收藏
下载资源

h3csecblade混合插卡组网培训课件

上传人:re****.1 文档编号:580475862 上传时间:2024-08-29 格式:PPT 页数:94 大小:10.11MB
返回 下载 相关 举报
h3csecblade混合插卡组网培训课件_第1页
第1页 / 共94页
h3csecblade混合插卡组网培训课件_第2页
第2页 / 共94页
h3csecblade混合插卡组网培训课件_第3页
第3页 / 共94页
h3csecblade混合插卡组网培训课件_第4页
第4页 / 共94页
h3csecblade混合插卡组网培训课件_第5页
第5页 / 共94页
点击查看更多>>
资源描述

《h3csecblade混合插卡组网培训课件》由会员分享,可在线阅读,更多相关《h3csecblade混合插卡组网培训课件(94页珍藏版)》请在金锄头文库上搜索。

1、H3C SecBlade H3C SecBlade 混合插卡组网混合插卡组网安全产品组安全产品组 巫继雨巫继雨日期:8/29/2024密级:11 1、SecBladeIPS/ACGSecBladeIPS/ACG插卡硬件外观和软件适配插卡硬件外观和软件适配2 2、SecBladeSecBlade插卡基本概念和工作方式插卡基本概念和工作方式3 3、SecBlade FW+IPS/ACGSecBlade FW+IPS/ACG插卡混插方案插卡混插方案 4 4、SecBlade FW+IPS+ACGSecBlade FW+IPS+ACG插卡混插方案插卡混插方案5 5、常见问题、常见问题2硬件外观硬件外观

2、接口1个Console接口1个CF卡接口,支持容量为256M、512M、1G的CF卡2个USB接口(预留)2个10/100/1000BASE-T电接口2个千兆Combo(光电复合)接口后插板10GE接口CF卡Console2GE电口2GE Combo2GB DDR2内存CF卡Console注:灰色标记部分为S5800插卡数据3H3C业务插卡配套关系业务插卡配套关系 插插卡卡产品产品FWFWIPSIPSLBLBACGACGSSL VPNSSL VPNNetStreamNetStreamAFCAFCSR88SR88SR66SR66S95ES95ES95S95S75ES75ES58S584插卡类型插

3、卡类型插卡式的插卡式的H3C SecBladeII FWH3C SecBladeII FW系列单板类型:系列单板类型:LSRM1FW2A1LSRM1FW2A1 适用于适用于H3C S9500E H3C S9500E 防火墙业务板防火墙业务板LSBM1FW2A1LSBM1FW2A1 适用于适用于H3C S9500 H3C S9500 防火墙业务板防火墙业务板LSQM1FWBSC0 LSQM1FWBSC0 适用于适用于H3C S7500E H3C S7500E 防火墙业务板模块防火墙业务板模块LSWM1FW10LSWM1FW10 适用于适用于H3C S5800 H3C S5800 系列防火墙模块系

4、列防火墙模块RT-SPE-FWM-H3 RT-SPE-FWM-H3 适用于适用于H3C SR6600 H3C SR6600 千兆防火墙业务板模块千兆防火墙业务板模块IM-FWIM-FW 适用于适用于H3C SR8800H3C SR8800防火墙业务处理板防火墙业务处理板插卡式的插卡式的H3C SecBlade LBH3C SecBlade LB系列单板类型:系列单板类型:LSQM1LBSC0LSQM1LBSC0 适用于适用于H3C S7500E-H3C S7500E-千兆负载均衡业务模块千兆负载均衡业务模块LSRM1LB1A1LSRM1LB1A1 适用于适用于H3C S9500E-H3C S9

5、500E-负载均衡业务板负载均衡业务板LSBM1LB1A1LSBM1LB1A1 适用于适用于H3C S9500-H3C S9500-负载均衡业务板负载均衡业务板LSWM1LB10LSWM1LB10 适用于适用于H3C S5800H3C S5800负载均衡业务板负载均衡业务板5插卡类型插卡类型-续续1插卡式的插卡式的H3C SecBlade IPSH3C SecBlade IPS系列单板类型:系列单板类型:LSWM1IPS10 LSWM1IPS10 适用于适用于H3C S5800/S5820XH3C S5800/S5820X系列交换机;系列交换机;LSQ1IPSSC0 LSQ1IPSSC0 适用

6、于适用于H3C S7500EH3C S7500E系列以太网交换机;系列以太网交换机;LSB1IPS1A0 LSB1IPS1A0 适用于适用于H3C S9500H3C S9500系列以太网交换机;系列以太网交换机;LSR1IPS1A1 LSR1IPS1A1 适用于适用于H3C S9500EH3C S9500E系列以太网交换机。系列以太网交换机。插卡式的插卡式的H3C SecBlade ACGH3C SecBlade ACG系列单板类型:系列单板类型:LSQ1ACGASC0 LSQ1ACGASC0 适用于适用于H3C S7500EH3C S7500E系列以太网交换机;系列以太网交换机;LSB1AC

7、G1A0 LSB1ACG1A0 适用于适用于H3C S9500H3C S9500系列以太网交换机;系列以太网交换机;LSR1ACG1A1 LSR1ACG1A1 适用于适用于H3C S9500EH3C S9500E系列以太网交换机。系列以太网交换机。6插卡类型插卡类型-续续2插卡式的插卡式的H3C SecBlade SSL VPNH3C SecBlade SSL VPN系列单板类型:系列单板类型:LSQM1SSLSC0LSQM1SSLSC0适用于适用于H3C S7500E-SSL VPNH3C S7500E-SSL VPN业务模块业务模块LSBM1SSL1A1LSBM1SSL1A1适用于适用于H

8、3C S9500 SSL VPNH3C S9500 SSL VPN业务板模块业务板模块RT-SPE-SSL-H3RT-SPE-SSL-H3 适用于适用于H3C SR6600 SSL VPNH3C SR6600 SSL VPN模块模块插卡式的插卡式的H3C SecBlade NetStreamH3C SecBlade NetStream系列单板类型:系列单板类型:LSQM1NSMSC0LSQM1NSMSC0适用于适用于H3C S7500E NetStreamH3C S7500E NetStream业务板业务板LSRM1NSM1A1LSRM1NSM1A1适用于适用于H3C S9500E NetSt

