您當前位置: 主頁 > IT服務 > 網(wǎng)絡服務 >
網(wǎng)絡運維|防火墻基于IP的轉(zhuǎn)發(fā)策略
2020-05-26 16:54 作者:艾銻無限 瀏覽量:
大家好,我是一枚從事IT外包的網(wǎng)絡安全運維工程師,今天和大家分享的是網(wǎng)絡安全設備維護相關(guān)的內(nèi)容,想要學習防火墻必須會配置轉(zhuǎn)發(fā)策略。簡單網(wǎng)絡安全運維,從防火墻學起,一步一步學成網(wǎng)絡安全運維大神。
網(wǎng)絡維護是一種日常維護,包括網(wǎng)絡設備管理(如計算機,服務器)、操作系統(tǒng)維護(系統(tǒng)打補丁,系統(tǒng)升級)、網(wǎng)絡安全(病毒防范)等。+
北京艾銻無限科技發(fā)展有限公司為您免費提供給您大量真實有效的北京網(wǎng)絡維護服務,北京網(wǎng)絡維護信息查詢,同時您可以免費資訊北京網(wǎng)絡維護,北京網(wǎng)絡維護服務,北京網(wǎng)絡維護信息。專業(yè)的北京網(wǎng)絡維護信息就在北京艾銻無限+
+
北京網(wǎng)絡維護全北京朝陽豐臺北京周邊海淀、大興、昌平、門頭溝、通州、西城區(qū)、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網(wǎng)絡維護信息
基于IP地址的轉(zhuǎn)發(fā)策略
介紹最基本的通過IP地址控制訪問權(quán)限的舉例。組網(wǎng)需求
在某企業(yè)中允許192.168.5.0/24網(wǎng)段的用戶訪問Internet,但是在此網(wǎng)段中192.168.5.2、192.168.5.3和192.168.5.6的這幾臺PC對安全性要求較高,不允許上網(wǎng),如圖7-3所示。并且要求對用戶所訪問的網(wǎng)站進行控制,不允許訪問P2P類網(wǎng)站。
圖7-3 基于IP地址的域間轉(zhuǎn)發(fā)策略
配置思路
1. 轉(zhuǎn)發(fā)策略規(guī)劃。需求是需要允許192.168.5.0/24這個大范圍的網(wǎng)段通過,然后拒絕這個范圍內(nèi)的幾個特殊IP。這樣需要配置2條轉(zhuǎn)發(fā)策略,由于策略的匹配順序默認與配置順序一致,因此必須先配置拒絕特殊IP通過的轉(zhuǎn)發(fā)策略,然后再配置允許整個網(wǎng)段通過的轉(zhuǎn)發(fā)策略。如果配置反了,幾個特殊的IP就會先匹配上大范圍的策略通過防火墻了,不會再繼續(xù)匹配下邊的特殊策略了。
2. 地址組規(guī)劃和配置。
需求中是通過IP地址控制訪問權(quán)限,那么需要在轉(zhuǎn)發(fā)策略中指定IP地址作為匹配條件。對于連續(xù)的地址段可以在策略中直接配置,但是對于零散的地址建議配置為地址組,對地址組進行統(tǒng)一控制,而且也方便被其他策略復用。所以在本例中可以將幾個特殊的IP地址配置成一個地址組。
地址組配置的菜單路徑為:“防火墻 > 地址 > 地址組”。
3. 配置Web過濾策略,限制可以訪問的網(wǎng)站。
配置Web過濾前首先應該啟用UTM功能。啟用UTM功能的菜單路徑為:“UTM > 基本配置 > 基本配置”。
Web過濾策略配置的菜單路徑為:選擇“UTM > Web過濾”。
4. 轉(zhuǎn)發(fā)策略配置。
轉(zhuǎn)發(fā)策略配置的菜單路徑為:“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。
說明:
· 本例只給出轉(zhuǎn)發(fā)策略的配置步驟,實際內(nèi)網(wǎng)訪問Internet還需要配置NAT,注意配置轉(zhuǎn)發(fā)策略時指定的源IP地址是NAT轉(zhuǎn)換前的實際內(nèi)網(wǎng)IP地址。
· 內(nèi)網(wǎng)PC上需要配置網(wǎng)關(guān),本例中網(wǎng)關(guān)為接口(1),即GigabitEthernet 0/0/2的接口IP地址。
· USG上需要在“路由 > 靜態(tài) > 靜態(tài)路由”中配置缺省路由。
· 如果局域網(wǎng)使用二層接口卡的LAN口接入,需要將物理口加入VLAN并配置Vlanif。此時需要將Vlanif接口加入Trust域并配置轉(zhuǎn)發(fā)策略。
操作步驟
1. 配置接口基本參數(shù)。a. 選擇“網(wǎng)絡 > 接口 > 接口”。
b. 在“接口列表”中單擊GE0/0/2對應的。
c. 配置接口GigabitEthernet 0/0/2。
配置參數(shù)如下:
· 安全區(qū)域:trust
· 模式:路由
· 連接類型:靜態(tài)IP
· IP地址:192.168.5.1
· 子網(wǎng)掩碼:255.255.255.0
