01-13 配置IM阻断

Similar documents
目录 1 IPv6 快速转发 IPv6 快速转发配置命令 display ipv6 fast-forwarding aging-time display ipv6 fast-forwarding cache ipv6 fas

目录 1 IPv6 快速转发 IPv6 快速转发配置命令 display ipv6 fast-forwarding aging-time display ipv6 fast-forwarding cache ipv6 fas

01-05 配置认证与授权

1 安全域 设备各款型对于本节所描述的特性情况有所不同, 详细差异信息如下 : 型号特性描述 MSR810/810-W/810-W-DB/810-LM/810-W-LM/ PoE/ 810-LM-HK/810-W-LM-HK/810-LMS/810-LUS MSR X1 M

1 公 司 简 介 2 VRRP 原 理 和 应 用 3 新 产 品 和 创 业 计 划 及 赠 书 活 动

IP505SM_manual_cn.doc

SL2511 SR Plus 操作手冊_單面.doc

Quidway S3526系列交换机R0028P01版本发布

D E 答 案 :C 3. 工 作 站 A 配 置 的 IP 地 址 为 /28. 工 作 站 B 配 置 的 IP 地 址 为 /28. 两 个 工 作 站 之 间 有 直 通 线 连 接, 两 台

BYOD Http Redirect convergence Client (1) 2008R2 NLB( ) (2) NLB Unicast mode switch flooding (arp ) NLB DNS Redirect 1. Round-Robin DNS DNS IP/DNS Cli

IP Access Lists IP Access Lists IP Access Lists

(UTM???U_935_938_955_958_959 V )

1 QoS... 1 QoS... 1 QoS QoS... 5 Class DSCP... 7 CoS... 7 IP QoS... 8 IP / /... 9 Cl

QVM330 多阜寬頻路由器

Chapter #

PL600 IPPBX 用户手册_V2.0_.doc

目 录(目录名)

网工新答案

1 WLAN 接 入 配 置 本 文 中 的 AP 指 的 是 LA3616 无 线 网 关 1.1 WLAN 接 入 简 介 WLAN 接 入 为 用 户 提 供 接 入 网 络 的 服 务 无 线 服 务 的 骨 干 网 通 常 使 用 有 线 电 缆 作 为 线 路 连 接 安 置 在 固 定

C3_ppt.PDF

ebook140-8

DOS下常用的网络命令.PDF

MASQUERADE # iptables -t nat -A POSTROUTING -s / o eth0 -j # sysctl net.ipv4.ip_forward=1 # iptables -P FORWARD DROP #

IPSec对接案例

M-LAG 技术白皮书

ch08.PDF

untitled

專業式報告

財金資訊-80期.indd

QL1880new2.PDF

Simulator By SunLingxi 2003

ebook20-8

局域网技术课程设计报告.doc


目 录(目录名)

epub83-1

ebook140-9

《计算机网络》实验指导书

Windows RTEMS 1 Danilliu MMI TCP/IP QEMU i386 QEMU ARM POWERPC i386 IPC PC104 uc/os-ii uc/os MMI TCP/IP i386 PORT Linux ecos Linux ecos ecos eco

文件1

OSPF over IPSec及路由冗余

目 录(目录名)

NAT环境下采用飞塔NGFW

SEC-220

H3C ISATAP 隧道和 6to4 隧道相结合使用的典型配置举例 Copyright 2017 新华三技术有限公司版权所有, 保留一切权利 非经本公司书面许可, 任何单位和个人不得擅自摘抄 复制本文档内容的部分或全部, 并不得以任何形式传播 本文档中的信息可能变动, 恕不另行通知

命令行用户 VPN StoneOS 5.0R4P3.6 TWNO: TW-CUG-UNI-VPN-5.0R4P3.6-CN-V1.0-Y14M11

epub

Data Server_new_.doc

11N 无线宽带路由器

C6_ppt.PDF

ext-web-auth-wlc.pdf

飞鱼星多WAN防火墙路由器用户手册

SA-DK2-U3Rユーザーズマニュアル

Microsoft Word - MTK平台生产软件使用说明.doc

epub 30-12

epub 61-2

VoIP Make a Rtp Call VoIP Abstract... 2 VoIP RTP...3 Socket IP...9 Config Two Voice-hub

