多平台统一管理软件接口,如何实现多平台统一管理软件接口
750
2022-10-02
华为防火墙:基于IP地址和端口的安全策略(华为防火墙域内安全策略)
华为防火墙:基于IP地址和端口的安全策略(华为防火墙域内安全策略)
简介:
某企业部署两台业务服务器,其中Server1通过TCP 四个八端口对外提供服务,Server2通过UDP 6666端口对外提供服务。需要通过FW进行访问控制,8:00~17:00的上班时间段内禁止IP地址为10.1.1.2、10.2.1.2的两台PC使用这两台服务器对外提供的服务。其他PC在任何时间都可以使用这两台服务器对外提供的服务。如下图所示:
数据规划:
项目 | 数据 | 说明 |
GigabitEthernet 1/0/1 | ip地址:10.2.0.1/24 安全区域:DMZ | |
GigabitEthernet 1/0/2 | ip地址:10.1.1.1/24 安全区域:trust | |
GigabitEthernet 1/0/2 | ip地址:10.2.1.1/24 安全区域:trust | |
Server 1 | IP地址:10.2.0.10/24 端口:四个八 | 通过非知名端口提供服务 |
Server 2 | IP地址:10.2.0.11/24 端口:TCP 6666 | 通过非知名端口提供服务 |
操作步骤:
配置接口IP地址和安全区域,完成网络基本参数配置。
1.1给防火墙的GE1/0/1接口配置ip地址为10.0.2.1并加入dmz
[FW1]interface GigabitEthernet l/0/1[FW1-GigabitEthernet1/0/1]ip address 10.0.2.1 24[FW1-GigabitEthernet1/0/1]quit[FW1]firewall zone dmz[FW1-zone-dmz ]add interface g[FW1-zone-dmz ] add interface GigabitEthern 1/0/1
1.2配置GigabitEthernet 1/0/2接口IP地址,将接口加入trust域。
[FW] interface GigabitEthernet 1/0/2[FW-GigabitEthernet1/0/2] ip address 10.1.1.1 24[FW-GigabitEthernet1/0/2] quit[FW] firewall zone trust[FW-zone-trust] add interface GigabitEthernet 1/0/2[FW-zone-trust] quit
1.3配置GigabitEthernet 1/0/3接口IP地址,将接口加入trust域。
[FW] interface GigabitEthernet 1/0/3[FW-GigabitEthernet1/0/3] ip address 10.2.1.1 24[FW-GigabitEthernet1/0/3] quit[FW] firewall zone trust[FW-zone-trust] add interface GigabitEthernet 1/0/3[FW-zone-trust] quit
2.配置名称为server_deny的地址集,将几个不允许访问服务器的IP地址加入地址集。
[FW] ip address-set server_deny type object[FW-object-address-set-server_deny] address 10.1.1.2 mask 32[FW-object-address-set-server_deny] address 10.2.1.2 mask 32[FW-object-address-set-server_deny] quit
3.配置名称为time_deny的时间段,指定PC不允许访问服务器的时间。
[FW] time-range time_deny[FW-time-range-time_deny] period-range 08:00:00 to 17:00:00 mon tue wed thu fri sat sun[FW-time-range-time_deny] quit
4.分别为Server1和Server2配置自定义服务集server1_port和server2_port,将服务器的非知名端口加入服务集。
[FW] ip service-set server1_port type object[FW-object-service-set-server1_port] service protocol TCP source-port 0 to 65535 destination-port 8888[FW-object-service-set-server1_port] quit[FW] ip service-set server2_port type object[FW-object-service-set-server2_port] service protocol UDP source-port 0 to 65535 destination-port 6666[FW-object-service-set-server2_port] quit
5.配置安全策略规则,引用之前配置的地址集、时间段及服务集。
5.1限制PC使用Server1对外提供的服务的安全策略
[FW] security-policy[FW-policy-security] rule name policy_sec_deny1[FW-policy-security-rule-policy_sec_deny1] source-zone trust[FW-policy-security-rule-policy_sec_deny1] destination-zone dmz[FW-policy-security-rule-policy_sec_deny1] source-address address-set server_deny[FW-policy-security-rule-policy_sec_deny1] destination-address 10.2.0.10 32[FW-policy-security-rule-policy_sec_deny1] service server1_port[FW-policy-security-rule-policy_sec_deny1] time-range time_deny[FW-policy-security-rule-policy_sec_deny1] action deny[FW-policy-security-rule-policy_sec_deny1] quit
5.2限制PC使用Server2对外提供的服务的安全策略
[FW-policy-security] rule name policy_sec_deny2[FW-policy-security-rule-policy_sec_deny2] source-zone trust[FW-policy-security-rule-policy_sec_deny2] destination-zone dmz[FW-policy-security-rule-policy_sec_deny2] source-address address-set server_deny[FW-policy-security-rule-policy_sec_deny2] destination-address 10.2.0.11 32[FW-policy-security-rule-policy_sec_deny2] service server2_port[FW-policy-security-rule-policy_sec_deny2] time-range time_deny[FW-policy-security-rule-policy_sec_deny2] action deny[FW-policy-security-rule-policy_sec_deny2] quit
5.3允许PC使用Server1对外提供的服务的安全策略
[FW-policy-security] rule name policy_sec_permit3[FW-policy-security-rule-policy_sec_permit3] source-zone trust[FW-policy-security-rule-policy_sec_permit3] destination-zone dmz[FW-policy-security-rule-policy_sec_permit3] service server1_port[FW-policy-security-rule-policy_sec_permit3] action permit[FW-policy-security-rule-policy_sec_permit3] quit
5.4允许PC使用Server2对外提供的服务的安全策略
[FW-policy-security] rule name policy_sec_permit4[FW-policy-security-rule-policy_sec_permit4] source-zone trust[FW-policy-security-rule-policy_sec_permit4] destination-zone dmz[FW-policy-security-rule-policy_sec_permit4] service server2_port[FW-policy-security-rule-policy_sec_permit4] action permit[FW-policy-security-rule-policy_sec_permit4] quit[FW-policy-security] quit
结果验证:
在08:00到17:00时间段内,IP地址为10.1.1.2、10.2.1.2的两台PC无法使用这两台服务器对外提供的服务,在其他时间段可以使用。其他PC在任何时间都可以使用这两台服务器对外提供的服务。
版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。
相关文章
发表评论
暂时没有评论,来抢沙发吧~