• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

白名单问题咨询

2小时前提问
  • 0关注
  • 1收藏,31浏览
粉丝:0人 关注:2人

问题描述:

咨询一下这些功能得白名单都有什么不一样呢?配置哪个可以不经过安全策略检查?

3 个回答
粉丝:12人 关注:9人

不同功能的白名单作用场景不同,以下是常见类型及是否跳过安全策略的说明:
1. 接口白名单(如ACL白名单)
作用:针对接口流量过滤,仅允许白名单内IP/端口通过。
是否跳过安全策略:否。需结合安全策略使用,白名单只是ACL规则的一部分,最终仍需安全策略匹配放行。
配置示例:
acl number 2000
rule permit source 192.168.1.0 0.0.0.255
interface GigabitEthernet 0/1
packet-filter 2000 inbound
2. 安全策略白名单
作用:在安全策略中直接允许特定流量,优先级高于其他策略。
是否跳过安全策略:否,但属于安全策略的一部分,匹配后直接放行,无需后续检查。
配置示例:
security-policy
rule name whitelist
source-zone trust
destination-zone untrust
source-address 192.168.1.0 0.0.0.255
action permit
3. 应用识别白名单
作用:针对应用层流量,允许特定应用(如微信、HTTP)绕过深度检测。
是否跳过安全策略:否,但可跳过应用层检测,仍需安全策略放行。
配置示例:
application-identification
whitelist application wechat
4. IPS/AV白名单
作用:跳过IPS/AV检测,适用于误报或信任流量。
是否跳过安全策略:否,仅跳过IPS/AV模块,仍需安全策略允许。
配置示例:
ips
whitelist source-ip 192.168.1.100
总结:所有白名单均需安全策略允许才能通过,无直接跳过安全策略的白名单。若需完全放行,需配置安全策略允许,并结合对应模块白名单跳过检测。

暂无评论

粉丝:25人 关注:1人

简单来说,不存在一个能跳过所有安全检查的“万能白名单”。H3C设备上不同的“白名单”功能,作用层级和生效范围完全不同

要理解它们的区别,首先要明白防火墙处理流量的大致顺序

  1. 安全策略检查:这是第一道关口,决定流量是否被允许通过。

  2. 内容安全/DPI深度检查:对于允许通过的流量,再进行IPS、AV(防病毒)等深度检测

  3. 攻击防范检查:检测并防御各类网络攻击。

你可以把“白名单”理解为能跳过某个特定检查环节的“快速通行证”,但它不能让你跳过所有环节


🔍 几种“白名单”的核心区别

白名单类型生效范围是否能跳过安全策略主要作用
全局白名单跳过“攻击防范”等安全检查❌ 不能让指定IP的流量不受攻击检测,防止误判。流量仍需通过安全策略
IPS/AV等深度安全白名单跳过特定的深度安全检测(如IPS、AV)❌ 不能让特定流量免于IPS、防病毒等DPI(深度包检测)检查仍需匹配安全策略
安全策略中的“放行”规则跳过“默认拒绝”策略✅ 配置一条permit(允许)规则,明确放行特定流量。这是最接近你需求的配置。
MAC地址白名单控制设备能否接入网络不涉及仅允许或拒绝特定MAC地址的设备接入网络(如Wi-Fi)。
DNS过滤白名单控制域名解析请求不涉及只允许解析白名单内的域名,用于控制网页访问

✅ 如何配置才能“不经过安全策略检查”?

最正确的方法是配置安全策略规则。

H3C防火墙的默认行为是“白名单机制”,即默认拒绝所有流量。因此,要让特定流量通过,就需要创建一条允许(permit 规则。这本质上就是一种“白名单”配置。

  • Web界面:在“策略 > 安全策略”中新建一条规则,将“动作”设置为“允许”,并指定源/目的IP、服务等。

  • 命令行

    text
    system-view security-policy ip rule 0 name WHITELIST_RULE action pass source-ip <允许的IP地址> destination-ip <目的IP地址> # ... 其他匹配条件

暂无评论

粉丝:23人 关注:2人

一、6 种白名单功能作用、适用场景完整区分

1. 监控 -> 综合分析 -> 攻击防范 -> 白名单(攻击防范白名单)

  • 作用:规避攻击检测拦截,不跳过域间安全策略
    防火墙 DOS / 扫描 / 异常报文攻击检测模块匹配到名单内 IP 时,不判定为攻击、不阻断、不产生攻击日志;
  • 限制:流量依然会走安全策略校验,策略拒绝则依旧不通;
  • 适用:服务器、运维固定 IP 频繁发包被误报扫描、DOS 攻击。