<4D F736F F F696E74202D FC2B2B3F85FA44AAB49B0BBB4FABB50B977A8BEA874B2CEC2B2A4B6BB50C0B3A5CE2E707074>

Cadence Poqi

Bus Hound 5

安 全 指 南 : 必 须 遵 守 所 有 的 警 告 事 项, 以 确 保 自 己 和 他 人 的 安 全 以 及 保 护 产 品 和 连 接 装 置 这 些 警 告 事 项 都 按 警 示 程 度 明 示 出 等 级 有 资 格 的 人 员 : YO-YO 只 能 进 行 与 手 册 有 关 的

精 品 库 我 们 的 都 是 精 品 _www.jingpinwenku.com 根 据 图 中 信 息 标 号 为 2 的 方 格 中 的 内 容 为 A)S= ,1234 D= ,80 B)S= ,1234 D= ,80 C)S=13

D-link用户手册.doc

LSR-120 Router

《將進酒》

21 flash

目录 1 sflow 配置命令 sflow 配置命令 display sflow sflow agent sflow collector sflow counter inte

是 這 個 洗 手 台? 莫 嘸 錯, 就 是 洗 碟 子 的 這 個 洗 手 台 我 看 你 們 洗 盤 子 相 好 卡 小 心 師 傅 講 得 口 沫 橫 飛, 吸 引 了 大 家 的 思 緒 擱 莫 完 擱 莫 完, 被 黑 貓 嚇 到 後, 我 放 下 盆 栽, 去 廚 房 拿 出 大 刀,

Microsoft Word htm

WebSphere Studio Application Developer IBM Portal Toolkit... 2/21 1. WebSphere Portal Portal WebSphere Application Server stopserver.bat -configfile..

Transcription:

配置指南安全防范分册目录 目 录 13 配置 IM 阻断...13-1 13.1 简介...13-2 13.2 配置 IM 阻断...13-2 13.2.1 建立配置任务...13-2 13.2.2 激活模式文件...13-3 13.2.3 配置需要阻断的 IM 协议...13-3 13.2.4 配置 ACL 设定 IM 阻断策略...13-4 13.2.5 配置 IM 阻断策略应用到域间...13-4 13.2.6 配置 IM 全局阻断...13-5 13.2.7 ( 可选 ) 使能域间 IM 检测...13-5 13.2.8 ( 可选 ) 使能全局 IM 检测...13-5 13.2.9 检查配置结果...13-5 13.3 维护...13-6 13.3.1 清除 IM 统计信息...13-6 13.3.2 调试 IM 阻断信息...13-6 13.4 配置举例...13-7 13.4.1 配置透明模式下 IM 全局阻断示例...13-7 13.4.2 配置路由模式下 IM 域间阻断示例...13-9 i

插图目录 配置指南安全防范分册 插图目录 图 13-1 透明模式下 IM 阻断配置示例组网图...13-7 图 13-2 路由模式下 IM 阻断配置示例组网图...13-9 ii

配置指南安全防范分册 13 配置 IM 阻断 13 配置 IM 阻断 关于本章 本章描述内容如下表所示 标题 内容 13.1 简介 介绍 IM 阻断功能的意义及实现原理 13.2 配置 介绍 IM 阻断功能的配置方法 13.3 维护 介绍 IM 阻断功能的维护方法 13.4 配置举例 介绍 IM 阻断功能的组网举例 配置举例 1: 配置透明模式下 IM 全局阻断示例 配置举例 2: 配置路由模式下 IM 域间阻断示例 13-1