9、reamH3C S9500E NetStream业务板业务板LSWM1NSM10LSWM1NSM10适用于适用于H3C S5800H3C S5800系列系列NetStreamNetStream业务板业务板7使用版本使用版本产品配套项目版本号(对外)说明主控板软件SecBladeIPS-IMW110-E2107内部版本9011V200R001B01D105升级后BOOTWAREV108CPLD20075E配套版本S7500E-CMW520-F6307L03 95配套版本S9500-CMW310-R1646-EI95E配套版本S9500E-CMW520-B1136SecCenter版本SecCen

10、ter IPSM V2.10-B0022iMCiMC PLAT 3.20-R2602 + P04 SecBlade插卡可以在部门FTP相应目录:/New_Internal_Versions(新内部版本归档)/02-IP安全产品/xxxx获取的最新版本开局版本,每个插卡版本都会附带版本配套表,里面会列出和母体配套的版本,请在实施时获取。81 1、SecBladeIPS/ACGSecBladeIPS/ACG插卡硬件外观和软件适配插卡硬件外观和软件适配2 2、SecBladeSecBlade插卡基本概念和工作方式插卡基本概念和工作方式3 3、SecBlade FW+IPS/ACGSecBlade F

11、W+IPS/ACG插卡混插方案插卡混插方案 4 4、SecBlade FW+IPS+ACGSecBlade FW+IPS+ACG插卡混插方案插卡混插方案5 5、常见问题、常见问题901 SecBladeII FW插卡插卡SecBladeII防火墙插卡是我司防火墙的旗舰级产品,其硬件上采用了多核技术,处理核心是目前处理能力最强大的嵌入式处理器之一RMI的力作XLR 732。高端防火墙的软件,采用了我司最新的COMWARE V5平台(V5R2),配合精心构架的底层驱动,能够充分地发挥多核的优势。New10防火墙部署防火墙部署透明模式透明模式FTP ServerFWSwtich板Swtich板146

12、7101235821110GE10GEaccess Vlan 100Vlan 100Vlan 101VIF1011.1.1.1交换处理Access Vlan 2001.1.1.22.2.2.2入方向:入方向:1-6:二层转发6-7:二层转发7-8:二层转发8-9:三层转发9-12:二层转发出方向:出方向:12-9:二层转发9-8:三层转发8-7:二层转发7-6:二层转发6-1:二层转发Vlan 1000VIF 2002.2.2.1Vlan 2009Vlan 1002-2-2方式方式背板背板11防火墙部署防火墙部署三层转发三层转发FTP ServerFWSwtich板Swtich板1467101

13、235821110GE 10GEaccess Vlan 100Vlan 100Vlan 200交换处理Access Vlan 2001.1.1.22.2.2.2入方向:入方向:1-6:二层转发6-7:三层转发7-12:二层转发出方向:出方向:12-7:二层转发7-6:三层转发61:二层转发VIF 2002.2.2.1Vlan 2009VIF1001.1.1.1Vlan 1002-3-2方式方式背板背板12防火墙部署防火墙部署三层转发三层转发2FTP ServerFWSwtich板Swtich板1467101235821110GE 10GEaccess Vlan 100Vlan 100Vlan

14、101VIF101172.16.1.2/30交换处理Access Vlan 2001.1.1.22.2.2.2入方向:入方向:1-6:二层转发6-7:三层转发7-8:二层转发8-9:三层转发9-12:二层转发出方向:出方向:12-9:二层转发9-8:三层转发8-7:二层转发7-6:三层转发6-1:二层转发Vlan 1000VIF 2002.2.2.1Vlan 2009VIF101172.16.1.1/30VIF1001.1.1.1Vlan 100也是也是2-3-2方式方式这是什么方式?背板背板13有没有这种方式有没有这种方式FTP ServerFWSwtich板Swtich板146710123

15、5821110GE 10GEaccess Vlan 100Vlan 100Vlan 101VIF101172.16.1.2/30交换处理Access Vlan 2001.1.1.22.2.2.2Vlan 1000VIF 2002.2.2.1Vlan 2009VIF101172.16.1.1/30VIF100172.16.0.1/30Vlan 100VIF100172.16.0.2/30答案:这个一般真没有!答案:这个一般真没有!1402 SecBlade IPS插卡插卡包头包头内部网络内部网络 IPS防火墙协议协议数据内容数据内容InternetnIPS(Intrusion Preventio

16、n System,入侵防御系统),是一种基于应用层、主动防御的产品,它以在线方式部署于网络关键路径,通过对数据报文的深度检测,实时发现威胁并主动进行处理。目前已成为应用层安全防护的主流设备。1503 SecBlade ACG插卡插卡H3C SecPath ACGH3C SecPath ACG(Application Control GatewayApplication Control Gateway)是业界识别最全面、)是业界识别最全面、控制手段最丰富的高性能应用控制网关,能对网络中的控制手段最丰富的高性能应用控制网关,能对网络中的P2P/IMP2P/IM带宽滥用、带宽滥用、网络游戏、炒股、多

17、媒体应用、非法网站访问等行为进行精细化识别和网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识别和控制;同时,根据对网络流量、用户行为进行深入分析,可以帮助用户控制;同时,根据对网络流量、用户行为进行深入分析,可以帮助用户全面了解网络应用模型和流量趋势,为开展各项业务提供数据支撑。全面了解网络应用模型和流量趋势,为开展各项业务提供数据支撑。H3C ACGH3C ACG系列包括系列包括SecPath ACG 2000-MSecPath ACG 2000-M、SecPath ACG8800-S3SecPath ACG8800-S3和应用于和应用于H3C S75E/S95/S95EH3C S

