现网中有这样的需求:要求出口防火墙放行某个内网IP,不受防火墙约束。我们除了设置地址组,配置安全策略放行的方法,也可以简单的配置白名单的方法放行。
白名单
如果认为某个IP地址可信时,可以将该IP地址加入白名单,FW命中白名单的报文将跳过黑名单、内容安全和DDos这三个环节的检查,再按照正常的报文转发流程转发。
简介
介绍白名单的类型。
FW支持把源地址或目的地址加入白名单,这两种类型的白名单的详细说明如表1所示。
表1 白名单类型
类型 | 说明 |
源地址类型的白名单 | 将特定的源地址加入白名单后,FW将跳过黑名单、内容安全和DDos这三个环节的检查,再按照正常的报文转发流程转发来自该源地址的报文。 创建源地址类型的白名单时,还可以指定该源地址对应的协议类型或源端口号。系统将只转发来自该源地址指定的协议类型/源端口的报文,来自该源地址对应的其它协议类型/端口号的报文不受白名单控制。 |
目的地址类型的白名单 | 将特定的目的地址加入白名单后,FW将跳过黑名单、内容安全和DDos这三个环节的检查,再按照正常的报文转发流程转发去往该目的地址的报文。 创建目的地址类型的白名单时,还可以指定该目的地址对应的协议类型或目的端口号。系统将只转发去往该目的地址指定的协议类型/目的端口的报文,去往该目的地址对应的其它协议类型/端口号的报文不受白名单控制。 |
多次创建同一白名单表项时,后创建的白名单表项会覆盖原有的白名单表项。
白名单使用限制和注意事项
硬件依赖
各型号白名单的支持情况如下表所示:
表1 白名单支持情况
白名单类型 | USG6110E, USG6307E/6311E/6311E-POE, USG6510E/6510E-POE/6510E-DK, USG6331E/6530E, USG6306E/6308E/6312E/6322E/6332E/6350E/6360E/6380E, USG6515E/6550E/6560E/6580E, USG6000E-E03/6000E-E07, USG6106E, USG6301E-C/6302E-C, USG6303E, USG6303E-C, USG6305E/6306E-B/6308E-B/6309E/6315E/6318E-B/6325E/6335E/6338E-B/6355E/6358E-B/6365E/6378E-B/6385E/6388E-B/6398E-B, USG6501E-C/6502E-C/6503E-C, USG6520E-K/6525E/6555E/6560E-K/6565E/6575E-B/6585E/6590E-K, USG6605E-B | USG6391E/6610E/6620E, USG6395E/6615E/6620E-K/6625E, USG6630E/6650E, USG6635E/6640E-K/6655E、USG6680E, USG6712E/6716E |
静态白名单 | 所有型号均支持在CPU上手动创建白名单。 | 所有型号均支持在CPU上手动创建白名单,并自动同步到NP芯片上。 |
License支持
白名单功能不受License控制。
使用限制
白名单功能支持IPv4和IPv6。
配置白名单-Web
介绍如何使用Web界面完成白名单的配置。
操作步骤
- 选择“策略 > 安全防护 > 白名单”。
- 在“配置白名单”界面,启用“白名单功能”,单击“应用”。
- 在“白名单列表”界面,单击“新建”。
- 配置白名单。
配置源地址类型的白名单。
参数 | 说明 |
白名单类型 | 选择“源地址”。 |
源IP | 输入源IP。 将特定的源IP加入白名单后,设备将跳过黑名单、内容安全和DDos这三个环节的检查,再按照正常的报文转发流程转发来自该源地址的报文。 |
协议 | 选择协议类型或手动输入协议号。系统将只转发来自该源IP指定的协议类型/源端口的报文,来自该源IP对应的其它协议类型/端口号的报文不受白名单控制。
|
配置目的地址类型的白名单。
参数 | 说明 |
白名单类型 | 选择“目的地址”。 |
目的IP | 输入目的IP。 将特定的目的IP加入白名单后,设备将跳过黑名单、内容安全和DDos这三个环节的检查,再按照正常的报文转发流程转发去往该目的IP的报文。 |
协议 | 选择协议类型或手动输入协议号。系统将只转发去往该目的IP指定的协议类型/目的端口的报文,去往该目的IP对应的其它协议类型/端口号的报文不受白名单控制。
|
5.单击“确定”。
后续处理
FW支持清空所有的白名单和清除命中白名单的统计次数功能,该功能做为一种调试手段可用于故障定位或网络调试。如果需要清除所有的白名单,请在“白名单列表”界面中单击“清空”,之后单击“确定”;如果需要清除命中白名单统计次数,请在“白名单列表”界面中单击“清除全部命中次数”,之后单击“确定”。
另外,白名单功能还支持按照IP地址在白名单列表中查找指定的表项,以及清除查询结果功能。
配置白名单-CLI
介绍如何使用命令行完成白名单的配置。
操作步骤
- 进入系统视图。
system-view
- 在系统视图下开启白名单功能。
firewall whitelist enable
- 配置白名单功能。创建源地址类型的白名单表项。
firewall whitelist item source-ip { source-IPv4-address | source-IPv6-address } [ source-port source-port ] [ protocol { tcp | udp | icmp | protocol-num } ]
将特定的源IP加入白名单后,设备将跳过黑名单、内容安全和DDos这三个环节的检查,再按照正常的报文转发流程转发来自该源地址的报文。创建源地址类型的白名单时,还可以指定该源IP对应的协议类型/源端口号。系统将只转发来自该源IP指定的协议类型/源端口的报文,来自该源IP对应的其它协议类型/端口号的报文不受白名单控制。
- 创建目的地址类型的白名单表项。
firewall whitelist item destination-ip { destination-IPv4-address | destination-IPv6-address } [ destination-port destination-port ] [ protocol { tcp | udp | icmp | protocol-num } ]
将特定的目的IP加入白名单后,设备将跳过黑名单、内容安全和DDos三个环节的检查,再按照正常的报文转发流程转发去往该目的IP的报文。创建目的地址类型的白名单时,还可以指定该目的IP对应的协议类型或目的端口号。系统将只转发去往该目的IP指定的协议类型/目的端口的报文,去往该目的IP对应的其它协议类型/端口号的报文不受白名单控制。