13 配置 IM 阻断 配置指南安全防范分册 13.1 简介 即时通讯 IM(Instant Message) 是随着互联网发展起来的一种实时通讯技术, 此技术实现了在线交谈 传送文件 语音对话及视频聊天等服务 常用的 IM 协议有 QQ MSN 等 在现今的互联网服务中, 即时通讯已经成为了最为流行的服务模式之一, 随着人们对其的依赖日益增强, 针对即时通讯的病毒和黑客攻击也日益严峻 Eudemon 的 IM 阻断功能通过深度检测机制 DPI(Deep Packet Inspection) 实现了对 IM 流量的检测和阻断 Eudemon 的 IM 阻断功能还可以结合 ACL, 通过 ACL 设置不同的阻断时间段, 以满足用户不同的阻断需求 如果网络中出现当前 Eudemon 不能识别的 IM 流量, 可以通过获取新的模式文件来控制不断出现的新的 IM 流量 Eudemon 的 IM 阻断功能可广泛应用于社区 校园和企业等大量应用 IM 的网络 13.2 配置 IM 阻断 13.2.1 建立配置任务 应用环境 前置任务 数据准备 当需要限制网络中用户使用 IM 类软件时, 即可在网络的出口处部署 Eudemon, 并配置 IM 阻断功能 配置 IM 阻断功能之前, 需要完成以下任务 : 配置 Eudemon 能正常转发报文 用户已经获得 DPI 的模式文件 在配置 IM 阻断之前, 需要准备以下数据 序号 数据 1 模式文件 2 需要进行阻断的 IM 协议 ( 至少选择一种 ) 3 ( 可选 )IM 阻断时间段 4 用户需要实现的阻断策略 ( 配置 ACL) 13-2

配置指南安全防范分册 13 配置 IM 阻断 如果 ACL 中不设定时间段, 则在任何时间都使用 IM 阻断策略进行阻断 IM 协议应根据需要至少选择一种, 否则 Eudemon 将不进行 IM 检测和阻断 DPI 模式文件激活时, 默认所有的协议是不使能的 配置过程 序号 过程 1 激活模式文件 2 配置需要阻断的 IM 协议 3 配置 ACL 设定 IM 阻断策略 4 配置 IM 阻断策略应用到域间 5 配置 IM 全局阻断 6 ( 可选 ) 使能域间 IM 检测 7 ( 可选 ) 使能全局 IM 检测 8 检查配置结果 13.2.2 激活模式文件 如果仅需要阻断某个特定域间的 IM 流量, 为提高性能, 可不配置全局检测和全局阻断策略, 仅在该域间配置相应阻断策略 步骤 1 执行命令 system-view, 进入系统视图 步骤 2 执行命令 firewall dpi pattern-file active, 激活模式文件 模式文件的名称必须为 protocol.rul, 激活前需先将此文件写入 Eudemon 的 FLASH 中 将模式文件写入 Eudemon 的 FALSH 中的具体操作步骤请参见 Quidway Eudemon 100E/200/200S 防火墙配置指南系统管理分册 中的 4.8.2 Eudemon 作为 FTP Client 的 FTP 连接配置示例 P2P 限流和 IM 阻断功能使用同一模式文件, 如果已配置 P2P 限流功能, 并已经激活模式文件, 就不需要重新激活了 模式文件升级时, 可通过 display dpi pattern-file active 查看已激活模式文件信息, 通过 display dpi pattern-file on-flash 查看导入 FLASH 的模式文件信息 13.2.3 配置需要阻断的 IM 协议 步骤 1 执行命令 system-view, 进入系统视图 13-3

13 配置 IM 阻断 配置指南安全防范分册 步骤 2 执行命令 firewall im-block include protocol, 配置需要阻断的 IM 协议 可配置的协议由模式文件决定, 如果没有被激活的模式文件, 则无法执行 firewall im-block include protocol 命令 步骤 3 ( 可选 ) 执行命令 firewall dpi packet-number number, 配置对每个会话需要检测的报文个数 numer 的范围是 1~48, 默认个数为 2 个 配置的报文检测个数越多, 检测率越高, 也越消耗系统性能 IM 阻断效果不理想时, 请通过此命令增加报文检测个数 13.2.4 配置 ACL 设定 IM 阻断策略 步骤 1 执行命令 system-view, 进入系统视图 步骤 2 执行命令 acl [ number ] acl-number [ match-order { config auto } ], 进入 ACL 视图 步骤 3 执行命令 rule [ rule-id ] { permit deny } [ source { source-address source-wildcard address-set address-set-name any } time-range time-name logging ] *, 配置基本 ACL 规则 或 执行命令 rule [ rule-id ] { permit deny } protocol [ source { source-address source-wildcard address-set address-set-name any } destination { destination-address destination-wildcard address-set address-set-name any } source-port { operator port range port1 port2 port-set port-set-name } destination-port { operator port range port1 port2 port-set port-set-name } icmp-type { icmp-type icmp-code icmp-message } precedence precedence tos tos time-range time-name logging ] *, 配置高级 ACL 规则 IM 对 ACL 规则中配置 permit 的流量进行阻断,deny 的流量进行放行 ACL 中设定的时间段, 就是 IM 阻断使用的时间段 13.2.5 配置 IM 阻断策略应用到域间 步骤 1 执行命令 system-view, 进入系统视图 步骤 2 执行命令 firewall interzone zone-name1 zone-name2, 进入域间视图 步骤 3 执行命令 im-block acl-number, 配置 IM 阻断策略应用到域间 已经应用在域间的 IM 阻断策略, 如果对 ACL 规则进行了更改, 则域间 IM 的阻断策略会随着 ACL 的规则变化而做自动刷新 13-4

