1.1.1 创建IPv4/IPv6白名单
【应用场景】
白名单功能即将特定的源或目的IP地址加入白名单后,设备对于该源地址发送或发往该目的地址的报文会跳过安全检查,直接按照正常的转发流程进行处理,从而实现了报文的高速转发。
例如:当客户希望网络中少部分IP地址(如管理员)不受安全策略、抗DoS/DDoS策略的限制时,可以为对应的IP地址配置白名单。
【操作步骤】
(1) 点击[策略] >> [黑白名单] 菜单项,选择创建IPv4或者IPv6白名单,本例选择新建IPv4白名单。
(2) 在操作区上方,点击<新增>。
系统进入新增白名单页面。
(3) 设置白名单策略的相关配置。
a 选择白名单类型,“源地址”或“目的地址”。
○ 源地址:报文由此类地址发出。
○ 目的地址:报文发往此类地址。
b 填写白名单IP地址/范围,可以填写单IP,IP段或IP/掩码三种格式。
c 点击<保存>。
(4) 将“操作”栏中的开关设置为开启状态,启用该条白名单设置。
说明
● 需要批量删除多条白名单策略时,请勾选多条待删除的策略并点击“删除”。
● 需要使多条白名单策略策略生效时,请勾选多条待生效的策略并点击 “启用”。
● 需要禁用多条白名单策略时,请勾选多条待禁用的策略并点击 “禁用”。
● 点击“导出”,可以导出当前所有的白名单配置。
● 点击“导入”按钮,可以下载导入格式模板,或选择要上传的CSV文件,点击“确认”启动导入任务。
● 在搜索栏中输入白名单IP地址、白名单描述中的完整或部分内容可进行模糊搜索。
1.1.2 创建IPv4/IPv6黑名单
【应用场景】
黑名单功能能够根据报文的IP地址进行报文过滤,直接阻断来自指定源地址或发往指定目的地址的所有流量。
当用户希望网络中部分IP地址(如攻击源)的流量无法通过设备时,可以将其加入黑名单。
注意
添加至黑名单中的IP无法登录防火墙设备。
【操作步骤】
(1) 点击[策略] >> [黑白名单]]菜单项,选择创建IPv4或者IPv6黑名单,本例选择新建IPv4黑名单。
(2) 在操作区上方,点击<新增>。
系统进入新增黑名单页面。
(3) 设置黑名单策略相关配置。
a 选择黑名单类型,“源地址”或“目的地址”。
○ 源地址:报文由此类地址发出。
○ 目的地址:报文发往此类地址。
b 填写黑名单IP地址/范围,可以填写单IP,IP段或IP/掩码三种格式。
c 点击<保存>。
(4) 将“操作”栏中的开关设置为开启状态,启用该条黑名单设置。
说明
● 需要批量删除多条黑名单策略时,请勾选多条待删除的策略并点击“删除”。
● 需要使多条黑名单策略策略生效时,请勾选多条待生效的策略并点击 “启用”。
● 需要禁用多条黑名单策略时,请勾选多条待禁用的策略并点击 “禁用”。
● 点击“导出”,可以导出当前所有的黑名单配置。
● 点击“导入”按钮,可以下载导入格式模板,或选择要上传的CSV文件,点击“开始”启动导入任务。
● 在搜索栏中输入黑名单IP地址、白名单描述中的完整或部分内容可进行模糊搜索。
1.1.3 创建临时黑名单
【应用场景】
临时黑名单的作用于黑名单相同,但临时黑名单只会生效一段时间,超过生效时间将会失效并被自动删除。当流量命中暴力破解类型的IPS策略时,会自动生成临时黑名单,阻断时长为暴力破解类安全规则的阻断时长。用户也可以手动配置临时黑名单。
【操作步骤】
(1) 进入[新增临时黑名单]页面。
a 点击[策略] >> [黑白名单] 菜单项,选择创建IPv4或者IPv6临时黑名单,本例选择新建IPv4临时黑名单。
b 在操作区上方,点击<新增>。
(2) 设置黑名单策略相关配置,并点击<保存>。
(3) 设置黑名单策略相关配置,并点击<保存>。
配置项 |
说明 |
配置方法 |
