提示:需要先在WEB管理界面—>高级配置—>组管理中定义工作组,才能在本页面为工作组用户定义上网业务策略;需要先在WEB管理界面—>基本配置—>时间段配置中定义时间段,才能在本页面定义业务策略的有效时间。
HiPER默认合法的IP地址将被允许连接和通过HiPER,但是可在本页面定义若干业务策略,从而控制局域网用户的上网行为,比如限制用户不能访问某些网站,或者只能访问某些网站,限制用户访问一些服务(如只需访问WWW和电子邮件服务,其他服务如TELNET则禁止),或只允许一些主机访问网络等等。灵活地运用HiPER的业务管理功能,不仅能够为不同的用户设置不同的Internet访问权限,还可以控制用户在不同时段的Internet访问权限。
启用了业务管理功能之后,HiPER通过检查所有进入和外出的请求,确保局域网用户遵守这些业务策略。WEB UI中,HiPER默认检查来自局域网内部,从LAN口进入HiPER的数据包。
业务策略的过滤条件包括:源地址、目的端口、目的IP地址、源端口、协议、时间计划等。定义了这些过滤条件以后,就可以利用它们创建业务策略,并指定各条业务策略的动作(允许或禁止),从而对进入HiPER的数据包进行控制:转发或丢弃。
通过设置“组选择”可以指定业务策略要过滤的数据包的源地址,HiPER提供三种类型的源地址对象:工作组,个人用户以及IPSSG组。HiPER中,将这三种类型的策略分别成为工作组策略、个人用户策略及IPSSG组策略。
1. 工作组
一般情况下,业务策略是针对工作组定义的,该工作组的地址范围即为该策略要过滤数据包的源地址。同一个工作组的用户的上网权限完全相同,从而,你只需为工作组定义业务策略,而无需为每个用户分别定义业务策略。这样的话,不仅方便管理,也可以提高HiPER的工作效率。当然,你必须首先将上网要求相同的局域网用户定义在同一个工作组中,才能够为他们制定出正确而有效的业务策略。
当为某工作组配置了业务策略后,系统会自动生成该组的全局策略,默认是禁止该组除定义过的其他业务。工作组全局策略的名称为“grpx_other”,x为阿拉伯数字,按照配置顺序依次为1、2、3……。
2. 个人用户
同时,HiPER也允许针对个人用户定义业务策略,该个人用户的IP地址即为该策略要过滤的数据包的源地址。如果某个工作组中有个别用户的上网需求与该组其他用户基本相同,但同时也有少数一个或几个特别需求;或是某个用户突然有了新的上网需求时,就需要对这个用户单独定义业务策略。
注意,如果配置了个人用户策略,且该个人用户属于某个已经配置了业务策略的工作组,则该工作组的全局策略也对该个人用户起作用。
3. IPSSG组
系统还提供一个默认工作组:IPSSG组,包括局域网中没有定义业务策略的所有用户。允许针对IPSSG组定义业务策略,但该组的起止IP地址(均为0.0.0.0)不能修改。
注意,如果配置了个人用户策略,且该个人用户不属于任何已配置了业务策略的工作组,则IPSSG组策略也对该个人用户起作用。
业务策略的动作包括转发和丢弃,对应的“动作”分别为“允许”或“禁止”。当需要处理的数据包与已定义的某条业务策略相匹配时,如果该策略的“动作”是“允许”,那么HiPER将转发该数据包;如果该策略的“动作”是“禁止”,那么HiPER将丢弃该数据包。
顺序
|
类型
|
名称
|
备注
|
从
上
至
下
|
|
lan
|
始终位于最上方,而且,“lan”未在“业务策略信息列表”中显示,不可编辑删除。“dns”、“dhcp”只可编辑其“动作”,不可删除。
|
dns
|
dhcp
|
|
自定义
|
由用户自定义的个人策略,始终位于工作组策略之上。
|
|
|
自定义
|
“grpx_other”只允许修改其“动作”。工作组策略始终位于IPSSG组策略之上。
|
工作组全局策略
|
grpx_other
|
|
|
自定义
|
“pass”始终位于自定义的IPSSG组策略之下,而且,未在“业务策略信息列表”中显示,不可编辑删除。
|
|
pass
|
|
generic
|
始终位于最下方,而且,未在“业务策略信息列表”中显示,不可编辑删除。
|
如上表所示,在启用了业务管理之后,系统会形成七种业务策略:
1. 为使HiPER正常工作而自动生成的名称为“lan”、“dns”以及“dhcp”的系统缺省业务策略,它们分别用来允许访问LAN口、允许DNS、DHCP服务;
2. 自定义的个人用户策略,可能是禁止或允许该用户的某项上网业务;
3. 自定义的工作组策略,可能是禁止或者允许该组的某项上网业务;
4. 系统自动生成的某工作组的全局策略,默认是禁止该组除定义过的其他业务。当为某工作组定义业务策略后,系统会自动生成该组的全局策略,名称为“grpx_other”,x为阿拉伯数字,按照配置顺序依次为1、2、3……;
5. 自定义的系统默认(IPSSG)组策略,可能是禁止或者允许IPSSG组的某项上网业务,但是该组的源起止IP地址不能修改;
6. 系统自动生成的IPSSG组的全局策略,默认是允许IPSSG组除定义过的其他业务,该业务策略的名称为“pass”。可在WEB管理界面—>高级配置—>业务管理—>业务管理全局配置中,通过设置“允许其它用户”来指定其“动作”,默认是选中,表示允许;
7. 系统自动生成的全局策略(作用于局域网所有用户),允许所有数据包(包括其他非IP类型的包)通过,该业务策略的名称为“generic”。
一般情况下,所有的业务策略将按照上表中的顺序排列在“业务策略信息列表”中,其中,按照从上到下的顺序依次是:最上面为“lan”、“dns”及“dhcp”这3条策略,之后是自定义的个人用户策略,然后是工作组策略,最下面为“pass”和“generic”这2条策略。需要指出的是,“lan”、“pass”及“generic”这3条系统自动生成的策略未在“业务策略信息列表”中显示。
对于工作组策略来说,缺省情况下,工作组策略将按照配置时的顺序从上到下依次排列,自定义的工作组策略将自动位于该组全局策略上方,但用户可以通过参数“插入位置”指定或调整某工作组策略的位置,并且,只能是在某工作组内部或工作组之间调整。注意,如果将某条自定义的工作组策略插入到该工作组全局策略下方,这条策略将不再起作用。
对于个人用户策略来说,缺省情况下,个人用户策略将按照配置时的顺序从上到下依次排列,但用户可以通过参数“插入位置”指定或调整某个人用户策略的位置,并且,只能在个人用户策略之间调整。
WEB UI中默认是在LAN口启用业务管理功能,HiPER将检查来自局域网内部,从LAN口进入HiPER的数据包。
当来自局域网内部的数据包到达LAN口后,HiPER将从“业务策略信息列表”的顶端开始向下搜索该表,查找第一个与数据包的源地址、目的地址、协议、目的端口、源端口以及接收到数据包请求的时间相匹配的策略。匹配的第一个策略将被应用于数据包,将不再检查后面的策略。如果没有找到匹配的策略,出于安全考虑,该数据包将被丢弃。
由于HiPER将会对数据包执行第一个匹配的策略所定义的动作,因此,必须按照从特殊到一般的顺序安排、配置策略。特殊策略不排除位于列表下部的更一般性策略的应用,但位于特殊策略前的一般性策略会产生此排除效应。举个例子来说,要求禁止局域网某工作组用户使用MSN业务,允许其他所有业务,那么,禁止MSN业务的策略必须在允许所有业务的策略的上方。否则,如果允许所有业务的策略在上方,那么禁止MSN业务的策略将未起作用,该工作组用户将仍旧可以使用MSN业务。
在这个页面,可以为工作组及个人用户配置各种上网业务的权限和时间。
策略名:业务策略的名称。自定义,不能重复,取值范围为1~11个字符;
组选择:该业务策略控制的局域网用户,即源地址范围。提供三种类型的选项:自定义的工作组的“组名”,“新个人用户”及IPSSG。
组名:为某工作组配置业务策略时,需选择该工作组的“组名”。选定工作组后,这一行的右边会显示该组用户的IP地址段;
新个人用户:为局域网中的单个用户配置业务策略时,需选择“新个人用户”。定义时,需要在该行右边第一个下划线上输入该用户的IP地址;
IPSSG:为系统默认组配置上网业务时,需选择“IPSSG”。该组作用于局域网中没有配置上网业务的所有用户,其起始IP地址和结束IP地址均不能修改;