配置指南安全防范分册 13 配置 IM 阻断 13.2.6 配置 IM 全局阻断 步骤 1 执行命令 system-view, 进入系统视图 步骤 2 执行命令 firewall im-block default-permit, 启用全局 IM 阻断功能 启用全局 IM 阻断功能后, 所有域间的 IM 类流量全被阻断 但是如果还配置了应用在域间的 IM 阻断策略, 则匹配域间 IM 阻断策略 ACL 中 deny 规则的 IM 流量可以放行 如果配置了 IM 阻断策略, 就不需要再配置 IM 检测策略了 如果只需要监控 IM 流量, 不需要阻断, 可只配置 IM 检测功能, 实现 IM 流量的统计 日志功能, 通过 IM 流量统计信息和相关日志达到监控目的 13.2.7 ( 可选 ) 使能域间 IM 检测 步骤 1 执行命令 system-view, 进入系统视图 步骤 2 执行命令 firewall interzone zone-name1 zone-name2, 进入域间视图 步骤 3 执行命令 im-detect enable, 启用域间 IM 检测功能 使用该命令可实现在指定的域间检测, 其他域间不检测的功能 缩小检测范围, 可以提高系统的性能 13.2.8 ( 可选 ) 使能全局 IM 检测 步骤 1 执行命令 system-view, 进入系统视图 步骤 2 执行命令 firewall im-detect default-permit, 启用全局 IM 检测功能 如果需要对所有域间的流量进行检测是否为 IM 流量, 可执行该命令 13.2.9 检查配置结果 可在所有视图下执行以下命令检查配置结果 13-5

13 配置 IM 阻断 配置指南安全防范分册 操作 查看当前激活的或在 FLASH 上的模式文件信息 ( 包含版本号 P2P 和 IM 协议名称等 ) 命令 display dpi pattern-file { active on-flash } 查看域间应用的 IM 阻断策略 display interzone [ zone-name1 zone-name2 ] 查看基于 IM 协议的统计信息 查看配置的报文检测个数 全局策略 打开的 IM 协议等 display im-block statistic protocol display current-configuration 执行 display im-block statistic protocol 命令可以查看按协议分类的 IM 流量信息 <Eudemon> display im-block statistic protocol protocol receive(pkt/oct) discard(pkt/oct) permit(pkt/oct) IM_QQ 1504091 0 1504091 129351826 0 129351826 IM_MSN 1504386 0 1504386 129377196 0 129377196 total 3008477 0 3008477 258729022 0 258729022 statistic from 11:22:32 2008/10/25 to 11:40:02 2008/10/25 13.3 维护 13.3.1 清除 IM 统计信息 操作 手动清除 IM 流量统计信息 命令 reset im-block statistic 13.3.2 调试 IM 阻断信息 在出现 IM 阻断运行故障时, 请在用户视图下执行 debugging firewall im-block 命令进行调试, 查看调试信息, 定位故障并分析故障原因 由于 IM 流量的识别是基于 DPI 检测的, 所以当 IM 检测不成功时可以在用户视图下执行 debugging firewall dpi 命令进行调试, 查看与 DPI 检测相关的调试信息 13-6

