AK1020防火牆禁止訪問域名
- 0關注
- 0收藏,356瀏覽
最佳答案
可以,安全策略限製
如圖-5所示,某公司內的各部門之間通過Device實現互連,公司內網中部署了域名為***.***的Web服務器用於公司財務管理,該域名已在內網DNS服務器中注冊。通過配置安全策略,實現如下需求:
允許財務部通過HTTP協議訪問財務管理Web服務器。
禁止市場部在任何時間通過HTTP協議訪問財務管理Web服務器。
/images/m230712x1z511/x_Img_x_png_4.png)
配置步驟
配置安全域
# 選擇“網絡 > 安全域”,進入安全域配置頁麵,依次配置如下內容。
創建名為web的安全域,並將接口GigabitEthernet1/0/1加入該安全域中
創建名為market的安全域,並將接口GigabitEthernet1/0/2加入該安全域中
創建名為finance的安全域,並將接口GigabitEthernet1/0/3加入該安全域中
創建名為dns的安全域,並將接口GigabitEthernet1/0/4加入該安全域中
配置接口IP地址
# 單擊接口GE1/0/1右側的<編輯>按鈕,配置如下。
選擇“IPv4地址”頁簽,配置IP地址/掩碼:10.0.0.1/24
其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址的配置。
# 按照同樣的步驟配置接口GE1/0/2,配置如下。
IP地址/掩碼:10.0.12.1/24
其他配置項使用缺省值
# 按照同樣的步驟配置接口GE1/0/3,配置如下。
IP地址/掩碼:10.0.11.1/24
其他配置項使用缺省值
# 按照同樣的步驟配置接口GE1/0/4,配置如下。
IP地址/掩碼:10.0.10.1/24
其他配置項使用缺省值
配置地址對象組
# 選擇“對象> 對象組 > IPv4地址對象組”,進入IPv4地址對象組配置頁麵,創建名為web的IPv4地址對象組,並定義其主機名為***.***。
配置DNS服務器地址
# 選擇“網絡 > DNS > DNS客戶端”,進入DNS客戶端配置頁麵。
# 輸入域名服務器的IP地址為10.10.10.10,單擊右側<添加>按鈕完成添加。
創建源安全域local到目的安全域dns的安全策略,允許Device訪問DNS服務器用於解析主機名
# 選擇“策略 > 安全策略 > 安全策略”,進入安全策略配置頁麵。
# 單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵,配置如下。
圖-2 配置安全策略
/images/m230712x1z511/x_Img_x_png_5.png)
# 其他配置項保持默認情況即可。
# 單擊<確定>按鈕,完成安全策略local-dns的配置。
創建源安全域market、finance到目的安全域dns的安全策略,允許內網主機訪問DNS服務器用於解析主機名
# 選擇“策略 > 安全策略 > 安全策略”,進入安全策略配置頁麵。
# 單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵,配置如下。
圖-3 配置安全策略
/images/m230712x1z511/x_Img_x_png_6.png)
# 其他配置項保持默認情況即可。
# 單擊<確定>按鈕,完成安全策略host-dns的配置。
創建源安全域finance到目的安全域web的安全策略,允許財務部通過HTTP協議訪問財務管理Web服務器
# 選擇“策略 > 安全策略 > 安全策略”,進入安全策略配置頁麵。
# 單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵,配置如下。
圖-4 配置安全策略
/images/m230712x1z511/x_Img_x_png_7.png)
# 其他配置項保持默認情況即可。
# 單擊<確定>按鈕,完成安全策略finance-web的配置。
創建源安全域market到目的安全域web的安全策略,禁止市場部在任何時間通過HTTP協議訪問財務管理Web服務器
# 選擇“策略 > 安全策略 > 安全策略”,選擇新建策略,進入新建安全策略頁麵,進入安全策略配置頁麵。
# 單擊<新建>按鈕,配置如下。
圖-5 配置安全策略
/images/m230712x1z511/x_Img_x_png_8.png)
# 其他配置項保持默認情況即可。
# 單擊<確定>按鈕,完成安全策略market-web的配置。
激活安全策略加速
# 選擇“策略 > 安全策略 > 安全策略”,進入安全策略配置頁麵。
# 在安全策略頁麵,單擊<立即加速>按鈕,激活安全策略加速。
驗證配置
- 2025-03-31回答
- 評論(0)
- 舉報
-
(0)
可以的
如下圖所示,某公司內的各部門之間通過Device實現互連,公司內網中部署了域名為***.***的Web服務器用於公司財務管理,該域名已在內網DNS服務器中注冊。通過配置安全策略,實現如下需求:
允許財務部通過HTTP協議訪問財務管理Web服務器。
禁止市場部在任何時間通過HTTP協議訪問財務管理Web服務器。
圖-1 基於域名的安全策略配置組網圖
配置步驟
配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 10.0.13.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
配置接口加入安全域
# 請根據組網圖中規劃的信息,創建安全域,並將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name web
[Device-security-zone-web] import interface gigabitethernet 1/0/1
[Device-security-zone-web] quit
[Device] security-zone name market
[Device-security-zone-market] import interface gigabitethernet 1/0/2
[Device-security-zone-market] quit
[Device] security-zone name finance