18、75E/S95/S95E系列交换机的系列交换机的SecBlade ACGSecBlade ACG模块。模块。16对用户上网行为进对用户上网行为进行深入分析,识别行深入分析,识别出相关应用出相关应用采取阻断、限流、采取阻断、限流、干扰、过滤、警告干扰、过滤、警告等控制手段等控制手段通过采集相关访问通过采集相关访问信息,实现事后行信息,实现事后行为审计为审计行为识别行为识别行为控制行为控制行为审计行为审计ACG实现目标实现目标17部署概念部署概念(1)(1)n安全区域和段安全区域和段n安全区域是一个物理安全区域是一个物理/网络上的概念(网络上的概念(特定的物理端口特定的物理端口 + VLAN ID

19、)n段可以看作是段可以看作是连接两个安全区域连接两个安全区域的一个透明网桥的一个透明网桥n策略被应用在特定的段上策略被应用在特定的段上。 段段 + 策略策略 + 网络配置网络配置 (IP地址、方向地址、方向)18部署概念部署概念(2)(2)n特征、规则和策略特征、规则和策略n特征定义了一组检测因子来决定如何对当前网络中的流量进行检测特征定义了一组检测因子来决定如何对当前网络中的流量进行检测n规则的范畴比特征要广。规则规则的范畴比特征要广。规则 = 特征特征 + 启用状态启用状态 + 动作集动作集n策略是一个包含了多条规则的集合策略是一个包含了多条规则的集合n动作和动作集动作和动作集19n安全区

20、域、段和策略的关系安全区域、段和策略的关系WANDMZ - WWWINTERNALSegmentZone APolicyPolicyPolicyPORTPORTZone B部署概念部署概念(3)20SecBlade IPS/ACG插卡工作方式插卡工作方式SecBladeSecBlade插卡与交换机背板相连,有两插卡与交换机背板相连,有两种工作方式:种工作方式:EthernetEthernet、HigHig方式。方式。SecBladeII FW、SSL VPN、LB都工作在Ethernet方式下,而IPS和ACG插卡则工作在Hig方式下, Ethernet方式下的插卡,可以通过二、三层转发接收报

21、文。Hig方式下的插卡只能通过重定向转发接收报文。重定向报文的两种方法:OAA和重定向。其中,OAA是我司自主开发的开放应用框架协议,S75E/S95E/S58都采用OAA的方式和母体互联;而重定向是S95上板卡的工作方式,S95通过重定向的方式将报文送到IPS/ACG插卡处理。21OAA基本流程图基本流程图插卡n交换机重定向报文的方交换机重定向报文的方向性向性交换机只能对入方向的报文进行重定向。入方向,是指报文相对与交换机背板而言。22OAA配置举例:配置举例:单块插卡单块插卡OAA三层转发应用场景三层转发应用场景 interface VLAN-interface2 ip address 1

22、72.16.160.250 255.255.255.0interface VLAN-interface1001 ip address 172.16.161.30 255.255.255.224interface VLAN-interface1002 ip address 172.16.161.62 255.255.255.224interface VLAN-interface1003 ip address 172.16.164.1 255.255.255.02301 S9500E OAA相关配置相关配置# 配置主控板的mib风格为new(需要重启)mib-style new # 使能ACFP

23、server和ACSEI server功能。acfp server enable acsei server enable # 配置内联接口所属VLANinterface VLAN-interface100ip address 100.100.100.1 255.255.255.0 24S9500E相关配置 配置内联接口,假设IPS插卡位于S9500E的3号槽位,则交换机上对应内联口为Ten-GigabitEthernet3/0/1: interface Ten-GigabitEthernet3/0/1 port link-type trunk port trunk permit vlan al

24、l mac-address max-mac-count 0 port connection-mode extend 25S9500E相关配置配置SNMPv3参数,这里配置为SNMPv3用户,不认证不加密方式: snmp-agent snmp-agent local-engineid 800063A20300E0FC960801 snmp-agent sys-info version all snmp-agent group v3 v3group_no read-view iso write-view iso snmp-agent mib-view included iso iso snmp-a

25、gent usm-user v3 v3user_no v3group_no /用户名v3user_no在插卡上配置时会用到26IPS/ACG插卡相关配置插卡相关配置 配置OAA,确认连通性测试成功 27IPS/ACG插卡相关配置插卡相关配置创建安全区域,按照实际需求将相应接口加入安全区域。启用OAA模式后,母体所有的接口在IPS/ACG插卡上都是可见的。域应用模式选用【常规】模式,目前仅S75E支持【级联】模式,既支持多块IPS/ACG插卡的组网。 对于单块插卡的配置,内、外部域选择流量上下行接口即可 2802 S7500E相关配置相关配置# 配置主控板的mib风格为new(需要重启)mib-

26、style new # 配置交换机主控板的流量转发模式为enhanced(需要重启)switch-mode l2-enhanced # 使能ACFP server和ACSEI server功能。acfp server enable acsei server enable # 配置内联接口所属VLANinterface VLAN-interface100ip address 100.100.100.1 255.255.255.0 29S7500E相关配置 配置内联接口。假设IPS插卡位于S9500E的2号槽位,则交换机上对应内联口为Ten-GigabitEthernet2/0/1: interf

27、ace Ten-GigabitEthernet2/0/1port link-type trunk port trunk permit vlan all port trunk pvid vlan 100 port connection-mode extendmac-address mac-learning disableSNMP参数配置同前面S95E配置。3003 S5800相关配置相关配置# 使能ACFP/ACSEI。 acfp server enable acsei server enable # 配置管理VLAN。interface VLAN-interface100 ip address

28、 100.100.100.1 255.255.252.0 # 内联口配置(仅配置为Access口即可)。interface Ten-GigabitEthernet1/2/1 port access vlan 100 port connection-mode extend # SNMP参数设置同前。31单块插卡重定向工作方式单块插卡重定向工作方式(1)流入交换机某个端口的所有报文。(2)将需要IPS或者ACG分析、管理的流量重定向或者镜像到插卡上。(3)将入口进入的其他流量正常转发。(4)交换机将报文重定向到插卡。(5)通过10GE通道,将流量传入插卡。(6)插卡处理完毕,将报文送回给交换机。(