协议:该业务策略的协议类型;供选择的协议如下:6(TCP)、17(UDP)、1(ICMP)、2(IGMP)、4(IPINIP)、47(GRE)、50(ESP)、51(AH)、89(OSPF)、9(IGRP)、46(RSVP)以及0(所有)。其中,“0(所有)”表示所有协议。
附录C提供了常用协议号与协议名称的对照表;
常用服务提示:提供使用TCP协议和UDP协议的常用服务端口。其中,选项“所有”表示所有端口:即1~65535端口。选择某端口号(服务)后,系统会自动添加“目的起始端口/目的结束端口”。
附录D提供了常用服务端口与服务名对照表;
目的起始端口、目的结束端口:该业务策略的目的起始端口和结束端口,通过它们可以指定一段范围的目的端口。如果只定义一个目的端口,则将它们设置为同一个数值。取值范围均为1~65535;
目的起始地址、目的结束地址:该业务策略的目的起始IP地址和结束地址,通过它们可以指定一段范围的目的IP地址。如果只定义一个目的IP地址,则将它们设置成同一个值;
源起始端口、源结束端口:该业务策略的源起始端口和结束端口,通过它们可以指定一段范围的源端口。如果只定义一个源端口,则将它们设置为同一个值。取值范围均为1~65535;
插入位置(之前):该业务策略的插入位置,选项为已配置的业务策略的“策略名”,及“pass”。“pass”为IPSSG组的全局策略,具体涵义参见本章6.2.1.3节。
策略名:选择某“策略名”后,该业务策略将插入到指定的业务策略之前;
pass:选择“pass”后,该业务策略将插入到策略“pass”之前,作为“业务策略信息列表”中显示的最后一条策略;
动作:该业务策略的执行动作,选项为“允许”或“禁止”。
允许:允许与该业务策略匹配的数据包通过,即HiPER将转发该数据包;
禁止:禁止与该业务策略匹配的数据包通过,即HiPER将丢弃该数据包;
时间段:该业务策略生效的时间,不设置为所有时间。如果配置之后需要删除,可以选择“时间段”下拉列表中的空选项。如果该时间段已经超过执行的起止生效时间,系统将认为此条策略没有时间限制。
保存:业务管理配置参数生效;
重填:恢复到修改前的配置参数。
提示:
1. 在本页面配置了新个人用户业务策略后,在WEB管理界面—>高级配置—>组管理—>工作组列表中将增加该用户的信息记录,其“组名”为该用户的IP地址。因此,在为该个人用户继续配置其他业务策略时,在“组选择”中只需直接选择该用户的IP地址即可;
2. 在本页面可以删除为该个人用户配置的业务策略,但无法删除其地址信息,这时需在WEB管理界面—>高级配置—>组管理—>工作组列表中才可删除它;
3. 如果希望对某个人用户定义业务策略,也可以先在WEB管理界面—>高级配置—>组管理—>工作组列表中配置该个人用户,然后在“组选择”中选择其“组名”,即可为该用户配置业务策略。本页面“组选择”中提供的“新个人用户”相当于提供了一种配置个人用户策略的快捷方式。
启用业务管理
允许其他用户:该参数对应IPSSG组的全局策略“pass”(具体涵义参见本章6.2.1.3节)的“动作”,选中对应“允许”,未选中对应“禁止”。如果并没有为局域网里面的所有用户配置上网的业务策略,而又希望这些用户可以正常上网,那么就应该选中此项;
启用业务管理:启用或者关闭业务管理功能,选中为启用,使上面定义的业务策略开始工作。
保存:业务管理配置参数生效;
重填:恢复到修改前的配置参数。
提示:
1. 当选择了“允许其他用户”之后,某些原来定义的没有上网业务权限的用户可能会通过修改IP地址的方式来获得上网业务权限;
2. 在开启了“启用业务管理”之后,系统为工作正常,保留了一些业务策略,如LAN、DNS以及DHCP业务等作为内部使用。
业务策略信息列表
业务策略信息列表(续表)
增加业务策略:选中“添加”选项,输入业务策略信息,单击“保存”按钮,生成新的业务策略;
浏览业务策略:如果已经生成了业务策略,可在“业务策略信息列表”中浏览相关信息;
编辑业务策略:如果想编辑某一业务策略,只需单击此业务策略的“策略名”或“编辑”超链接,其信息就会填充到相应的编辑框内,可修改它,再单击“保存”,修改完毕;
删除业务策略:选中一些业务策略,单击右下角的“删除”按钮,即可删除被选中的业务策略。
