《SecPath防火墙面向对象管理特性V2.0.ppt》由会员分享,可在线阅读,更多相关《SecPath防火墙面向对象管理特性V2.0.ppt(23页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、SecPathSecPath防火墙面向对象管理特性防火墙面向对象管理特性ISSUE 2.0日期:杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播n为提高防火墙产品配置的易用性、可管理性,当今业为提高防火墙产品配置的易用性、可管理性,当今业界主流厂商(天融信、思科、联想网域等)都相继推界主流厂商(天融信、思科、联想网域等)都相继推出了支持面向对象管理的产品,出了支持面向对象管理的产品,SecPath系列防火墙系列防火墙产品也支持面向对象管理特性。产品也支持面向对象管理特性。引入引入n掌握面向对象管理的基本概念掌握面向对象管理的基本概念n掌握面向对象管理的典型配置掌握面向对象管理的典型配
2、置课程目标课程目标学习完本课程,您应该能够:学习完本课程,您应该能够:n面向对象管理基本概念面向对象管理基本概念n面向对象管理使用范围面向对象管理使用范围n面向对象管理配置(面向对象管理配置(CML和和Web)n基本维护管理基本维护管理目录目录4概念介绍概念介绍l面向对象提出:面向对象提出:传统的防火墙产品配置一般都采用命令行CML方式,这种方式目前不被客户所接受,客户希望采用简单直观的配置方式,完成对产品业务特性的配置,从而提高设备的易管理水平。面向对象管理由此而生。l面向对象管理概念:面向对象管理概念:面向对象管理(OCM)有时简称面向对象。通过引入对象管理的概念,将IP地址和域名简化为地
3、址对象和地址组对象;将源端口、目的端口以及协议号简化为服务对象和服务组对象;将时间范围简化为时间段对象;将通常的五元组简化为流对象。n面向对象管理基本概念面向对象管理基本概念n面向对象管理使用范围面向对象管理使用范围n面向对象管理配置(面向对象管理配置(CML和和Web)n基本维护管理基本维护管理目录目录6面向对象管理使用范围面向对象管理使用范围l目前目前SecPath使用范围:使用范围:包过滤和包过滤和NAT 用户通过在流对象中简单的引用地址(组)对象、服务(组)对象、时间段对象,然后在包过滤和NAT配置中引用流对象,从而简化了包过滤和NAT配置管理的工作。n面向对象管理基本概念面向对象管理
4、基本概念n面向对象管理使用范围面向对象管理使用范围n面向对象管理配置(面向对象管理配置(CML和和Web)n基本维护管理基本维护管理目录目录8面向对象管理配置(几个概念)面向对象管理配置(几个概念)l面向对象对以前的概念进行了翻新:面向对象对以前的概念进行了翻新:面向对象管理的概念面向对象管理的概念对应于以前的概念对应于以前的概念地址对象IP地址或地址段(不是地址池)服务对象端口号时间段对象时间段流对象ACLl同时,为了方便配置,引入了两个同时,为了方便配置,引入了两个“组组”的的概念:概念:地址组:一个地址组可以包括多个地址对象服务组:一个服务组可以包括多个服务对象9面向对象管理配置(面向对
5、象管理配置(CML方式)方式)l面向对象管理配置主要包括以下几个方面:面向对象管理配置主要包括以下几个方面:地址(组)对象的管理(对应于以前的地址)服务(组)对象的管理(对应于以前的端口)时间段对象的管理(对应于以前的时间段)流对象的管理(相当于以前的ACL)包过滤支持流对象地址转换支持流对象 10面向对象管理配置(面向对象管理配置(CML方式)方式)l地址(组)对象的管理配置地址(组)对象的管理配置配置命令配置命令创建地址对象object address object-name address mask|domain-name 创建地址组对象object address-group obje
6、ct-group-name 添加地址组对象成员add object-name注:若创建的地址对象是域名,需要配置如下命令:dns resolve(进行地址解析)dns server X.X.X.X(dns服务器地址)11面向对象管理配置(面向对象管理配置(CML方式)方式)l服务(组)对象的管理配置服务(组)对象的管理配置配置命令配置命令创建TCP和UDP服务对象object service object-name protocol tcp|udp src-port src-port1 to src-port2 dst-port dst-port1 to dst-port2 创建ICMP服务对
7、象object service object-name protocol icmp type icmp-type code icmp-code 创建其它协议类型的服务对象object service object-name protocol protocol-number创建服务组对象object service-group object-group-name添加服务组成员add object-12面向对象管理配置(面向对象管理配置(CML方式)方式)l时间对象的管理配置时间对象的管理配置配置命令配置命令创建一个时间段time-range time-name start-time to end
8、-time days-of-the-week from start-time start-date to end-time end-date|from start-time start-date to end-time end-date|to end-time end-date l流对象的管理配置流对象的管理配置配置命令配置命令创建流对象acl name acl-name添加流规则rule rule-id permit|deny source src-name|src-group-name destination dst-name|dst-group-name service srv-name
9、|srv-group-name time-range time-name logging 13面向对象管理配置(面向对象管理配置(CML方式)方式)l包过滤与包过滤与NAT应用流对象应用流对象配置命令配置命令进入接口视图interface type number将流对象应用到包过滤防火墙中firewall packet-filter acl-name inbound|outbound 将流对象应用到NAT中nat outbound acl-name address-group group-number no-pat 14面向对象管理配置(面向对象管理配置(Web方式)方式)l首先通过首先通过W
10、eb方式登录并选择如下配置页面:方式登录并选择如下配置页面:15面向对象管理配置(面向对象管理配置(Web方式)方式)l地址(组)对象的管理配置地址(组)对象的管理配置16面向对象管理配置(面向对象管理配置(Web方式)方式)l服务(组)对象的管理配置服务(组)对象的管理配置17面向对象管理配置(面向对象管理配置(Web方式)方式)l时间对象的管理配置时间对象的管理配置l流对象的管理配置流对象的管理配置18面向对象管理配置(面向对象管理配置(Web方式)方式)l包过滤与包过滤与NAT应用流对象应用流对象n面向对象管理基本概念面向对象管理基本概念n面向对象管理使用范围面向对象管理使用范围n面向对
11、象管理配置(面向对象管理配置(CML和和Web)n基本维护管理基本维护管理目录目录20维护与管理维护与管理操作命令显示地址对象display object address object-name 显示地址组对象display object address-group object-group-name 显示服务对象display object service object-name 显示服务组对象display object service-group object-group-name 显示系统预先定义的服务对象display object predefined service显示流对象display acl all|name acl-name 打开地址对象的DNS解析调试开关debugging object dns关闭地址对象的DNS解析调试开关undo debugging object dns清除访问规则计数器reset acl counter all|name acl-name n介绍面向对象管理的概念介绍面向对象管理的概念nSecPathSecPath系列防火墙面向对象配置方法与步骤系列防火墙面向对象配置方法与步骤本章总结本章总结杭州华三通信技术有限公司
限制150内