黑名单类型 |
临时黑名单类型: ● 源地址:报文由此类地址发出。 ● 目的地址:报文发往此类地址。 |
[示例] 源地址 |
IP地址/范围 |
临时黑名单IP地址/范围。 |
支持配置为以下三种格式: ● 单个IP:192.168.1.1 ● IP网段:192.168.1.0/24 ● IP地址范围:192.168.1.1-192.168.1.10 |
阻断时长 |
临时黑名单生效时间,超过生效时间将会失效并被自动删除。 |
[示例] 5分钟 |
描述 |
临时黑名单的描述信息。 |
不能包含字符:`~!#%^&*+\|{};:'"/<>? |
(4) 配置完成后,点击<保存>。
【后续处理】
l 需要批量删除多条临时黑名单策略时,请勾选多条待删除的策略并点击"删除"。
l 需要重新设置多条临时黑名单策略的生效时长时,请勾选多条策略并点击"阻断时长设置"。该设置仅对来源为非手动添加的临时黑名单生效。
l 点击<IP-黑名单用户查询>可以查询指定IPv4/IPv6地址的用户名。
1.1.4 创建MAC黑名单
【应用场景】
黑名单功能能够根据报文的MAC地址进行报文过滤,直接阻断来自指定源MAC地址或发往指定目的MAC地址的所有流量。
当用户希望网络中部分MAC地址(如攻击源)的流量无法通过设备时,可以将其加入黑名单。
【操作步骤】
(1) 进入[新增MAC黑名单]页面。
a 点击[策略]>>[黑白名单]>>[MAC黑名单]>>[MAC黑名单]菜单项。
b 在操作区上方,点击<新增>。
(2) 设置黑名单策略相关配置,并点击<保存>。
配置项 |
说明 |
配置方法 |
MAC地址 |
黑名单MAC地址。 |
[示例] aa:bb:cc:dd:ee:ff |
阻断方式 |
● 本机阻断:通过本设备阻断黑名单MAC地址的流量。 ● 身份系统阻断:通过联动身份系统阻断黑名单MAC地址的流量,详情请参见联动身份系统。 |
[示例] 本机阻断 |
阻断时长 |
● 永久:永久阻断黑名单MAC地址的流量。 ● 临时:临时阻断黑名单MAC地址的流量,阻断时长到期后自动从黑名单中删除。 |
[示例] 永久 |
描述 |
阻断原因说明。 |
- |
用户提醒 |
设置向用户发送阻断提醒。开启后,可自动化提醒被处置的终端,展示定制的阻断页面提醒内容。 ● 阻断方式为“本机阻断”时,点击<本机提醒设置>可跳转至推送信息模块进行黑名单阻断提醒页面推送信息的设置。 ● 阻断方式为“身份系统阻断”时,点击<身份系统提醒设置>可跳转至联动身份系统模块进行黑名单阻断提醒页面推送内容的设置。 设备暂只支持联动深澜服务器进行终端MAC阻断,不支持联动SAM+服务器进行黑名单MAC阻断。 |
- |
(3) 对于本机阻断,将“操作”栏中的开关设置为开启状态,启用该条黑名单设置。
对于身份系统阻断,点击“操作”栏中的“重新下发”,下发该条黑名单设置给联动阻断模块,并由联动阻断模块下发给联动系统,关于联动系统阻断功能请参见联动身份系统 。
说明
当状态显示为“失败”时才会显示“重新下发”按钮
(4) (可选)点击[策略]>>[黑白名单]>>[MAC黑名单]>>[操作历史]菜单项,查看MAC黑名单操作历史。
在添加、删除MAC黑名单时会进行操作历史记录,便于回溯MAC黑名单的纳入和解除。
【后续处理】
l 需要批量删除多条黑名单策略时,请勾选多条待删除的策略并点击<删除>。
l 需要使多条本机阻断黑名单策略生效时,请勾选多条待生效的策略并点击<启用>。
l 需要禁用多条本机阻断黑名单策略时,请勾选多条待禁用的策略并点击<禁用>。
l 点击<导入>,下载CSV模板并填写黑名单,可批量导入本机阻断黑名单。
l 点击<导出>将导出全部本机阻断黑名单到本地。
