NS-F1000-AI-25防火牆設定
- 0關注
- 0收藏,1230瀏覽
問題描述:
局域網用戶要開放微軟更新網站,安全策略裏目的地地址需要使用域名,找不到地方設置域名對像組
客戶電話: 18096323108
設備款型: NS-F1000-AI-25
設備序列號: 210235A2H6B235000059
- 2024-02-29提問
- 舉報
-
(0)
1.20.2 基於域名的安全策略配置舉例
1. 組網需求
某公司內的各部門之間通過Device實現互連,公司內網中部署了域名為***.***的Web服務器用於公司財務管理,該域名已在內網DNS服務器中注冊。通過配置安全策略,實現如下需求:
· 允許財務部通過HTTP協議訪問財務管理Web服務器。
· 禁止市場部在任何時間通過HTTP協議訪問財務管理Web服務器。
2. 組網圖
圖1-7 基於域名的安全策略配置組網圖
3. 配置步驟
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 10.0.13.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置接口加入安全域
# 請根據組網圖中規劃的信息,創建安全域,並將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name web
[Device-security-zone-web] import interface gigabitethernet 1/0/1
[Device-security-zone-web] quit
[Device] security-zone name market
[Device-security-zone-market] import interface gigabitethernet 1/0/2
[Device-security-zone-market] quit
[Device] security-zone name finance
[Device-security-zone-finance] import interface gigabitethernet 1/0/3
[Device-security-zone-finance] quit
[Device] security-zone name dns
[Device-security-zone-dns] import interface gigabitethernet 1/0/4
[Device-security-zone-dns] quit
(3) 配置對象
# 創建名為web的IP地址對象組,並定義其主機名稱為***.***,具體配置步驟如下。
[Device] object-group ip address web
[Device-obj-grp-ip-web] network host name ***.***
[Device-obj-grp-ip-web] quit
(4) 配置DNS服務器地址
# 指定DNS服務器的IP地址為10.10.10.10,確保Device可以獲取到主機名對應的IP地址,具體配置步驟如下。
[Device] dns server 10.10.10.10
(5) 配置安全策略
# 配置名稱為dnslocalout的安全策略規則,允許Device訪問DNS服務器,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name dnslocalout
[Device-security-policy-ip-0-dnslocalout] source-zone local
[Device-security-policy-ip-0-dnslocalout] destination-zone dns
[Device-security-policy-ip-0-dnslocalout] destination-ip-host 10.10.10.10
[Device-security-policy-ip-0-dnslocalout] action pass
[Device-security-policy-ip-0-dnslocalout] quit
# 配置名稱為host-dns的安全策略規則,允許內網主機訪問DNS服務器,具體配置步驟如下。
[Device-security-policy-ip] rule name host-dns
[Device-security-policy-ip-1-host-dns] source-zone finance
[Device-security-policy-ip-1-host-dns] source-zone market
[Device-security-policy-ip-1-host-dns] destination-zone dns
[Device-security-policy-ip-1-host-dns] source-ip-subnet 10.0.11.0 24
[Device-security-policy-ip-1-host-dns] source-ip-subnet 10.0.12.0 24
[Device-security-policy-ip-1-host-dns] destination-ip-host 10.10.10.10
[Device-security-policy-ip-1-host-dns] service dns-udp
[Device-security-policy-ip-1-host-dns] action pass
[Device-security-policy-ip-1-host-dns] quit
# 配置名稱為finance-web的安全策略規則,允許財務部通過HTTP協議訪問財務管理Web服務器,具體配置步驟如下。
[Device-security-policy-ip] rule name finance-web
[Device-security-policy-ip-2-finance-web] source-zone finance
[Device-security-policy-ip-2-finance-web] destination-zone web
[Device-security-policy-ip-2-finance-web] source-ip-subnet 10.0.11.0 24
[Device-security-policy-ip-2-finance-web] destination-ip web
[Device-security-policy-ip-2-finance-web] service http
[Device-security-policy-ip-2-finance-web] action pass
[Device-security-policy-ip-2-finance-web] quit
# 配置名稱為market-web的安全策略規則,禁止市場部在任何時間通過HTTP協議訪問財務管理Web服務器,具體配置步驟如下。
[Device-security-policy-ip] rule name market-web
[Device-security-policy-ip-3-market-web] source-zone market
[Device-security-policy-ip-3-market-web] destination-zone web
[Device-security-policy-ip-3-market-web] source-ip-subnet 10.0.12.0 24
[Device-security-policy-ip-3-market-web] destination-ip web
[Device-security-policy-ip-3-market-web] service http
[Device-security-policy-ip-3-market-web] action drop
[Device-security-policy-ip-3-market-web] quit
# 激活安全策略規則的加速功能,具體配置步驟如下。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
4. 驗證配置
配置完成後,財務部可以訪問財務管理服務器的Web服務,市場部任何時間均不可以訪問財務管理服務器的Web服務。
1.20.3 基於模糊域名的安全策略配置舉例
1. 組網需求
某公司內的各部門之間通過Device實現互連,公司內網中部署了域名為***.***、***.***、***.***等多個Web服務器,這些域名已在內網DNS服務器中注冊。通過配置安全策略,實現如下需求:
· 基於模糊域名允許財務部通過HTTP協議訪問所有Web服務器。