提示:“业务策略信息列表”中最上面的两条业务策略,即“策略名”为“dns”和“dhcp”的策略为系统缺省策略,它们可以编辑修改,但不能删除。
配置业务策略的过程如下:
第一步,进入WEB管理界面—>高级配置—>业务管理页面;
第二步,选择“添加”选项,输入该策略的名称;
第三步,在“组选择”中选择该策略要匹配的工作组;或选择新个人用户,并填入该个人用户的IP地址;
第四步,根据欲配置的业务策略的要求有选择地填写“协议”、“目的起始端口”、“目的结束端口”、“目的起始地址”及“目的结束地址”,“源起始端口”、“源结束端口”;
第五步,如有需要,指定该业务策略的“插入位置”;
第六步,根据需要选择该业务的“动作”是“允许”或者“禁止”;
第七步,如有需要,在“时间段”中选择该业务策略的生效时间段;
第八步,单击“保存”按钮,生成新的业务管理策略;
第九步,该业务策略添加成功后,可以在“业务策略信息列表”中看到相应的记录;
第十步,在配置了工作组的业务策略后,系统会自动增加一条该工作组的全局策略,默认是禁止该组除定义过的其他业务,这条策略可以在“业务策略信息列表”中看到,“策略名”一般是grpx_other(x为阿拉伯数字);
第十一步,继续配置其他业务策略;
第十二步,如果要禁止未配置上网业务策略的用户连接或者是通过HiPER,可以取消“允许其他用户”的选中,否则的话,其他的用户将被全部允许;
第十三步,选中“启用业务管理”,然后单击“保存”按钮。
配置完成之后,所有受信的计算机连接和通过HiPER的数据包将会和“业务策略信息列表”中的策略比较,如果能够发现匹配的策略,HiPER将按照该业务策略的“动作”来控制数据包:转发或丢弃。
当配置了某工作组的业务策略后,系统会自动添加一个该工作组的全局策略,该策略的动作默认是禁止该工作组的所有业务,它结合该工作组已设置的其他业务策略形成该工作组完整的策略体系。在“业务策略信息列表”中,该工作组的全局策略将自动位于为该工作组自定义的业务策略的下方(可根据起止地址来判断该全局策略属于哪个工作组)。因此对于该工作组来说,当HiPER从网络接口上收到一个数据包时,将优先匹配该工作组自定义的业务策略,当这些业务策略均不匹配后,才去匹配该工作组的全局业务策略。
例如,当一个工作组设置一个允许FTP的策略,并且该工作组的全局策略的动作为禁止,那么,在“业务策略信息列表”中,FTP策略将位于该组全局策略的上方。所有来自该组的FTP连接都将与这个FTP策略匹配,于是被允许通过。而其它任何类型服务的连接请求都将不会被这个FTP策略所匹配,于是,它们将去匹配该组全局策略,由于该组全局策略的动作为禁止,于是HiPER将禁止这条连接。
工作组的全局策略只允许编辑“动作”及“插入位置”。如果删除工作组的全局策略,IPSSG组策略对该工作组用户也起作用。一般情况下,不要删除工作组的全局策略。
注意,可通过设置“插入位置”将某条自定义的工作组策略插入到该工作组全局策略下方,也可通过设置“插入位置”将某工作组全局策略移到该工作组某条自定义的业务策略的上方。上述任何一种情况下,对于某工作组来说,位于该工作组全局策略下方的自定义的业务策略将不再起作用。
下面将举例说明不同情况下,如何设置工作组的全局策略的动作。
需要说明的是:以下几个例子中的工作组“Sale”的具体配置可参见WEB管理界面—>高级配置—>组管理—>工作组配置实例。时间段“worktime”和“freetime”的具体配置可参见WEB管理界面—>基本配置—>时间段配置—>时间段配置实例。
1. 如果要限制某一工作组只允许某些上网业务,那么该工作组的全局策略的动作应该设成禁止。
例如,要求:只允许“Sale”组的WEB业务,禁止该组其他所有上网业务。
要配置的策略是:
生成策略1,允许“Sale”组的WEB业务;
系统会自动生成一条该组的全局策略grp1_other,禁止该组用户的所有上网业务,如下表所示。
2. 如果要限制某一工作组只禁止某些上网业务,那么该工作组的全局策略的动作应该设成允许。
要配置的策略是:
生成策略1,禁止“Sale”组访问目的地址:209.247.228.201;
生成策略2,禁止“Sale”组访问目的地址:64.236.24.12;
