1.1.1  创建白名单

【应用场景】

白名单功能即将特定的源或目的IP地址加入白名单后,设备对于该源地址发送或发往该目的地址的报文会跳过安全检查,直接按照正常的转发流程进行处理,从而实现了报文的高速转发。

例如:当客户希望网络中少部分IP地址(如管理员)不受安全策略、抗DoS/DDoS策略的限制时,可以为对应的IP地址配置白名单。

【操作步骤】

(1)   点击[策略] >> [黑白名单] 菜单项,选择创建IPv4或者IPv6白名单,本例选择新建IPv4白名单。

image.png

 

(2)   在操作区上方,点击<新增>

系统进入新增白名单页面。

image.png

(3)   设置白名单策略的相关配置。

     选择白名单类型,源地址目的地址

         源地址:报文由此类地址发出。

         目的地址:报文发往此类地址。

     填写白名单IP地址/范围,可以填写单IPIP段或IP/掩码三种格式。

     点击<保存>

(4)   操作栏中的开关设置为开启状态,启用该条白名单设置。

*     说明

     需要批量删除多条白名单策略时,请勾选多条待删除的策略并点击删除

     需要使多条白名单策略策略生效时,请勾选多条待生效的策略并点击 “启用

     需要禁用多条白名单策略时,请勾选多条待禁用的策略并点击 “禁用

     点击导出,可以导出当前所有的白名单配置。

     点击“导入”按钮,可以下载导入格式模板,或选择要上传的CSV文件,点击“开始”启动导入任务。

     在搜索栏中输入白名单IP地址、白名单描述中的完整或部分内容可进行模糊搜索。

 

1.1.2  创建黑名单

【应用场景】

黑名单功能能够根据报文的IP地址进行报文过滤,直接阻断来自指定源地址或发往指定目的地址的所有流量。

当用户希望网络中部分IP地址(如攻击源)的流量无法通过设备时,可以将其加入黑名单。

*    注意

添加至黑名单中的IP无法登录防火墙设备。

【操作步骤】

(1)   点击[策略] >> [黑白名单]]菜单项,选择创建IPv4或者IPv6黑名单,本例选择新建IPv4黑名单。

image.png

 

(2)   在操作区上方,点击<新增>

系统进入新增黑名单页面。

image.png

(3)   设置黑名单策略相关配置。

     选择黑名单类型,源地址目的地址

         源地址:报文由此类地址发出。

         目的地址:报文发往此类地址。

     填写黑名单IP地址/范围,可以填写单IPIP段或IP/掩码三种格式。

     点击<保存>

(4)   操作栏中的开关设置为开启状态,启用该条黑名单设置。

*     说明

     需要批量删除多条黑名单策略时,请勾选多条待删除的策略并点击删除

     需要使多条黑名单策略策略生效时,请勾选多条待生效的策略并点击 “启用

     需要禁用多条黑名单策略时,请勾选多条待禁用的策略并点击 “禁用

     点击导出,可以导出当前所有的黑名单配置。

     点击“导入”按钮,可以下载导入格式模板,或选择要上传的CSV文件,点击“开始”启动导入任务。

     在搜索栏中输入黑名单IP地址、白名单描述中的完整或部分内容可进行模糊搜索。

1.1.3  创建临时黑名单

【应用场景】

临时黑名单的作用于黑名单相同,但临时黑名单只会生效一段时间,超过生效时间将会失效并被自动删除。当流量命中暴力破解类型的IPS策略时,会自动生成临时黑名单,阻断时长为暴力破解类安全规则的阻断时长。用户也可以手动配置临时黑名单。

【操作步骤】

(1)   进入[新增临时黑名单]页面。

a      点击[策略] >> [黑白名单] 菜单项,选择创建IPv4或者IPv6临时黑名单,本例选择新建IPv4临时黑名单

b      在操作区上方,点击<新增>。

image.png

 

(2)   设置黑名单策略相关配置,并点击<保存>。

image.png

 

(3)   设置黑名单策略相关配置,并点击<保存>。

配置项

说明

配置方法

黑名单类型

临时黑名单类型:

●       源地址:报文由此类地址发出。

●       目的地址:报文发往此类地址。

[示例]

源地址

IP地址/范围

临时黑名单IP地址/范围。

支持配置为以下两种格式:

●       单个IP:192.168.1.1

●       IP地址范围:192.168.1.1-192.168.1.10

阻断时长

临时黑名单生效时间,超过生效时间将会失效并被自动删除。

[示例]

5分钟

描述

临时黑名单的描述信息。

不能包含字符:`~!#%^&*+\|{};:'"/<>?

 

(4)   配置完成后,点击<保存>。

【后续处理】

l  需要批量删除多条临时黑名单策略时,请勾选多条待删除的策略并点击"删除"。

l  需要重新设置多条临时黑名单策略的生效时长时,请勾选多条策略并点击"阻断时长设置"。

1.1.4  注意事项

Z5100-S产品黑白名单区分源和目的分别设置,如果黑白名单要对某个IP的上下行报文同时生效,那么需要将该IP同时设置到源和目的黑白名单当中。

举例:

image.png

如上图,若安全策略中源地址范围包含白名单,安全策略动作为deny,想要实现sip(源ip)10.1.1.1为白名单情况下,让10.1.1.1也能够访问10.2.2.2,需考虑以下两种场景:

1.非NAT场景,只需要将dip(目的ip)10.2.2.2同时设置到源和目的黑白名单即可;

2.NAT场景,由于IP地址会发生转换,如果仅设置原始IP到黑白名单,达不到完全阻断或者放通该IP双向流量的目的,需要把转换后的公网地址也加入黑白名单当中(举例来说,源NAT场景,要放通10.2.2.2该IP的所有流量,NAT后IP为20.1.1.254,那么要放通上行报文需把10.2.2.2加入源白名单,而要放通下行报文需把20.1.1.254加入目的白名单(注:后续版本会优化此限制)。