29、7)交换机再进行正常的转发处理。32重定向配置举例PC1连接在95的e2/1/1端口,模拟内网(vlan80)用户。PC2连接在95的e2/1/5端口,模拟外网(vlan60)应用。SecBlade IPS/ACG插卡通过10GE端口g3/1/1与95连接,作为95的插卡,承载IPS/ACG功能。VLAN80VLAN6033S9500相关配置相关配置# #定义重定向策略定义重定向策略在接口e2/1/1和e2/1/5入方向上配置重定向策略:内网接口将所有三层转发的ip报文重定向到插卡;外网接口将目的ip为内网ip 的三层ip报文重定向到插卡。# acl number 3000 rule 1 pe

30、rmit ip packet-level route acl number 3001 rule 1 permit ip packet-level route destination 192.168.0.0 0.0.0.255# interface Ethernet2/1/1 port access vlan 80 traffic-redirect inbound ip-group 3000 interface GigabitEthernet3/1/1 80# interface Ethernet2/1/5 port access vlan 60 traffic-redirect inbound

31、 ip-group 3001 interface GigabitEthernet3/1/1 60 34S9500相关配置相关配置# #配置内联接口配置内联接口#interface GigabitEthernet3/1/1 port link-type trunk port trunk permit vlan all mac-address max-mac-count 0# #内网接口上过滤内网接口上过滤ARPARP和二层转发报文和二层转发报文#acl number 4000 rule 1 deny packet-level bridge ingress any egress any rule

32、0 deny arp ingress any egress any#interface GigabitEthernet3/1/1 port link-type trunk port trunk permit vlan all packet-filter inbound link-group 400035IPS/ACG插卡配置插卡配置# #配置安全域配置安全域# #配置段和段策略配置段和段策略361 1、SecBladeIPS/ACGSecBladeIPS/ACG插卡硬件外观和软件适配插卡硬件外观和软件适配2 2、SecBladeSecBlade插卡基本概念和工作方式插卡基本概念和工作方式3 3

33、、SecBlade FW+IPS/ACGSecBlade FW+IPS/ACG插卡混插方案插卡混插方案 4 4、SecBlade FW+IPS+ACGSecBlade FW+IPS+ACG插卡混插方案插卡混插方案5 5、常见问题、常见问题37FW+IPS/ACG插卡三层转发混插方案插卡三层转发混插方案 1 内网用户依次经过SecBlade FW和ACG插卡进行流量分析,访问外网 。SecBlade FW位于一号槽位,而ACG位于二号槽位。 防火墙上配置两个子接口XGE0/0.2和XGE0/0.9。S9500E上配置VLAN 9并设置三层虚接口与防火墙XGE0/0.9通信。内网的上行流量通过配置

34、默认路由,从防火墙的XGE0/0.9接口进,经处理后从XGE0/0.2子接口出,然后经ACG到Internet。 IPS/ACGIPS/ACG插卡在插卡在FWFW外面外面XGE0/0.9XGE0/0.238S95E相关配置#配置防火墙10GE口 interface Ten-GigabitEthernet1/0/1 port link-type trunkport trunk permit VLAN 1 to 4 9 to 10 30 40 50 60 70#配置S9500E连接内网用户的接口 interface GigabitEthernet0/0/1 port access VLAN 110

35、interface VLAN-interface110 ip address 10.11.1.1 255.255.255.0 #配置S9500E连接internet的出接口 interface GigabitEthernet0/0/32 description To_Internet port access VLAN 2#在S9500E的VLAN9上配置三层虚接口,用于交换机与防火墙通信 interface VLAN-interface9 description to_FW-link ip address 10.253.1.2 255.255.255.0 #默认路由指向FW板卡ip route

36、-static 0.0.0.0 0.0.0.0 10.253.1.1 39S95E相关配置# 配置主控板的mib风格为new。mib-style new# 使能ACFP server和ACSEI server功能。acfp server enable acsei server enable# 配置内联接口所属VLAN interface VLAN-interface1000description To_ACG ip address 10.254.1.2 255.255.255.0 40S95E相关配置# 配置内联接口 interface Ten-GigabitEthernet2/0/1 por

37、t link-type trunk port trunk permit vlan allport connection-mode extendmac-address max-mac-count 0# 配置SNMPv3参数, 41FW相关配置相关配置 配置防火墙上行流量出口(下行流量入口) interface Ten-GigabitEthernet0/0.2description TO-INTERNETvlan-type dot1q vid 2ip address 192.168.20.133 255.255.252.0配置防火墙上行流量入口(下行流量出口) interface Ten-Giga

38、bitEthernet0/0.9description T0-S9500E-linkvlan-type dot1q vid 9ip address 10.253.1.1 255.255.255.0配置下行流量路由,将下行流量转发给S9500E相应出接口 ip route-static 10.0.0.0 255.0.0.0 10.253.1.242ACG插卡相关配置插卡相关配置配置OAA,确认连通性测试成功43ACG插卡相关配置插卡相关配置因为流量是先经过防火墙,再到ACG插卡,所以ACG的内部域接口为防火墙的10GE口。由于经防火墙处理后的流量带VLAN2 Tag,因此,ACG内部区域指定VL

39、AN ID为防火墙出方向的VLAN ID 2。外部域接口为S9500E连外网的出口。44FW+IPS/ACG插卡三层转发混插方案插卡三层转发混插方案 2内网用户依次经过ACG插卡和SecBlade FW进行流量统计分析,访问外网。防火墙上配置两个子接口,XGE0/0.20和XGE0/0.30。S9500E上配置VLAN 20并设置三层虚接口与防火墙通信。上行流量会经OAA重定向到ACG,处理后按路由配置从XGE0/0.20子接口进入防火墙处理,再从XGE0/0.30子接口出,最后到Internet。IPS/ACGIPS/ACG插卡在插卡在FWFW里面里面XGE0/0.20XGE0/0.3045