配置指南安全防范分册 13 配置 IM 阻断 打开调试开关将影响系统的性能 调试完毕后, 应及时执行 undo debugging all 命令关闭调试开关 操作 命令 打开 IM 阻断调试开关 debugging firewall im-block [ packet error event all ] 打开 DPI 检测调试开关 debugging firewall dpi [ packet error event all ] 13.4 配置举例 13.4.1 配置透明模式下 IM 全局阻断示例 组网需求 Eudemon 200 工作在透明模式下, 不需要另外配置 IP 地址 如图 13-1 所示,Eudemon 接口 Ethernet 0/0/0 与 Trust 网络相连,Ethernet 0/0/1 与 Untrust 网络相连,Ethernet 1/0/0 与 DMZ 域相连 需求如下 : 对所有域间网络用户进行 IM 阻断 图 13-1 透明模式下 IM 阻断配置示例组网图 DMZ PC_A PC_B PC_D Eth1/0/0 PC_E Trust PC_C Eth0/0/0 Eudemon Eth0/0/1 Untrust 配置思路 采用如下思路配置 : 13-7

13 配置 IM 阻断 配置指南安全防范分册 1. 配置 Eudemon 工作模式 2. 配置 Eudemon 基本数据 3. 配置 IM 阻断 配置步骤 步骤 1 配置 Eudemon 工作模式 # 进入系统视图 <Eudemon> system-view # 配置 Eudemon 工作在透明模式 [Eudemon] firewall mode transparent 如果 Eudemon 原本不工作在透明模式, 请重启以使新的工作模式生效 步骤 2 配置 Eudemon 基本数据 # 将接口加入到安全区域 [Eudemon] firewall zone untrust [Eudemon-zone-untrust] add interface Ethernet 0/0/1 [Eudemon-zone-untrust] quit [Eudemon] firewall zone trust [Eudemon-zone-trust] add interface Ethernet 0/0/0 [Eudemon-zone-trust] quit [Eudemon] firewall zone dmz [Eudemon-zone-dmz] add interface Ethernet 1/0/0 [Eudemon-zone-dmz] quit # 打开域间缺省包过滤规则 [Eudemon] firewall packet default permit all 步骤 3 配置 IM 阻断 Eudemon 的 FLASH 中已有模式文件才能激活模式文件 将模式文件 protocol.rul 写入 FLASH 的具体操作过程请参见 防火墙配置指南系统管理分册 中的 4.8.2 Eudemon 作为 FTP Client 的 FTP 连接配置示例 # 激活模式文件 [Eudemon] firewall dpi pattern-file active Active pattern file successfully! # 配置需要阻断的 IM 协议 [Eudemon] firewall im-block include IM_QQ [Eudemon] firewall im-block include IM_MSN # 启用全局 IM 阻断功能 [Eudemon] firewall im-block default-permit # ( 可选 ) 配置 DPI 报文检测个数 13-8

配置指南安全防范分册 13 配置 IM 阻断 [Eudemon] firewall dpi packet-number 10 步骤 4 验证配置结果 # 显示当前 IM 阻断配置信息 [Eudemon] display current-configuration # sysname Eudemon # firewall dpi packet-number 10 firewall im-block default-permit # firewall im-block include IM_QQ firewall im-block include IM_MSN 13.4.2 配置路由模式下 IM 域间阻断示例 组网需求 Eudemon 工作在路由模式 如图 13-2 所示,Eudemon 接口 Ethernet 0/0/0 与内部网络相连,Ethernet 0/0/1 与外部网络相连 Eudemon 配置 NAT 策略, 所有内网用户通过 Eudemon 后, 使用地址池 61.100.100.2/24~61.100.100.10/24 中的 IP 地址作为转换后的源地址 需求如下 : 分时间段限制内部所有的用户使用 IM 通讯 周一至周五时间段 :8:30-17:30 阻断 IM 流量, 其他时间 ( 包括周六周日全天 ) 不阻断 任何时间段都允许内部的 PC_A 用户使用 IM 通讯 图 13-2 路由模式下 IM 阻断配置示例组网图 PC_A 10.10.200.5/24 PC_B 10.10.200.6/24 内部网络 Eth0/0/0 10.10.200.1/24 Eth0/0/1 61.100.100.1/24 外部网络 Eudemon PC_C Trust 10.10.200.7/24 Untrust 配置思路 采用如下思路配置 : 13-9