2. 对象 -> 安全配置文件 ->Web 应用防护 -> 白名单(WAF 白名单)

  • 作用:Web 防护规则豁免,仅针对 HTTP/HTTPS 流量,不跳过安全策略
    名单内源 IP 访问 Web 业务时,跳过 SQL 注入、XSS、路径遍历等 WAF 特征拦截;
  • 限制:仅放行 Web 攻击检测,基础域间安全策略、端口过滤仍生效;
  • 适用:运维管理平台、第三方 API 扫描工具、合法测试系统。

3. 对象 -> 安全配置文件 -> 入侵防御 -> 白名单(IPS 特征白名单)

  • 作用:入侵防御特征库豁免,所有协议流量,不跳过安全策略
    匹配名单的流量不匹配 IPS 漏洞 / 病毒 / 木马特征,不会被 IPS 阻断;
  • 限制:仅豁免入侵检测,安全策略、NAT、攻击防范单独校验;
  • 适用:内部开发调试、合法运维工具触发 IPS 误拦截。

4. 网络 -> 安全接入 ->MAC 接入 ->MAC 地址白名单

  • 作用:二层接入准入放行,仅控制 802.1X/MAC 旁路认证,不跳过三层安全策略
    白名单 MAC 终端无需认证即可接入网络,但跨 VLAN、访问外网仍受域间安全策略管控;
  • 适用:打印机、监控摄像头等哑终端免认证上网。

5. 网络 -> 安全接入 ->IP 接入 ->IPv4/IPv6 地址白名单(三层准入白名单)

  • 作用:三层准入豁免,仅针对 EIA/SSL VPN 等接入认证,不跳过域间安全策略
    名单内 IP 无需账号密码认证即可接入内网,流量转发依旧匹配安全策略;
  • 适用:固定服务器 IP 免准入校验。

二、关键问题:哪类白名单可以不经过安全策略检查

结论:以上 6 个菜单里没有任何一种可以跳过域间安全策略

这 6 类白名单全部属于安全子功能模块豁免,仅跳过对应模块的检测规则,流量必须匹配安全策略允许才能转发

真正实现「免安全策略、直接放行流量」的配置(区分两类)

方案 1:全局免策略转发(永久放行,完全跳过安全策略)

命令行配置域间豁免 / 快速放行 IP 对象,流量直接转发,不匹配任何安全策略:
plaintext
system-view security-policy # 源IP 192.168.1.0/24 访问任意目的,跳过安全策略直接允许 ip-exempt source-address 192.168.1.0 mask 255.255.255.0
Web 路径:安全策略 → 高级设置 → IP 豁免列表(不同版本名称略有差异)

方案 2:域间策略永久允许(替代方案,推荐)

新建置顶安全策略,源 / 目的填写需要放行的 IP,动作允许,放置在所有拒绝策略最上方,等效免策略效果,可控性更强:
  • 优势:可限定源 / 目的安全域、端口、协议,比全局 IP 豁免更安全;
  • 劣势:依旧会经过安全策略模块匹配,只是第一条就命中允许。

三、6 类白名单对比速查表

表格
白名单类型豁免模块是否跳过域间安全策略适用流量
攻击防范白名单DOS / 扫描攻击检测❌ 不跳过,策略仍校验全部 IP 流量
Web 应用防护白名单WAF Web 攻击规则❌ 不跳过,策略仍校验HTTP/HTTPS
入侵防御 IPS 白名单IPS 漏洞 / 病毒特征❌ 不跳过,策略仍校验全部 IP 流量
MAC 接入白名单二层 MAC 准入认证❌ 不跳过,三层策略仍校验二层终端接入
IPv4/IPv6 接入白名单三层 802.1X/SSL 准入❌ 不跳过,域间策略仍校验三层接入终端

四、选型建议

  1. 仅想消除攻击 / IPS/WAF 误拦截:根据业务选择对应攻击防范 / IPS/WAF 白名单;
  2. 仅想哑终端免认证接入:MAC 白名单;服务器免准入用 IP 接入白名单;
  3. 需要完全不经过安全策略校验,无条件放行:配置ip-exemptIP 豁免列表;
  4. 需要可控的免拦截(推荐):新建置顶全允许安全策略,限定网段、端口。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明