l 可在搜索栏中通过“MAC地址”、“来源”或者“阻断方式”进行搜索,并显示符合搜索条件的黑名单表项。
1.1.5 创建用户黑名单
【应用场景】
黑名单功能能够根据用户名进行报文过滤,对于该用户发送的报文或发送到该用户的报文会被设备丢弃。
当用户希望网络中部分用户名(如攻击源)的流量无法通过设备时,可以将其加入黑名单。
【操作步骤】
(1) 进入[新增用户黑名单]页面。
a 点击[策略]>>[黑白名单]>>[用户黑名单]>>[用户黑名单]菜单项。
b 在操作区上方,点击<新增>。
(2) 设置黑名单策略相关配置,并点击<保存>。
配置项 |
说明 |
配置方法 |
用户名 |
黑名单用户名。 |
[示例] User1 |
阻断方式 |
● 本机阻断:通过本设备阻断黑名单用户的流量。 ● 身份系统阻断:通过联动身份系统阻断黑名单用户的流量,详情请参见联动身份系统。 |
[示例] 本机阻断 |
阻断时长 |
● 永久:永久阻断黑名单用户名的流量。 ● 临时:临时阻断黑名单用户名的流量,阻断时长到期后自动从黑名单中删除。 |
[示例] 永久 |
描述 |
阻断原因说明。 |
- |
用户提醒 |
设置向用户发送阻断提醒。开启后,可自动化提醒被处置的用户,展示定制的阻断页面提醒内容。 ● 阻断方式为“本机阻断”时,点击<本机提醒设置>可跳转至推送信息模块进行黑名单阻断提醒页面推送信息的设置。 ● 阻断方式为“身份系统阻断”时,点击<身份系统提醒设置>可跳转至联动身份系统 模块进行黑名单阻断提醒页面推送内容的设置。 |
- |
(3) 对于本机阻断,将“操作”栏中的开关设置为开启状态,启用该条黑名单设置。
对于身份系统阻断,点击“操作”栏中的“重新下发”,下发该条黑名单设置给联动阻断模块,并由联动阻断模块下发给联动系统,关于联动系统阻断功能请参见联动身份系统。
说明
当状态显示为“失败”时才会显示“重新下发”按钮
(4) (可选)点击[策略]>>[黑白名单]>>[用户黑名单]>>[操作历史]菜单项,查看用户黑名单操作历史。
在添加、删除用户黑名单时会进行操作历史记录,便于回溯用户黑名单的纳入和解除。
【后续处理】
l 需要批量删除多条黑名单策略时,请勾选多条待删除的策略并点击<删除>。
l 需要使多条本机阻断黑名单策略生效时,请勾选多条待生效的策略并点击<启用>。
l 需要禁用多条本机阻断黑名单策略时,请勾选多条待禁用的策略并点击<禁用>。
l 点击<导入>,下载CSV模板并填写黑名单,可批量导入本机阻断黑名单。
l 点击<导出>将导出全部本机阻断黑名单到本地。
l 可在搜索栏中通过“用户名”、“来源”或者“阻断方式”进行搜索,并显示符合搜索条件的黑名单表项。
1.1.6 注意事项
防火墙产品黑白名单区分源和目的分别设置,如果黑白名单要对某个IP的上下行报文同时生效,那么需要将该IP同时设置到源和目的黑白名单当中。
以RG-WALL 1600-Z5100产品举例:
如上图,若安全策略中源地址范围包含白名单,安全策略动作为deny,想要实现sip(源ip)10.1.1.1为白名单情况下,让10.1.1.1也能够访问10.2.2.2,需考虑以下两种场景:
1.非NAT场景,只需要将dip(目的ip)10.2.2.2同时设置到源和目的黑白名单即可;
2.NAT场景,由于IP地址会发生转换,如果仅设置原始IP到黑白名单,达不到完全阻断或者放通该IP双向流量的目的,需要把转换后的公网地址也加入黑白名单当中(举例来说,源NAT场景,要放通10.2.2.2该IP的所有流量,NAT后IP为20.1.1.254,那么要放通上行报文需把10.2.2.2加入源白名单,而要放通下行报文需把20.1.1.254加入目的白名单(注:后续版本会优化此限制)。