系统会自动生成一条该组的全局策略grp1_other,这时需将其动作修改成“允许”,如下表所示。
3. 如果要限制某一工作组的某些上网业务在不同时间段有不同的权限,那么该工作组的全局策略的动作应该设成禁止。
例如,要求:时间段“worktime”(工作时间)内只允许“Sale”组的WEB业务,时间段“freetime”(业余时间)开放Sale组的所有业务。
要配置的策略是:
生成策略1,允许“Sale”组用户在时间段“worktime”的WEB业务;
生成策略2,允许“Sale”组用户在时间段“freetime”的所有业务;
系统会自动生成一条该组的全局策略grp1_other,禁止该组其他所有上网业务,如下表所示。
如前所述,如果某个工作组中有个别用户的上网需求与该组其他用户基本相同,但同时也有少数一个或几个特别需求;或是某个用户突然有了新的上网需求时,就需要对这个用户单独定义业务策略。
例如,要求:允许“Sale”组(配置同上一节)的WEB业务,禁止该组的其他所有上网业务。特别地,允许该组IP地址为192.168.16.66的用户在时间段“freetime”的所有上网业务。
要配置的策略是:
生成策略1,允许“Sale”组的WEB业务;系统会自动生成一条该组的全局策略grp1_other,禁止所有业务;
生成策略2,允许IP地址为192.168.16.66的用户的所有上网业务;该策略将自动位于策略1的上方。
当然,也可以先配置策略2,再配置策略1。不管配置顺序如何,在“业务策略信息列表”中,针对该用户的业务策略将始终位于针对“Sale”组的业务策略的上方。
一般情况下,业务策略是为了控制局域网主机的上网行为,因此无需设置参数“源起始端口”和“源结束端口”,HiPER将自动开放所有源端口。上述两节中所提供的工作组和个人用户策略配置实例均是用来控制局域网主机的上网行为的。
但是,如果业务策略是为了限制Internet上的外网主机对局域网内部主机(比如某台服务器)的访问,就需要在该策略中指定“源起始端口”和“源结束端口”。
例如,要求:某网吧有一台游戏服务器(IP地址为192.168.16.200/24),现希望该服务器对外只提供某游戏服务(端口号为7000、7100和7200,协议使用TCP),并且只对它的另外两个连锁网吧开放(公网IP分别为:201.222.5.121/29和201.222.5.122/29);同时,禁止该服务器的其他所有上网业务。要配置的相关策略是:
生成策略1,允许该服务器的源端口7000对指定目的IP地址(即201.222.5.121/29和201.222.5.122/29)开放;
生成策略2,允许该服务器的源端口7100对指定目的IP地址(即201.222.5.121/29和201.222.5.122/29)开放;
生成策略3,允许该服务器的源端口7200对指定目的IP地址(即201.222.5.121/29和201.222.5.122/29)开放;
生成策略4,禁止该服务器的所有上网业务。
策略1、2、3的配置步骤类似,下面以策略1的配置步骤为例进行说明,如下图所示:
第一步,在“策略名”中填入“1”;
第二步,在“组选择”中选择“新个人用户”,并在第一个下划线上填入“192.168.16.200”;
第三步,“协议”选择“6(TCP)”,“常用服务提示”选择“所有”;
第四步,在“目的起始地址”和“目的结束地址”中分别填入“201.222.5.121”、“201.222.5.122”;
第五步,在“源起始端口”和“源结束端口”中均填入“7000”;
第六步,“动作”选择“允许”;
第七步,单击“保存”按钮,该策略配置完成。
注意,在配置策略2和策略3时,在“组选择”中只需直接选择“192.168.16.200”即可。
策略4的配置步骤如下:
第一步,在“策略名”中填入“4”;
第二步,在“组选择”中选择“192.168.16.200”;
第三步,“协议”选择“所有”;
第四步,“动作”选择“禁止”;
第五步,单击“保存”按钮,该策略配置完成。
提示:还必须在WEB管理界面—>高级配置—>NAT和DMZ配置—>NAT静态映射中为该服务器配置相关的NAT静态映射,该传奇服务器才能对外提供相关服务。