40、S95E相关配置#配置防火墙的10GE口 interface Ten-GigabitEthernet2/0/1port link-type trunkport trunk permit VLAN 1 to 4 9 to 10 30 40 50 60 70#配置S9500E内网入接口 interface GigabitEthernet7/0/1 port access VLAN 10interface VLAN-interface10 ip address 10.0.0.1 255.0.0.0 #S9500E上VLAN20配置三层虚接口,用于交换机与防火墙通信 interface VLAN-in

41、terface20 description to_FW-link ip address 20.0.0.2 255.0.0.0 ip route-static 0.0.0.0 0.0.0.0 20.0.0.1 46ACG插卡相关配置插卡相关配置因为流量是先经过ACG,再到防火墙。所以ACG的内部域接口为S9500E连内部网络的接口,外部域接口为防火墙的10GE口,VLAN ID为防火墙入方向的VLAN ID 47FW相关配置# 配置防火墙上行流量入口。interface Ten-GigabitEthernet0/0.20description TO-ACGVLAN-type dot1q vid

42、20ip address 20.0.0.1 255.0.0.0# 配置防火墙上行流量出口。interface Ten-GigabitEthernet0/0.30description TO-INTERNETVLAN-type dot1q vid 30ip address 30.0.0.1 255.0.0.0# 配置下行流量路由,将下行流量转发给S9500E,OAA会根据策略重定向到ACG插卡继续处理。ip route-static 10.0.0.0 255.0.0.0 20.0.0.2 481 1、SecBladeIPS/ACGSecBladeIPS/ACG插卡硬件外观和软件适配插卡硬件外观和

43、软件适配2 2、SecBladeSecBlade插卡基本概念和工作方式插卡基本概念和工作方式3 3、SecBlade FW+IPS/ACGSecBlade FW+IPS/ACG插卡混插方案插卡混插方案 4 4、SecBlade FW+IPS+ACGSecBlade FW+IPS+ACG插卡混插方案插卡混插方案5 5、常见问题、常见问题49域应用模式域应用模式在IPS/ACG插卡安全区域配置中,域应用模式分为【常规】和【级联】两种。选择【级联】域应用模式,可以实现插卡混插组网下流量级联处理,即实现业务流量依次经过SecBlade IPS和SecBlade ACG按相应段策略进行处理。【举例】:如

44、果流量经过插卡的顺序为:ACG-IPS,则ACG的内部域应该为常规模式,外部域为级联模式,而IPS的内部域为级联模式,外部域为常规模式。50域应用模式区别域应用模式区别n常规模式:常规模式:(1)若安全域中没有指定VLAN ID,则精确匹配接口;(2)若安全域中指定了VLAN ID,则精确匹配接口和VLAN_ID。n级联模式级联模式当报文携带的VLAN_ID为有效值时,只匹配报文的VLAN_ID。【注意】【注意】:仅有S75E系列交换机支持IPS/ACG插卡的级联模式。51S75E SecBlade FW+IPS+ACG混插组网混插组网用户网络中配置三个内网接口,属于三个不同VLAN,每个内网

45、接口的流量都要重定向到插卡上,上行流量依次经过SecBlade ACG、SecBlade IPS以及SecBlade FW按配置策略进行处理;一个外网接口,属于单独VLAN。Slot2Slot4Slot352S7500E配置配置#将内网用户接口加入指定VLAN,并在内网VLAN配置三层转发IP。interface VLAN-interface10ip address 10.0.0.1 255.0.0.0 interface GigabitEthernet8/0/1port access VLAN 10#访问外网接口加入VLAN30。interface GigabitEthernet8/0/3p

46、ort access VLAN 30 #S7500E内网VLAN20上配置三层接口IP,用于连接防火墙子接口XGE0/0.20。interface VLAN-interface20ip address 20.0.0.2 255.0.0.0#配置路由,实现流量三层转发到防火墙。ip route-static 30.0.0.0 255.0.0.0 20.0.0.1 53S7500E OAA配置配置mib-style new acfp server enable acsei server enable switch-mode l2-enhanced # 配置内联接口所属VLAN(此VLAN 100只

47、为OAA管理用,对流量转发不起作用)interface VLAN-interface100ip address 100.100.100.1 255.255.255.0 # 配置内联接口interface Ten-GigabitEthernet3/0/1port link-type trunkport trunk permit VLAN allport trunk pvid VLAN 100port connection-mode extend# 配置SNMPv3参数,这里配置为SNMPv3用户,不认证不加密方式 54ACG插卡插卡登陆web:系统管理OAA设置页面,配置OAA,确s连通性测试成

48、功。 将内网用户接口加入SecBlade ACG内部区域,指定VLAN10、VLAN40和VLAN50,选择【常规】模式;将SecBlade IPS内联口Ten-GigabitEthernet4/0/1加入到外部区域,指定VLAN20,选择【级联】模式55IPS插卡插卡将SecBlade ACG内联口Ten-GigabitEthernet3/0/1加入内部区域Lan_IPS,指定VLAN10、VLAN40和VLAN50,并配置为【级联】模式;将防火墙内联口Ten-GigabitEthernet2/0/1加入外部区域Wan_IPS中,指定VLAN20 。56防火墙配置防火墙配置#防火墙连接内网子

49、接口配置interface Ten-GigabitEthernet0/0.20ip address 20.0.0.1 255.0.0.0vlan-type dot1q vid 20 interface Ten-GigabitEthernet0/0.30ip address 30.0.0.1 255.0.0.0 vlan-type dot1q vid 30#下行流量转发路由ip route-static 10.0.0.0 255.0.0.0 20.0.0.2#web上将XGE0/0.20和XGE0/0.30加入安全区域57流量走向流量走向上行上行如左图所示,GE8/0/1连接内网1用户,属于VL

50、AN10。当有流量经过该接口访问外网时,ACG插卡以“接口+VLAN”方式精确匹配,检查该流量匹配安全区域Lan_ACG,便将流量引入ACG插卡内联口Ten-GE3/0/1,根据所属段上关联策略处理流量。Slot2Slot4Slot3GE8/0/1 处理后流量返回到ACG插卡内联口依旧带有VLAN10 Tag,入接口信息为GegabitEthernet8/0/1;由于IPS插卡上Lan_IPS配置为级联模式,仅匹配流量VLAN ID,因此该流量匹配IPS插卡安全区域Lan_IPS,因此流量将被继续重定向到IPS插卡内联口进行处理。58流量走向流量走向上行上行(续续)Slot2Slot4Slot