13 配置 IM 阻断 配置指南安全防范分册 1. 配置 Eudemon 工作模式 2. 配置接口 IP 地址, 并将接口加入安全区域 3. 配置 NAT 地址池和 NAT 策略 4. 配置 IM 阻断的协议 5. 配置 IM 阻断所需的 ACL 策略 6. 配置 IM 阻断策略应用到域间 7. 配置报文检测个数 配置步骤 步骤 1 配置 Eudemon 工作模式 # 进入系统视图 <Eudemon> system-view # 设置 Eudemon 工作在路由模式 [Eudemon] firewall mode route 如果 Eudemon 原本不工作在路由模式, 请重启以使新的工作模式生效 步骤 2 配置接口 IP 地址, 并将接口加入安全区域 # 进入 Ethernet 0/0/0 视图 [Eudemon] interface Ethernet 0/0/0 # 配置 Ethernet 0/0/0 的 IP 地址 [Eudemon-Ethernet0/0/0] ip address 10.10.200.1 255.255.255.0 [Eudemon-Ethernet0/0/0] quit # 进入 Ethernet 0/0/1 视图 [Eudemon] interface Ethernet 0/0/1 # 配置 Ethernet 0/0/1 的 IP 地址 [Eudemon-Ethernet0/0/1] ip address 61.100.100.1 255.255.255.0 [Eudemon-Ethernet0/0/1] quit # 进入 Trust 区域视图 [Eudemon] firewall zone trust # 配置 Ethernet 0/0/0 加入 Trust 区域 [Eudemon-zone-trust] add interface Ethernet 0/0/0 13-10

配置指南安全防范分册 13 配置 IM 阻断 [Eudemon-zone-trust] quit # 进入 Untrust 区域视图 [Eudemon] firewall zone untrust # 配置 Ethernet 0/0/1 加入 Untrust 区域 [Eudemon-zone-untrust] add interface Ethernet 0/0/1 [Eudemon-zone-untrust] quit # 使能域间缺省包过滤规则 [Eudemon] firewall packet-filter default permit all 步骤 3 配置 NAT 地址池和 NAT 策略, 并将地址池应用到域间 # 配置地址池 [Eudemon] nat address-group 1 61.100.100.2 61.100.100.10 # 创建 ACL [Eudemon] acl number 2000 # 配置 ACL 规则 [Eudemon-acl-basic-2000] rule permit source 10.10.200.0 0.0.0.255 [Eudemon-acl-basic-2000] quit # 进入 Trust 和 Untrust 区域视图 [Eudemon] firewall interzone trust untrust # 配置 NAT 转换应用在域间 [Eudemon-interzone-trust-untrust] nat outbound 2000 address-group 1 [Eudemon-interzone-trust-untrust] quit 步骤 4 配置 IM 阻断的协议 Eudemon 的 FLASH 中已有模式文件才能激活模式文件 将模式文件 protocol.rul 写入 FLASH 的具体操作过程请参见 防火墙配置指南系统管理分册 中的 4.8.2 Eudemon 作为 FTP Client 的 FTP 连接配置示例 # 激活模式文件 [Eudemon] firewall dpi pattern-file active Active pattern file successfully! # 配置需要阻断的 IM 协议为 QQ 和 MSN [Eudemon] firewall im-block include IM_QQ 13-11

13 配置 IM 阻断 配置指南安全防范分册 [Eudemon] firewall im-block include IM_MSN 步骤 5 配置 IM 阻断所需的 ACL 策略 # 设置需进行 IM 阻断的时间段名称为 block [Eudemon] time-range block 8:30 to 17:30 working-day # 创建 ACL 3000 [Eudemon] acl number 3000 # 配置不需阻断的用户 PC_A [Eudemon-acl-adv-3000] rule deny ip source 10.10.200.5 0 [Eudemon-acl-adv-3000] rule deny ip destination 10.10.200.5 0 # 配置分时段需阻断的 IM 用户 [Eudemon-acl-adv-3000] rule permit source 10.10.200.0 0.0.0.255 time-range block [Eudemon-acl-adv-3000] quit 步骤 6 配置 IM 阻断策略应用到域间 # 进入 Trust 和 Untrust 域间视图 [Eudemon] firewall interzone trust untrust # 配置 IM 阻断所需的 ACL 策略应用到域间 [Eudemon-interzone-trust-untrust] im-block 3000 [Eudemon-interzone-trust-untrust] quit 步骤 7 ( 可选 ) 配置报文检测个数 # 配置报文检测个数为 18 [Eudemon] firewall dpi packet-number 18 13-12

2026 © docsplayer.com 隐私 | 条款 | 反馈