华为防火墙应用控制怎么设置自定义应用策略

Posted 2023-05-08

参考技术A 这个要开启防火墙的DPI（简单的说也就是上网行为管理）功能，你的设备版本是什么？如果是V100R005SPC500的话，直接升级到V100R005SPC700可以通过WEB配置上网行为管理，非常方便。如果没法升级，就只有命令行了，刚好我有之前配置的一些文档，你看下：sys首先进入配置模式dpienable开启深度包检测功能dnsproxyenablednsresolednsserverx.x.x.xdnsserverx.x.x.x配置DNS参数，按照你们当地的地址配置dpiusingdefaultrule-baseupdateserverupdaterule-baseremoteperiod2q进入DPI配置，配升级服务器与升级周期，退出acl2000ruledenysourcex.x.x.x0配置ACL，拒绝源地址（零代表单一主机地址）rulepermitquitrule0if-matchcategoryIMapplicationqq_impacket-filteracl-number2000rule1if-matchcategoryIMapplicationqq_im_httppacket-filteracl-number2000rule2if-matchcategoryIMapplicationqq_wirelesspacket-filteracl-number2000rule3if-matchcategoryp2papplicationthunderpacket-filteracl-number2000rule4if-matchcategoryp2papplicationthunder_encrypted_datapacket-filteracl-number2000rule5if-matchcategoryp2papplicationthunder_httppacket-filteracl-number2000配置拒绝协议，引用规则relation-detectionenablewhole-packet-searchenable开启全包检测功能q退出firewallstatisticsystemenablefirewallsessionlink-statecheck开启防火墙会话检测q退出sa保存配置战斗结束

思科与华为ACL使用区别

       ACL在交换机路由器上会时常使用到，一般用的场景主要为:网络间的访问控制;策略路由等高层控制机制的调用。

在实际使用过程中思科和华为的设备对于ACL的使用是存在一定的区别的。本文将对现实中遇到的区别做些说明及举例让初学者有一定的认识。

一、思科ACL

ACL大量的应用与交换机、路由器、防火墙等设备上，ACL是各种网络访问控制策略的基础"网元"。在思科ACL体系中默认有个隐式ACE 为deny any。我们知道ACL有一条条规则（ACE)组成。

access-list 100   permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

上面那条ACL 定义了 1网段能访问2网段，那其他网段之间是无法访问的因为默认有个隐式ACE deny any any 在后面只是我们看不到而已。

写完一个ACL如果只是用来控制访问的话，acl可以在物理接口、逻辑三层接口上调用当有匹配到流量后将执行ACE的相关动作（允许或者禁止）

当ACL为更高一级应用调用时含义也就有些区别了，以下我们以策略路由中的ACL为例说明：

access-list 100   deny   ip 192.168.1.0 0.0.0.255 10.1.1.0  0.0.0.255

access-list 100   permit ip 192.168.1.0 0.0.0.255 10.1.0.0  0.0.255.255

上面的ACL的在策略路由中调用后的结果是： 192.168.1.0/24访问10.1.0.0/16网络中除10.1.1.0/24外的流量将被匹配到，此匹配到的流量将根据策略路由的规则进行处理。

二、华为ACL

华为ACL写法与思科的写法稍微有点区别的，如果想要实现上面思科access-list 100   permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255的一样的功能则华为的写法如下：

acl number 3000

rule 5  permit ip source 192.168.1.0 0.0.0.255  destination 192.168.2.0  0.0.0.255

rule 10  deny  ip any (为什么要加这条ACE）见下面的表格说明

完成ACL后可以在相应的物理接口、VLAN中直接调用 （华为称简化流策略）调用方法如下：

1、在接口上调用traffic-filter inbound acl 3000

2、在vlan中调用traffic-filter vlan vlan-id inbound acl 3000

而被策略路由调用时就有很大的差别了，华为有几个步骤

1、配置流分类 traffic classifier classifier-name   调用ACL

2、配置流行为 traffic behavior   定义动作 permit/deny

3、配置流策略 traffic policy policy-name    执行命令classifier classifier-name behavior behavior-name，在流策略中为指定的流分类配置所需流行为，即绑定流分类和流行为。

4、应用流策略  在接口、VLAN视图、全局视图下，执行命令traffic-policy policy-name  inbound | outbound ，应用流策略

如果想要实现思科的策略路由流量匹配一样的效果则华为需要写以下两个ACL才能实现与思科一样的效果

acl number 3000 

rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

acl number 3001

rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 10.1.0.0 0.0.255.255

之后在创建的两个流分类中分别调用acl 3000 和acl 3001 ,接着创建两个流动作第一个流动作为permit 最后在流策略traffic-policy中同时引用两个流策略和流行为，acl3000的流策略流行为需放在前面，最后在接口或者vlan、全局中调用流策略。

示例：

class 123

if-match acl 3000

class 456

if-match acl 3001

beh 123

permit

beh 456

redirect ip-nexthop x.x.x.x

traffic policy 123456

class 123 beh 123

class 456 beh 456

interface Vlanif2005

traffic-policy 123456 inbound