1.1.1 创建IPv4/IPv6白名单
【应用场景】
白名单功能即将特定的源或目的IP地址加入白名单后,设备对于该源地址发送或发往该目的地址的报文会跳过安全检查,直接按照正常的转发流程进行处理,从而实现了报文的高速转发。
例如:当客户希望网络中少部分IP地址(如管理员)不受安全策略、抗DoS/DDoS策略的限制时,可以为对应的IP地址配置白名单。
【操作步骤】
(1) 点击[策略] >> [黑白名单] 菜单项,选择创建IPv4或者IPv6白名单,本例选择新建IPv4白名单。
(2) 在操作区上方,点击<新增>。
系统进入新增白名单页面。
(3) 设置白名单策略的相关配置。
a 选择白名单类型,“源地址”或“目的地址”。
○ 源地址:报文由此类地址发出。
○ 目的地址:报文发往此类地址。
b 填写白名单IP地址/范围,可以填写单IP,IP段或IP/掩码三种格式。
c 点击<保存>。
(4) 将“操作”栏中的开关设置为开启状态,启用该条白名单设置。
说明
● 需要批量删除多条白名单策略时,请勾选多条待删除的策略并点击“删除”。
● 需要使多条白名单策略策略生效时,请勾选多条待生效的策略并点击 “启用”。
● 需要禁用多条白名单策略时,请勾选多条待禁用的策略并点击 “禁用”。
● 点击“导出”,可以导出当前所有的白名单配置。
● 点击“导入”按钮,可以下载导入格式模板,或选择要上传的CSV文件,点击“确认”启动导入任务。
● 在搜索栏中输入白名单IP地址、白名单描述中的完整或部分内容可进行模糊搜索。
1.1.2 创建IPv4/IPv6黑名单
【应用场景】
黑名单功能能够根据报文的IP地址进行报文过滤,直接阻断来自指定源地址或发往指定目的地址的所有流量。
当用户希望网络中部分IP地址(如攻击源)的流量无法通过设备时,可以将其加入黑名单。
注意
添加至黑名单中的IP无法登录防火墙设备。
【操作步骤】
(1) 点击[策略] >> [黑白名单]]菜单项,选择创建IPv4或者IPv6黑名单,本例选择新建IPv4黑名单。
(2) 在操作区上方,点击<新增>。
系统进入新增黑名单页面。
(3) 设置黑名单策略相关配置。
a 选择黑名单类型,“源地址”或“目的地址”。
○ 源地址:报文由此类地址发出。
○ 目的地址:报文发往此类地址。
b 填写黑名单IP地址/范围,可以填写单IP,IP段或IP/掩码三种格式。
c 点击<保存>。
(4) 将“操作”栏中的开关设置为开启状态,启用该条黑名单设置。
说明
● 需要批量删除多条黑名单策略时,请勾选多条待删除的策略并点击“删除”。
● 需要使多条黑名单策略策略生效时,请勾选多条待生效的策略并点击 “启用”。
● 需要禁用多条黑名单策略时,请勾选多条待禁用的策略并点击 “禁用”。
● 点击“导出”,可以导出当前所有的黑名单配置。
● 点击“导入”按钮,可以下载导入格式模板,或选择要上传的CSV文件,点击“开始”启动导入任务。
● 在搜索栏中输入黑名单IP地址、白名单描述中的完整或部分内容可进行模糊搜索。
1.1.3 创建临时黑名单
【应用场景】
临时黑名单的作用于黑名单相同,但临时黑名单只会生效一段时间,超过生效时间将会失效并被自动删除。当流量命中暴力破解类型的IPS策略时,会自动生成临时黑名单,阻断时长为暴力破解类安全规则的阻断时长。用户也可以手动配置临时黑名单。
【操作步骤】
(1) 进入[新增临时黑名单]页面。
a 点击[策略] >> [黑白名单] 菜单项,选择创建IPv4或者IPv6临时黑名单,本例选择新建IPv4临时黑名单。
b 在操作区上方,点击<新增>。
(2) 设置黑名单策略相关配置,并点击<保存>。
(3) 设置黑名单策略相关配置,并点击<保存>。
配置项 |
说明 |
配置方法 |
黑名单类型 |
临时黑名单类型: ● 源地址:报文由此类地址发出。 ● 目的地址:报文发往此类地址。 |
[示例] 源地址 |
IP地址/范围 |
临时黑名单IP地址/范围。 |
支持配置为以下三种格式: ● 单个IP:192.168.1.1 ● IP网段:192.168.1.0/24 ● IP地址范围:192.168.1.1-192.168.1.10 |
阻断时长 |
临时黑名单生效时间,超过生效时间将会失效并被自动删除。 |
[示例] 5分钟 |
描述 |
临时黑名单的描述信息。 |
不能包含字符:`~!#%^&*+\|{};:'"/<>? |
(4) 配置完成后,点击<保存>。
【后续处理】
l 需要批量删除多条临时黑名单策略时,请勾选多条待删除的策略并点击"删除"。
l 需要重新设置多条临时黑名单策略的生效时长时,请勾选多条策略并点击"阻断时长设置"。该设置仅对来源为非手动添加的临时黑名单生效。
l 点击<IP-黑名单用户查询>可以查询指定IPv4/IPv6地址的用户名。
1.1.4 创建MAC黑名单
【应用场景】
