺省路由及URPF的

allow-default-route参数。 ?

对于配置了缺省路由，但没有配置参数allow-default-route的情况。

不管是strict型检查还是loose型检查，只要报文的源地址在USG的FIB表中不存在，该报文都将被拒绝。 ?

对于配置了缺省路由，同时又配置了参数allow-default-route的情况。 ?

如果是strict检查，只要缺省路由的出接口与报文的入接口一致，则报文将通过URPF的检查，进行正常的转发。 ?

如果缺省路由的出接口和报文的入接口不一致，则报文将拒绝。如果是loose型检查，报文都将通过URPF的检查，进行正常的转发。

3. 当且仅当报文被拒绝后，才去匹配ACL列表。如果被ACL允许通过，则报文继续进行正常

的转发；如果被ACL拒绝，则报文被丢弃。

操作步骤

1. 执行命令system-view，进入系统视图。

2. 执行命令interface interface-type interface-number，进入接口视图。

可以使能URPF功能的接口包括GE接口、VLAN IF接口、Eth-Trunk接口、Tunnel接口和子接口。

3. 使能接口URPF功能。

?

IPv4网络中执行命令ip urpf { loose | strict } [ allow-default-route ] [ acl acl-number ] ?

IPv6网络中执行命令ipv6 urpf { loose | strict } [ allow-default-route ] [ acl6 acl-number ]

UTM

UTM（Unified Threat Management）指将多种安全功能集成于一个设备中，保护用户不受多种网络威胁的侵扰。

说明：

病毒特征库和IPS签名库都需要升级才能获得。

UTM检测 入侵防御（IPS）

IPS（Intrusion Prevention System）能够有效防御应用层攻击，如：缓冲区溢出攻击、木马、后门攻击、蠕虫等。

设备通过监控或者分析系统事件检测入侵，使用和匹配包含最新攻击特征的IPS签名库，判断该报文是否为攻击报文。如果检测到攻击，设备根据IPS策略进行响应，对攻击报文进行阻断或告警。

除了预定义的签名库外，用户还能根据实际网络情况和攻击特征定义自定义签名。但建议用户只在非常了解攻击特征的情况下才配置自定义签名，因为自定义签名设置错误不仅无法阻断攻击，而且还有可能导致报文误丢弃或业务不通等问题。

反病毒（AV）

AV（Anti-Virus）能有效检测文件中的病毒，并阻断感染了病毒的文件。

设备将接收到需要进行病毒扫描的文件的内容与病毒特征库进行比较，判断扫描内容中是否含匹配病毒特征的信息。如果检测到病毒，设备根据AV策略进行响应，删除含病毒文件或进行告警。如果没有检测到病毒，则设备放行该文件。

除了能检测病毒外，通过设置，设备还能对超大文件、密码保护文件、多层压缩文件、格式损坏文件进行放行或阻断。

设备能够对使用以下协议进行传输的文件进行病毒扫描和相应处理： ? ? ? ?

HTTP（Hypertext Transfer Protocol），超文本传输协议 SMTP（Simple Mail Transfer Protocol），简单邮件传输协议 POP3（Post Office Protocol 3），邮局协议版本3 FTP（File Transfer Protocol），文件传输协议

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库USG配置nat server(8)在线全文阅读。