[Device-security-zone-finance] import interface gigabitethernet 1/0/3
[Device-security-zone-finance] quit
[Device] security-zone name dns
[Device-security-zone-dns] import interface gigabitethernet 1/0/4
[Device-security-zone-dns] quit
配置對象
# 創建名為web的IP地址對象組,並定義其主機名稱為***.***,具體配置步驟如下。
[Device] object-group ip address web
[Device-obj-grp-ip-web] network host name ***.***
[Device-obj-grp-ip-web] quit
配置DNS服務器地址
# 指定DNS服務器的IP地址為10.10.10.10,確保Device可以獲取到主機名對應的IP地址,具體配置步驟如下。
[Device] dns server 10.10.10.10
配置安全策略
# 配置名稱為dnslocalout的安全策略規則,允許Device訪問DNS服務器,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name dnslocalout
[Device-security-policy-ip-0-dnslocalout] source-zone local
[Device-security-policy-ip-0-dnslocalout] destination-zone dns
[Device-security-policy-ip-0-dnslocalout] destination-ip-host 10.10.10.10
[Device-security-policy-ip-0-dnslocalout] action pass
[Device-security-policy-ip-0-dnslocalout] quit
# 配置名稱為host-dns的安全策略規則,允許內網主機訪問DNS服務器,具體配置步驟如下。
[Device-security-policy-ip] rule name host-dns
[Device-security-policy-ip-1-host-dns] source-zone finance
[Device-security-policy-ip-1-host-dns] source-zone market
[Device-security-policy-ip-1-host-dns] destination-zone dns
[Device-security-policy-ip-1-host-dns] source-ip-subnet 10.0.11.0 24
[Device-security-policy-ip-1-host-dns] source-ip-subnet 10.0.12.0 24
[Device-security-policy-ip-1-host-dns] destination-ip-host 10.10.10.10
[Device-security-policy-ip-1-host-dns] service dns-udp
[Device-security-policy-ip-1-host-dns] action pass
[Device-security-policy-ip-1-host-dns] quit
# 配置名稱為finance-web的安全策略規則,允許財務部通過HTTP協議訪問財務管理Web服務器,具體配置步驟如下。
[Device-security-policy-ip] rule name finance-web
[Device-security-policy-ip-2-finance-web] source-zone finance
[Device-security-policy-ip-2-finance-web] destination-zone web
[Device-security-policy-ip-2-finance-web] source-ip-subnet 10.0.11.0 24
[Device-security-policy-ip-2-finance-web] destination-ip web
[Device-security-policy-ip-2-finance-web] service http
[Device-security-policy-ip-2-finance-web] action pass
[Device-security-policy-ip-2-finance-web] quit
# 配置名稱為market-web的安全策略規則,禁止市場部在任何時間通過HTTP協議訪問財務管理Web服務器,具體配置步驟如下。
[Device-security-policy-ip] rule name market-web
[Device-security-policy-ip-3-market-web] source-zone market
[Device-security-policy-ip-3-market-web] destination-zone web
[Device-security-policy-ip-3-market-web] source-ip-subnet 10.0.12.0 24
[Device-security-policy-ip-3-market-web] destination-ip web
[Device-security-policy-ip-3-market-web] service http
[Device-security-policy-ip-3-market-web] action drop
[Device-security-policy-ip-3-market-web] quit
# 激活安全策略規則的加速功能,具體配置步驟如下。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
- 2025-03-31回答
- 評論(0)
- 舉報
-
(0)
暫無評論
編輯答案
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明
暫無評論