51、3GE8/0/1 上行流量按S7500E上配置路由(一般为默认路由,指向防火墙和交换机的互联vlan接口) ,通过vlan20转发到防火墙后,从防火墙子接口XGE0/0.20进,由子接口XGE0/0.30出,在S7500E上vlan30内二层转发到相应接口,从而连接Internet。59流量走向流量走向下行下行InternetInternet下行流量通过vlan30进入防火墙,防火墙查找内网路由,通过XGE0/0.20子接口在vlan20内转发给S7500E。Slot2Slot4Slot3GE8/0/1 60流量走向流量走向下行下行(续续)经过防火墙三层转发处理后返回给S7500E的流量,带有

52、VLAN20的tag,入接口信息为Ten-GigabitEthernet2/0/1,此时的流量信息匹配IPS插卡外部域Wan_IPS,因此流量将被重定向到IPS插卡,根据对应段关联策略对流量进行处理。下行流量经过IPS插卡处理后仍然带VLAN20 Tag,入接口信息为Ten-GE2/0/1。由于ACG插卡上安全区域Wan_ACG设置为级联模式,仅匹配流量的VLAN ID 20,因此将该流量会被引到ACG插卡内联口,随后ACG按相应段关联策略进行处理。ACG处理后流量返回给S75E,S75E进行正常内部转发。 Slot2Slot4Slot3GE8/0/1 61S95E SecBlade IPS+

53、FW+ACG混插组网混插组网S95E不支持IPS/ACG的级联组网,所以不能直接采用IPS+ACG直接对联的混插方式,而中间应该插入一台具有三层转发能力的板卡,因此可以采用的方式是IPS+FW+ACG,此方式和FW+IPS/ACG组网没有本质区别。 62S95E配置配置三层转发相关配置三层转发相关配置# 配置上行流量(内网到外网)入接口interface Vlan-interface11 ip address 11.0.0.1 255.0.0.0interface GigabitEthernet7/0/10 port access vlan 11 # VLan20配置三层虚接口,用于S95E和

54、FW插卡通信interface Vlan-interface20 ip address 20.0.0.2 255.0.0.0# 配置上行流量(内网到外网)出接口interface GigabitEthernet7/0/9 port access vlan 30# 防火墙内联接口配置interface Ten-GigabitEthernet3/0/1 port link-type trunk port trunk permit vlan 1 20 30# 配置路由使上行流量转发到FW ip route-static 30.0.0.0 255.0.0.0 20.0.0.1OAAOAA相关配置:相关

55、配置:# 配置内联接口所属VLAN(此VLAN 4094只为OAA管理用,对流量转发不起作用)。interface Vlan-interface4094 ip address 100.0.0.1 255.255.255.0 # 配置内联接口(ACG插卡内联口)。interface Ten-GigabitEthernet2/0/1 port link-type trunk port trunk permit vlan all port connection-mode extend mac-address max-mac-count 0# 配置内联接口(IPS插卡内联口)。interface Te

56、n-GigabitEthernet6/0/1 port link-type trunk port trunk permit vlan all port connection-mode extend mac-address max-mac-count 0# 配置SNMPv3参数63IPS插卡配置插卡配置n配置配置OAAOAAn配置安全区域配置安全区域64FW插卡配置插卡配置# 防火墙上行流量(内网到外网)入口interface Ten-GigabitEthernet0/0.20 vlan-type dot1q vid 20 ip address 20.0.0.1 255.0.0.0# 防火墙上行

57、流量(内网到外网)出口interface Ten-GigabitEthernet0/0.30 vlan-type dot1q vid 30 ip address 30.0.0.1 255.0.0.0# 下行流量路由配置,将下行流量转发给S9500E ip route-static 11.0.0.0 255.0.0.0 20.0.0.2 65ACG插卡配置插卡配置n配置配置OAAOAAn配置安全区域配置安全区域66流量走向流量走向上行上行VLAN11的用户流量进入GE7/0/10后,匹配IPS内部域LAN,流量被重定向到IPS插卡。流量经过IPS处理后返回给S95E,终结在vlan interf

58、ace11上。S95E查找去往Internet的路由,从接口VIF20发送到防火墙插卡上,防火墙从XGE0/0.20接收报文,通过查找路由,在接口XGE0/0.30回送给S95E。S95E通过vlan 30在XGE3/0/1收到防火墙处理后的流量,匹配ACG插卡内部域FW-30,流量被重定向到ACG插卡处理,处理后的流量返回给S95E,S95E在vlan 30内二层转发。 67流量走向流量走向下行下行VLAN30的下行流量进入GE7/0/9接口,匹配ACG外部域WAN,流量被重定向到ACG插卡上,处理后的流量返回给S95E。Vlan30的流量通过XGE3/0/1转发给防火墙插卡,终结在XGE0

59、/0.30子接口上。防护墙查找去往内网的路由,通过XGE0/0.20子接口转发给S95E。S95E通过XGE3/0/1收到防火墙处理的报文,且报文携带vlan20的tag,匹配IPS的外部域FW-20,流量被重定向到IPS插卡上。经过IPS处理的流量返回S75E,终结在vlan interface20上。然后S95E查找路由,转发到vlan11内,通过二层转发给客户端。68S95 SecBlade IPS+FW+ACG混插组网混插组网S95S95混插和混插和S75ES75E混插区别:混插区别:nS75E混插时,插卡分为常规和级联模式,而S95混插则没有这两个模式。nS95不支持OAA方式,只能