· 基於精確域名允許市場部通過HTTP協議訪問***.***服務器。
2. 組網圖
圖1-8 基於模糊域名的安全策略配置組網圖
3. 配置步驟
(1) 配置內網主機的DNS服務器地址為Device的IP地址
(2) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 10.0.13.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(3) 配置接口加入安全域
# 請根據組網圖中規劃的信息,創建安全域,並將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name web
[Device-security-zone-web] import interface gigabitethernet 1/0/1
[Device-security-zone-web] quit
[Device] security-zone name market
[Device-security-zone-market] import interface gigabitethernet 1/0/2
[Device-security-zone-market] quit
[Device] security-zone name finance
[Device-security-zone-finance] import interface gigabitethernet 1/0/3
[Device-security-zone-finance] quit
[Device] security-zone name dns
[Device-security-zone-dns] import interface gigabitethernet 1/0/4
[Device-security-zone-dns] quit
(4) 配置對象組
# 創建名為web的IP地址對象組,並定義其主機名稱為*.***.***,即匹配所有包含“.***.***”的域名地址。具體配置步驟如下。
[Device] object-group ip address web
[Device-obj-grp-ip-web] network host name *.***.***
[Device-obj-grp-ip-web] quit
# 創建名為bbs的IP地址對象組,並定義其主機名稱為***.***。具體配置步驟如下。
[Device] object-group ip address bbs
[Device-obj-grp-ip-bbs] network host name ***.***
[Device-obj-grp-ip-bbs] quit
(5) 配置DNS
# 開啟DNS代理功能。
[Device] dns proxy enable
# 指定DNS服務器的IP地址為10.10.10.10,確保Device可以獲取到主機名對應的IP地址,具體配置步驟如下。
[Device] dns server 10.10.10.10
(6) 配置安全策略
# 配置名稱為local-dns的安全策略規則,允許Device訪問DNS服務器,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name local-dns
[Device-security-policy-ip-0-local-dns] source-zone local
[Device-security-policy-ip-0-local-dns] destination-zone dns
[Device-security-policy-ip-0-local-dns] destination-ip-host 10.10.10.10
[Device-security-policy-ip-0-local-dns] service dns-udp
[Device-security-policy-ip-0-local-dns] service dns-tcp
[Device-security-policy-ip-0-local-dns] action pass
[Device-security-policy-ip-0-local-dns] quit
# 配置名稱為host-localdns的安全策略規則,允許內網主機訪問設備DNS代理,具體配置步驟如下。
[Device-security-policy-ip] rule name host-localdns
[Device-security-policy-ip-1-host-localdns] source-zone finance
[Device-security-policy-ip-1-host-localdns] source-zone market
[Device-security-policy-ip-1-host-localdns] destination-zone local
[Device-security-policy-ip-1-host-localdns] source-ip-subnet 10.0.11.0 24
[Device-security-policy-ip-1-host-localdns] source-ip-subnet 10.0.12.0 24
[Device-security-policy-ip-1-host-localdns] service dns-udp
[Device-security-policy-ip-1-host-localdns] service dns-tcp
[Device-security-policy-ip-1-host-localdns] action pass
[Device-security-policy-ip-1-host-dns] quit
# 配置名稱為finance-web的安全策略規則,允許財務部通過HTTP協議訪問所有Web服務器,具體配置步驟如下。
[Device-security-policy-ip] rule name finance-web
[Device-security-policy-ip-2-finance-web] source-zone finance
[Device-security-policy-ip-2-finance-web] destination-zone web
[Device-security-policy-ip-2-finance-web] source-ip-subnet 10.0.11.0 24
[Device-security-policy-ip-2-finance-web] destination-ip web
[Device-security-policy-ip-2-finance-web] service http
[Device-security-policy-ip-2-finance-web] action pass
[Device-security-policy-ip-2-finance-web] quit
# 配置名稱為market-web的安全策略規則,允許市場部通過HTTP協議訪問***.***服務器,具體配置步驟如下。
[Device-security-policy-ip] rule name market-web
[Device-security-policy-ip-3-market-web] source-zone market
[Device-security-policy-ip-3-market-web] destination-zone web
[Device-security-policy-ip-3-market-web] source-ip-subnet 10.0.12.0 24
[Device-security-policy-ip-3-market-web] destination-ip bbs
[Device-security-policy-ip-3-market-web] service http
[Device-security-policy-ip-3-market-web] action pass
[Device-security-policy-ip-3-market-web] quit
# 激活安全策略規則的加速功能,具體配置步驟如下。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
4. 驗證配置
配置完成後,財務部可以通過HTTP協議訪問所有Web服務器,市場部僅可以通過HTTP協議訪問***.***服務器。
- 2024-02-29回答
- 評論(0)
- 舉報
-
(0)
編輯答案
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明
暫無評論