黑名单功能能够根据报文的MAC地址进行报文过滤,直接阻断来自指定源MAC地址或发往指定目的MAC地址的所有流量。
当用户希望网络中部分MAC地址(如攻击源)的流量无法通过设备时,可以将其加入黑名单。
【操作步骤】
(1) 进入[新增MAC黑名单]页面。
a 点击[策略]>>[黑白名单]>>[MAC黑名单]>>[MAC黑名单]菜单项。
b 在操作区上方,点击<新增>。
(2) 设置黑名单策略相关配置,并点击<保存>。
配置项 |
说明 |
配置方法 |
MAC地址 |
黑名单MAC地址。 |
[示例] aa:bb:cc:dd:ee:ff |
阻断类型 |
● 永久:永久阻断黑名单MAC地址的流量。 ● 临时:临时阻断黑名单MAC地址的流量,阻断时长到期后自动从黑名单中删除。 |
[示例] 临时 |
阻断时长 |
临时黑名单MAC地址的阻断时长。 |
[示例] 30分钟 |
阻断原因 |
阻断原因说明。 |
- |
开启用户提醒 |
开启或关闭向用户发送阻断提醒。开启后,可自动化提醒被处置的终端,展示定制的阻断页面推送信息。关于推送信息的详细介绍请参见 推送信息。 |
[示例] 开启 |
(3) 将“操作”栏中的开关设置为开启状态,启用该条黑名单设置。
(4) (可选)点击[策略]>>[黑白名单]>>[MAC黑名单]>>[操作历史]菜单项,查看MAC黑名单操作历史。
在添加、删除MAC黑名单时会进行操作历史记录,便于回溯MAC黑名单的纳入和解除。
【后续处理】
l 点击<用户提醒设置>可跳转至“推送信息”模块进行黑名单阻断提醒页面推送信息的设置。
l 需要批量删除多条黑名单策略时,请勾选多条待删除的策略并点击<删除>。
l 需要使多条黑名单策略策略生效时,请勾选多条待生效的策略并点击<启用>。
l 需要禁用多条黑名单策略时,请勾选多条待禁用的策略并点击<禁用>。
l 可在搜索栏中通过“MAC地址”或者“来源”进行搜索,并显示符合搜索条件的黑名单表项。
1.1.5 创建用户黑名单
【应用场景】
黑名单功能能够根据用户名进行报文过滤,对于该用户发送的报文或发送到该用户的报文会被设备丢弃。
当用户希望网络中部分用户名(如攻击源)的流量无法通过设备时,可以将其加入黑名单。
【操作步骤】
(1) 进入[新增用户黑名单]页面。
a 点击[策略]>>[黑白名单]>>[用户黑名单]>>[用户黑名单]菜单项。
b 在操作区上方,点击<新增>。
(2) 设置黑名单策略相关配置,并点击<保存>。
配置项 |
说明 |
配置方法 |
用户名 |
黑名单用户名。 |
[示例] User1 |
阻断类型 |
● 永久:永久阻断黑名单用户名的流量。 ● 临时:临时阻断黑名单用户名的流量,阻断时长到期后自动从黑名单中删除。 |
[示例] 临时 |
阻断时长 |
临时黑名单用户名的阻断时长。 |
[示例] 30分钟 |
阻断原因 |
阻断原因说明。 |
- |
开启用户提醒 |
开启或关闭向用户发送阻断提醒。开启后,可自动化提醒被处置的用户,展示定制的阻断页面推送信息。关于推送信息的详细介绍请参见 推送信息。 |
[示例] 开启 |
(3) 将“操作”栏中的开关设置为开启状态,启用该条黑名单设置。
(4) (可选)点击[策略]>>[黑白名单]>>[用户黑名单]>>[操作历史]菜单项,查看用户黑名单操作历史。
在添加、删除用户黑名单时会进行操作历史记录,便于回溯用户黑名单的纳入和解除。
【后续处理】
l 点击<用户提醒设置>可跳转至“推送信息”模块进行黑名单阻断提醒页面推送信息的设置。
l 需要批量删除多条黑名单策略时,请勾选多条待删除的策略并点击<删除>。
l 需要使多条黑名单策略策略生效时,请勾选多条待生效的策略并点击<启用>。
l 需要禁用多条黑名单策略时,请勾选多条待禁用的策略并点击<禁用>。
l 可在搜索栏中通过“用户名”或者“来源”进行搜索,并显示符合搜索条件的黑名单表项。
1.1.6 注意事项
Z5100防火墙产品黑白名单区分源和目的分别设置,如果黑白名单要对某个IP的上下行报文同时生效,那么需要将该IP同时设置到源和目的黑白名单当中。
举例:
如上图,若安全策略中源地址范围包含白名单,安全策略动作为deny,想要实现sip(源ip)10.1.1.1为白名单情况下,让10.1.1.1也能够访问10.2.2.2,需考虑以下两种场景:
1.非NAT场景,只需要将dip(目的ip)10.2.2.2同时设置到源和目的黑白名单即可;
2.NAT场景,由于IP地址会发生转换,如果仅设置原始IP到黑白名单,达不到完全阻断或者放通该IP双向流量的目的,需要把转换后的公网地址也加入黑白名单当中(举例来说,源NAT场景,要放通10.2.2.2该IP的所有流量,NAT后IP为20.1.1.254,那么要放通上行报文需把10.2.2.2加入源白名单,而要放通下行报文需把20.1.1.254加入目的白名单(注:后续版本会优化此限制)。