60、使用重定向将流量上送SecBlade插卡。在S95 IPS/ACG插卡安全区域里只显示插卡的10GE口一个接口,插卡的上下行方向只能通过VLAN ID来区分。 69组网图组网图如左图所示,VLAN100连接外网,内网用户按实际需求被划分为VLAN80和VLAN81;防火墙配置XGE0/0.60和XGE0/0.100。安全区域中配置接口和VLAN ID,将匹配流量引到内联口,使上行流量依次经过SecBlade ACG和SecBlade IPS;然后进行三层转发,通过VLAN60将流量转发到防火墙内网子接口XGE0/0.60,交给防火墙处理;最后,经过FW处理的流量在S9500上转发到出接口访问I

61、nternet。70S95配置配置/允许三层ip报文通过acl number 3000 rule 0 permit ip packet-level route/内网接口1,属于vlan80,将所有入方向ip报文打上vlan80 tag,重定向到ACG的10GE口interface Ethernet0/1/1 port access vlan 80 traffic-redirect inbound ip-group 3000 interface GigabitEthernet1/1/1 8071S95配置配置续续1#/与防火墙通信的vlanvlan 60#/内网两个vlanvlan 80#vla

62、n 81#/外网vlanvlan 100#interface Vlan-interface60 ip address 60.0.0.1 255.255.255.0#interface Vlan-interface80 ip address 80.0.0.1 255.255.255.0#interface Vlan-interface81 ip address 81.0.0.1 255.0.0.072S95配置配置续续2/内网接口2,属于vlan81,将所有入方向ip报文打上vlan81 tag,重定向到ACG的10GE口interface Ethernet0/1/2port access vl

63、an 81 traffic-redirect inbound ip-group 3000 rule 0 system-index 1 interface GigabitEthernet1/1/1 81 /内网接口2,属于vlan81,将所有入方向ip报文打上vlan81 tag,重定向到ACG的10GE口interface Ethernet0/1/2port access vlan 81 traffic-redirect inbound ip-group 3000 rule 0 system-index 1 interface GigabitEthernet1/1/1 81 73S95配置配置

64、续续3/过滤二层报文;过滤arp报文acl number 4000acl number 4000 rule 1 deny packet-level bridge ingress any egress any rule 0 deny arp ingress any egress any/允许vlan60的报文acl number 4002acl number 4002 rule 0 permit ip ingress 60 egress any/允许vlan80和vlan81的报文acl number 4003acl number 4003 rule 0 permit ip ingress 80

65、 egress any rule 1 permit ip ingress 81 egress any74S95配置配置续续4/ACG的10GE口,trunk口;禁止mac地址学习、过滤二层报文、过滤arp;将内网vlan 80和vlan 81的报文带上各自的tag,送到IPS的10GE口。interface GigabitEthernet1/1/1interface GigabitEthernet1/1/1 port link-type trunk port trunk permit vlan all mac-address max-mac-count 0 traffic-redirect i

66、nbound link-group 4003 rule 0 system-index 2 interface GigabitEthernet2/1/1 80 packet-filter inbound link-group 4000 traffic-redirect inbound link-group 4003 rule 1 system-index 13 interface GigabitEthernet2/1/1 8175S95配置配置续续5/IPS的10GE口,trunk口;禁止mac地址学习;过滤二层报文;过滤arp;将外网vlan 60的报文带上tag送到ACG的10GE口。int

67、erface GigabitEthernet2/1/1interface GigabitEthernet2/1/1 port link-type trunk port trunk permit vlan all mac-address max-mac-count 0 traffic-redirect inbound link-group 4002 rule 0 system-index 3 interface GigabitEthernet1/1/1 60 packet-filter inbound link-group 4000 rule 1 system-index 5 packet-fi

68、lter inbound link-group 4000 rule 0 system-index 676S95配置配置续续6/防火墙的10GE接口,trunk口;将从外网返回的报文打上vlan 60 tag,送到IPS的10GE口。interface GigabitEthernet4/1/1interface GigabitEthernet4/1/1 port link-type trunk port trunk permit vlan all traffic-redirect inbound link-group 4002 rule 0 system-index 4 interface Gi

69、gabitEthernet2/1/1 60/95的默认路由下一跳指向防火墙 ip route-static 100.0.0.0 255.255.255.0 60.0.0.2 preference 6077ACG插卡配置插卡配置将ACG插卡的10GE接口加入SecBlade ACG内外部区域,指定内部域VLAN id为VLAN 80和VLAN 81,外部域VLAN id为VLAN 60 。78IPS插卡配置插卡配置将IPS插卡的10GE口加入SecBlade IPS内外部区域,指定内部域vlan id为VLAN 80和VLAN 81,外部域VLAN id为VLAN 60 79防火墙插卡配置防火墙

70、插卡配置#vlan 60#vlan 100#interface Ten-GigabitEthernet0/0 port link-mode route#interface Ten-GigabitEthernet0/0.60 vlan-type dot1q vid 60 ip address 60.0.0.2 255.255.255.0#interface Ten-GigabitEthernet0/0.100 vlan-type dot1q vid 100 ip address 100.0.0.2 255.255.255.0#ip route-static0.0.0.0 0.0.0.0 100.

71、0.0.1ip route-static 80.0.0.0 255.255.255.0 60.0.0.1ip route-static 81.0.0.0 255.0.0.0 60.0.0.180流量走向流量走向上行上行 Ethernet0/1/1连接内网用户属于VLAN 80。当有流量经过该接口访问外网时,流量被重定向到ACG插卡,ACG插卡处理后,再将报文原封不动地送往IPS的内联口,此时报文的VLAN id仍然为vlan 80,IPS处理完成后,从10GE口送回95。 返回到95的流量根据95的路由表,转发到防火墙处理,然后到internet。81流量走向流量走向下行下行 从interne

72、t回来的流量,从VLAN 100进,根据默认路由,先到FW上处理,防火墙根据策略,将报文的VLAN id转换成VLAN 60,重定向到IPS插卡,IPS插卡处理完成后,原封不动地再送到ACG,ACG处理完成后,将报文送回95,95再根据路由表进行相应流量转发。 从上述流程可以看出,ACG、IPS的上行流量均为内网流量+其VLAN tag,下行流量均为防火墙处理后的流量,所以,上行流量到ACG、IPS插卡所带打VLAN tag相同,下行流量到IPS、ACG插卡的VLAN tag也相同,ACG、IPS在配置安全区域时,所对应的VLAN id一样。ACG、IPS插卡本身不具备置换VLAN tag的能

