防火牆域間訪問控製策略
- 0關注
- 0收藏,433瀏覽
問題描述:
如何創建對應的域間訪問策略
security-policy和zone-pair都敲不進去
組網及組網描述:
如何創建對應的域間訪問策略
security-policy和zone-pair都敲不進去
- 2025-02-25提問
- 舉報
-
(0)
最佳答案
這什麼設備,版本發一下,感覺命令不太對啊
.27 安全策略配置舉例
1.27.1 基於IP地址的安全策略配置舉例
1. 組網需求
· 某公司內的各部門之間通過Device實現互連,該公司的工作時間為每周工作日的8點到18點。
· 通過配置安全策略規則,允許總裁辦在任意時間、財務部在工作時間通過HTTP協議訪問財務數據庫服務器的Web服務,禁止其它部門在任何時間、財務部在非工作時間通過HTTP協議訪問該服務器的Web服務。
2. 組網圖
圖1-6 基於IP地址的安全策略配置組網圖
3. 配置步驟
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.0.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置接口加入安全域
# 請根據組網圖中規劃的信息,創建安全域,並將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name database
[Device-security-zone-database] import interface gigabitethernet 1/0/1
[Device-security-zone-database] quit
[Device] security-zone name president
[Device-security-zone-president] import interface gigabitethernet 1/0/2
[Device-security-zone-president] quit
[Device] security-zone name finance
[Device-security-zone-finance] import interface gigabitethernet 1/0/3
[Device-security-zone-finance] quit
[Device] security-zone name market
[Device-security-zone-market] import interface gigabitethernet 1/0/4
[Device-security-zone-market] quit
(3) 配置時間段
# 創建名為work的時間段,其時間範圍為每周工作日的8點到18點,具體配置步驟如下。
[Device] time-range work 08:00 to 18:00 working-day
(4) 配置安全策略
# 配置名稱為president-database的安全策略規則,允許總裁辦在任意時間通過HTTP協議訪問財務數據庫服務器,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name president-database
[Device-security-policy-ip-0-president-database] source-zone president
[Device-security-policy-ip-0-president-database] destination-zone database
[Device-security-policy-ip-0-president-database] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-0-president-database] destination-ip-subnet 192.168.0.0 24
[Device-security-policy-ip-0-president-database] service http
[Device-security-policy-ip-0-president-database] action pass
[Device-security-policy-ip-0-president-database] quit
# 配置名稱為finance-database的安全策略規則,隻允許財務部在工作時間通過HTTP協議訪問財務數據庫服務器,具體配置步驟如下。
[Device-security-policy-ip] rule name finance-database
[Device-security-policy-ip-1-finance-database] source-zone finance
[Device-security-policy-ip-1-finance-database] destination-zone database
[Device-security-policy-ip-1-finance-database] source-ip-subnet 192.168.2.0 24
[Device-security-policy-ip-1-finance-database] destination-ip-subnet 192.168.0.0 24
[Device-security-policy-ip-1-finance-database] service-port tcp destination eq 80
[Device-security-policy-ip-1-finance-database] action pass
[Device-security-policy-ip-1-finance-database] time-range work
[Device-security-policy-ip-1-finance-database] quit
# 配置名稱為market-database的安全策略規則,禁止市場部在任何時間通過HTTP協議訪問財務數據庫服務器,具體配置步驟如下。
[Device-security-policy-ip] rule name market-database
[Device-security-policy-ip-2-market-database] source-zone market
[Device-security-policy-ip-2-market-database] destination-zone database
[Device-security-policy-ip-2-market-database] source-ip-subnet 192.168.3.0 24
[Device-security-policy-ip-2-market-database] destination-ip-subnet 192.168.0.0 24
[Device-security-policy-ip-2-market-database] service http
[Device-security-policy-ip-2-market-database] action drop
[Device-security-policy-ip-2-market-database] quit
# 激活安全策略規則的加速功能,具體配置步驟如下。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
4. 驗證配置
配置完成後,總裁辦可以在任意時間訪問財務數據庫服務器的Web服務,財務部僅可以在工作時間訪問財務數據庫服務器的Web服務,其他部門任何時間均不可以訪問財務數據庫服務器的Web服務。
- 2025-02-25回答
- 評論(0)
- 舉報
-
(0)
基本域間策略配置舉例
3.1 組網需求
如 圖1 所示,公司內部網絡通過Firewall與Internet互連。要求:
. 正確配置域間策略,允許內部主機Public(IP 地址為10.1.1.12/24)在任何時候訪問外部網絡;
. 禁止內部其他主機在上班時間(星期一~星期五的 8:00~18:00)訪問外部網絡。
. 管理主機連接防火牆端口 GigabitEthernet0/0,對設備進行Web 管理。
