本舉例是在F1000-AI-55的R8860版本上進行配置和驗證的。
如圖-5所示,某公司內的各部門之間通過Device實現互連,公司內網中部署了域名為www.example.com的Web服務器用於公司財務管理,該域名已在內網DNS服務器中注冊。通過配置安全策略,實現如下需求:
允許財務部通過HTTP協議訪問財務管理Web服務器。
禁止市場部在任何時間通過HTTP協議訪問財務管理Web服務器。
配置安全域
# 選擇“網絡 > 安全域”,進入安全域配置頁麵,依次配置如下內容。
創建名為web的安全域,並將接口GigabitEthernet1/0/1加入該安全域中
創建名為market的安全域,並將接口GigabitEthernet1/0/2加入該安全域中
創建名為finance的安全域,並將接口GigabitEthernet1/0/3加入該安全域中
創建名為dns的安全域,並將接口GigabitEthernet1/0/4加入該安全域中
配置接口IP地址
# 單擊接口GE1/0/1右側的<編輯>按鈕,配置如下。
選擇“IPv4地址”頁簽,配置IP地址/掩碼:10.0.0.1/24
其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址的配置。
# 按照同樣的步驟配置接口GE1/0/2,配置如下。
IP地址/掩碼:10.0.12.1/24
其他配置項使用缺省值
# 按照同樣的步驟配置接口GE1/0/3,配置如下。
IP地址/掩碼:10.0.11.1/24
其他配置項使用缺省值
# 按照同樣的步驟配置接口GE1/0/4,配置如下。
IP地址/掩碼:10.0.10.1/24
其他配置項使用缺省值
配置地址對象組
# 選擇“對象> 對象組 > IPv4地址對象組”,進入IPv4地址對象組配置頁麵,創建名為web的IPv4地址對象組,並定義其主機名為www.example.com。
配置DNS服務器地址
# 選擇“網絡 > DNS > DNS客戶端”,進入DNS客戶端配置頁麵。
# 輸入域名服務器的IP地址為10.10.10.10,單擊右側<添加>按鈕完成添加。
創建源安全域local到目的安全域dns的安全策略,允許Device訪問DNS服務器用於解析主機名
# 選擇“策略 > 安全策略 > 安全策略”,進入安全策略配置頁麵。
# 單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵,配置如下。
圖-2 配置安全策略
# 其他配置項保持默認情況即可。
# 單擊<確定>按鈕,完成安全策略local-dns的配置。
創建源安全域market、finance到目的安全域dns的安全策略,允許內網主機訪問DNS服務器用於解析主機名
# 選擇“策略 > 安全策略 > 安全策略”,進入安全策略配置頁麵。
# 單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵,配置如下。
圖-3 配置安全策略
# 其他配置項保持默認情況即可。
# 單擊<確定>按鈕,完成安全策略host-dns的配置。
創建源安全域finance到目的安全域web的安全策略,允許財務部通過HTTP協議訪問財務管理Web服務器
# 選擇“策略 > 安全策略 > 安全策略”,進入安全策略配置頁麵。
# 單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵,配置如下。
圖-4 配置安全策略
# 其他配置項保持默認情況即可。
# 單擊<確定>按鈕,完成安全策略finance-web的配置。
創建源安全域market到目的安全域web的安全策略,禁止市場部在任何時間通過HTTP協議訪問財務管理Web服務器
# 選擇“策略 > 安全策略 > 安全策略”,選擇新建策略,進入新建安全策略頁麵,進入安全策略配置頁麵。
# 單擊<新建>按鈕,配置如下。
圖-5 配置安全策略
# 其他配置項保持默認情況即可。
# 單擊<確定>按鈕,完成安全策略market-web的配置。
激活安全策略加速
# 選擇“策略 > 安全策略 > 安全策略”,進入安全策略配置頁麵。
# 在安全策略頁麵,單擊<立即加速>按鈕,激活安全策略加速。