73、力。理解这一点,就能理解上面的流程了。821 1、SecBladeIPS/ACGSecBladeIPS/ACG插卡硬件外观和软件适配插卡硬件外观和软件适配2 2、SecBladeSecBlade插卡基本概念和工作方式插卡基本概念和工作方式3 3、SecBlade FW+IPS/ACGSecBlade FW+IPS/ACG插卡混插方案插卡混插方案 4 4、SecBlade FW+IPS+ACGSecBlade FW+IPS+ACG插卡混插方案插卡混插方案5 5、常见问题、常见问题83常见问题常见问题n如何判断如何判断OAAOAA策略已经下发成功?策略已经下发成功?【H3C】 display ac

74、fp policy-infoACFP policy total number: 2ClientID: 1 Policy-Index: 1Rule-Num: 1 ContextID: 4631Exist-Time: 45790 (s) Life-Time: 2147483647(s)Start-Time: 00:00:00 End-Time: 24:00:00Admin-Status: enable Effect-Status: active(策略已激活)DstIfFailAction: delete Priority: 4In-Interface: GigabitEthernet7/0/23O

75、ut-Interface:Dest-Interface: Ten-GigabitEthernet3/0/184常见问题常见问题(续续)n如何判断数据报文是否被如何判断数据报文是否被IPS/ACGIPS/ACG插卡阻断?插卡阻断?将SecBlade IPS/ACG的工作模式设置为二层回退模式,这样IPS/ACG插卡只是进行报文的透明转发,类似于一根“网线”,仅仅转发数据报文。85常见问题常见问题(续续)n如何判断如何判断FWFW是否正确转发了数据报文?是否正确转发了数据报文?配置高级ACL,指定需要调试的源/目的地址;用户视图下,打开调试开关:“debugging ip packet acl 3

76、999”;通过调试信息可以查看防火墙是否正常转发报文(可以搜索pktid查询相关报文、隐含视图下,执行“ifdiag 23”,可以查看接口索引)*Jun 23 19:21:54:807 2009 H3C DPIPFWD/7/debug_case: Receiving, interface = Idx:0x00400000, version = 4, headlen = 20, tos = 0,pktlen = 40, pktid = 9045, offset = 0, ttl = 127, protocol = 6,checksum = 37386, s = 192.168.96.18, d

77、= 192.168.101.13prompt: Receiving IP packet86常见问题常见问题(续续)n如何判断数据报文是否被如何判断数据报文是否被FWFW安全策略阻断?安全策略阻断?配置高级ACL,指定需要调试的源/目的地址; 用户视图下,打开调试开关:“debugging firewall packet-filter all acl 3999”Jun 23 19:20:31:898 2009 H3C FILTER/7/debug: Thread 1, the tcp packet is permitted from Management to Local: (192.168.9

78、6.19 4269)-(192.168.101.13 80), 48 bytes, ACL none.87常见问题常见问题(续续)n为什么流量没有引到插卡上?为什么流量没有引到插卡上?对于对于OAAOAA插卡:插卡:1,OAA不成功,连通性测试是否通过?IPS E2107及以前版本、ACG E6113版本存在缺陷,OAA互联的VLAN ID必须小于255。2,ACFP策略没有下发到交换机,通过display acfp policy-info来判断是否下发、下发是否正确。可能原因为,IPS/ACG未正确配置内部域和外部域;安全域配置完成后,未进行激活。对于对于FWFW插卡:插卡:1,三层模式下查

79、看路由,下一跳是否指向FW地址;或在防火墙上debug制定报文;2,二层模式下,查看是否存在本vlan的vlan-interface,查看是否通过10GE接口学习到相应MAC地址。88常见问题常见问题(续续)n为什么攻击防范或为什么攻击防范或P2PP2P限流不生效?限流不生效?1,报文是否上送到IPS/ACG板卡?2,是否配置了正确的IPS/ACG策略,并且进行了激活;3,IPS/ACG插卡的特征库是否升级到最新,设备是否有特征库License授权89常见问题常见问题(续续)n为什么在配置为什么在配置IPS/ACG ManagerIPS/ACG Manager的情况下,发现没有任何的情况下,发

80、现没有任何日志信息?日志信息?1,日志配置是否正确;2,IPS/ACG插卡的管理口是否和ACG Manager设备路由可达;3,是否正确的同步了交换机的时间,交换机在发送给插卡时间时,原来并非采用格林威治时间,这样经常导致IPS/ACG插卡会+8个小时90常见问题常见问题(续续)n混插组网情况下,实施顺序是怎么样的?混插组网情况下,实施顺序是怎么样的?由于IPS/ACG属于“没有转发能力”的插卡,属于透明模式部署,不会对现有组网在路由上造成影响,因此可以在实施完成SecBlade防护墙等Ethernet类型的板卡后,网络连通性测试已经通过后,再来部署IPS/ACG插卡。91常见问题常见问题(续

81、续)nFWFW和和IPS/ACGIPS/ACG混插的情况下,谁放在外面?混插的情况下,谁放在外面?1,在FW做NAT的情况下,IPS/ACG插卡放在防火墙的里面。如果插卡放在外面,报文经过FW板卡NAT后,已经无法区分内部的地址,对于行为审计和控制都是个问题。2,如果FW没有做NAT,则IPS/ACG插卡放在外面和里面均可以,但建议放在外面。因为经过FW的二三层转发后,IPS/ACG插卡仍然可以看做单独部署,只是内部域接口变成了连接防火墙的10GE接口而已。92常见问题常见问题(续续)n各种设备如何开局?各种设备如何开局? /Technical_Support_Documents(技术支持文件)/19-安全产品系列资料/01-安全产品/19-安全板卡专栏/01-开局指导书/杭州华三通信技术有限公司

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 建筑/环境 > 施工组织

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号