圖1 基本域間策略配置組網圖
3.2 配置思路
. 為了使域間策略在規定的時間內生效,要在配置域間策略前按組網要求配置好時間段。
. 為了對網絡訪問行為進行監控,需開啟日誌功能。
. 為了對設備進行 Web 管理,需要配置管理口所在安全域到Local 域的域間策略,這裏管理口為GigabitEthernet0/0。
配置步驟
3.5.1 通過命令行設置管理口,實現對設備的Web管理
# 通過Console 口登錄設備。
# 係統默認將管理口加入到Management 域。如果未加入,則需要手動配置。
<Firewall> system-view
[Firewall] zone name management
[Firewall-zone-management] import interface gigabitethernet 0/0
[Firewall-zone-management] quit
# 配置管理口GigabitEthernet 0/0 的IP 地址。
[Firewall] interface gigabitethernet 0/0
[Firewall-GigabitEthernet0/0] ip address 192.168.2.1 24
[Firewall-GigabitEthernet0/0] quit
# 配置地址對象,管理主機的IP 地址為192.168.2.2。
[Firewall] object network host manage-pc
[Firewall-object-network-manage-pc] host address 192.168.2.2
[Firewall-object-network-manage-pc] quit
# 配置Management 域到Local 域之間的域間策略。
[Firewall] interzone source management destination local
[Firewall-interzone-management-local] rule 0 permit
[Firewall-interzone-management-local-rule-0] source-ip manage-pc
[Firewall-interzone-management-local-rule-0] destination-ip any_address
[Firewall-interzone-management-local-rule-0] service http
[Firewall-interzone-management-local-rule-0] rule enable
[Firewall-interzone-management-local-rule-0] quit
# 如果係統無用戶名,需要設置相應的用戶名,並開啟相應服務,用於Web 登錄。
通過命令行方式配置Firewall
# 配置接口GigabitEthernet0/1 的地址。
<Firewall> system-view
[Firewall] interface gigabitethernet 0/1
[Firewall-GigabitEthernet0/1] ip address 20.1.1.1 24
[Firewall-GigabitEthernet0/1] quit
# 配置接口GigabitEthernet0/2 的地址。
[Firewall] interface gigabitethernet 0/2
[Firewall-GigabitEthernet0/2] ip address 10.1.1.1 24
[Firewall-GigabitEthernet0/2] quit
# 將接口GigabitEthernet0/1 加入Untrust 域。
[Firewall] zone name untrust
[Firewall-zone-untrust] import interface gigabitethernet 0/1
[Firewall-zone-untrust] quit
# 將接口GigabitEthernet0/2 加入Trust 域。
[Firewall] zone name trust
10
[Firewall-zone-trust] import interface gigabitethernet 0/2
[Firewall-zone-trust] quit
# 配置時間段(星期一~星期五的8:00~18:00)。
[Firewall] time-range worktime 08:00 to 18:00 working-day
# 配置主機地址資源對象public。
[Firewall] object network host public
[Firewall-object-network-public] host address 10.1.1.12
[Firewall-object-network-public] quit
# 配置允許主機Public 在任何時候訪問外部網絡的域間策略規則。
[Firewall] interzone source trust destination untrust
[Firewall-interzone-trust-untrust] rule permit logging
[Firewall-interzone-trust-untrust-rule-0] source-ip public
[Firewall-interzone-trust-untrust-rule-0] destination-ip any_address
[Firewall-interzone-trust-untrust-rule-0] service any_service
[Firewall-interzone-trust-untrust-rule-0] rule enable
[Firewall-interzone-trust-untrust-rule-0] quit
# 配置禁止其他主機在上班時間訪問外部網絡的域間策略規則。
[Firewall] interzone source trust destination untrust
[Firewall-interzone-trust-untrust] rule 1 deny logging time-range worktime
[Firewall-interzone-trust-untrust-rule-1] source-ip any_address
[Firewall-interzone-trust-untrust-rule-1] destination-ip any_address
[Firewall-interzone-trust-untrust-rule-1] service any_service
[Firewall-interzone-trust-untrust-rule-1] rule enable
[Firewall-interzone-trust-untrust-rule-1] quit
# 配置允許其他主機在非上班時間訪問外部網絡的域間策略規則。
[Firewall] interzone source trust destination untrust
[Firewall-interzone-trust-untrust] rule 2 permit logging
[Firewall-interzone-trust-untrust-rule-1] source-ip any_address
[Firewall-interzone-trust-untrust-rule-1] destination-ip any_address
[Firewall-interzone-trust-untrust-rule-1] service any_service
[Firewall-interzone-trust-untrust-rule-1] rule enable
[Firewall-interzone-trust-untrust-rule-1] quit
- 2025-02-25回答
- 評論(0)
- 舉報
-
(0)
暫無評論
編輯答案
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明
暫無評論