d. 單擊“應用”。
e. 重復上述步驟配置接口GigabitEthernet 0/0/3。
配置參數(shù)如下:
· 安全區(qū)域:untrust
· 模式:路由
· 連接類型:靜態(tài)IP
· IP地址:1.1.1.1
· 子網(wǎng)掩碼:255.255.255.0
2. 配置名稱為deny_ip的地址組,將幾個不允許上網(wǎng)的IP地址加入地址組。
a. 選擇“防火墻 > 地址 > 地址組”。
b. 在“地址組列表”中單擊,進入“新建地址組”界面。
c. 配置地址組的名稱和描述信息。
配置參數(shù)如下:
· 名稱:deny_ip
· 描述:特殊內(nèi)網(wǎng)用戶的IP集合,對安全性要求較高,不允許訪問Internet。
d. 單擊“配置IP地址”右側(cè)的,將IP地址192.168.5.2/32加入地址組。
重復該步驟將IP地址192.168.5.3/32和192.168.5.6/32加入地址組,如圖7-4所示。
圖7-4 配置地址組
說明:
使用此功能需要使用License。
如果只需要限制是否可以上網(wǎng),進行簡單的包過濾,此步驟可以忽略。
a. 啟用UTM功能。
. 選擇“UTM > 基本配置 > 基本配置”,查看“UTM功能”右側(cè)的“啟用”復選框是否已經(jīng)選中,如未選中,則選中該復選框,然后單擊“應用”。
i. 在彈出的對話框中選擇“保存配置并重啟”,單擊“確定”重啟設備。啟用/禁用UTM功能需要重啟設備后才能生效。
a. 配置DNS,用來解析安全服務中心(sec.huawei.com)的域名。
i. 選擇“網(wǎng)絡 > DNS > DNS”。
ii. 在左側(cè)輸入IP地址202.118.66.6。
iii. 單擊將202.118.66.6加入服務器列表。
b. 配置URL過濾器。
i. 選擇“UTM > Web過濾 > URL過濾器”。
ii. 單擊。
iii. 配置該URL過濾器的名稱為filter_deny_p2p。
iv. 單擊“應用”。
v. 配置URL過濾器filter_deny_p2p的相關(guān)參數(shù)如下:
· 默認動作:允許
· 只選中“啟用預定義分類過濾”復選框
· 單擊“分類名稱”P2P對應,將P2P分類的處理動作切換為阻斷
vi. 單擊“應用”。
c. 配置Web過濾策略。
i. 選擇“UTM > Web過濾 > 策略”。
ii. 在“Web過濾基本配置”界面中選中“URL過濾”的“啟用”復選框。
iii. 配置“Web推送內(nèi)容”為“對不起,您無權(quán)訪問P2P類網(wǎng)站。”。
iv. 單擊“應用”。
v. 在“Web策略列表”中單擊。
vi. 配置策略名稱為deny_p2p。
vii. 單擊“應用”。
viii. 在“URL過濾器”右側(cè)的下拉框中選擇filter_deny_p2p。
ix. 單擊“應用”。
1. 配置拒絕特殊地址組deny_ip內(nèi)IP地址訪問Internet的轉(zhuǎn)發(fā)策略。
a. 選擇“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。
b. 選擇“轉(zhuǎn)發(fā)策略”頁簽。
c. 在“轉(zhuǎn)發(fā)策略列表”中單擊。
該轉(zhuǎn)發(fā)策略的具體參數(shù)配置如圖7-5所示。
圖7-5 配置阻止地址組deny_ip訪問Internet的轉(zhuǎn)發(fā)策略
2. 配置允許192.168.5.0/24網(wǎng)段訪問Internet的轉(zhuǎn)發(fā)策略,并引用Web過濾策略。
a. 選擇“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。
b. 選擇“轉(zhuǎn)發(fā)策略”頁簽。
c. 在“轉(zhuǎn)發(fā)策略列表”中單擊。
該轉(zhuǎn)發(fā)策略的具體參數(shù)配置如圖7-6所示。
圖7-6 配置允許192.168.5.0/24網(wǎng)段訪問Internet的轉(zhuǎn)發(fā)策略
說明:
缺省情況下,Trust-Untrust域間出方向的缺省包過濾策略為deny,如果之前已經(jīng)配置了permit請注意配置此步驟。
a. 選擇“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。
b. 選擇“轉(zhuǎn)發(fā)策略”頁簽。
c. 在“轉(zhuǎn)發(fā)策略列表”中單擊“trust->untrust”下面“默認”對應的
。“trust->untrust”默認轉(zhuǎn)發(fā)策略的配置如圖7-7所示。
圖7-7 配置“trust->untrust”默認轉(zhuǎn)發(fā)策略為deny
結(jié)果驗證
1. 驗證192.168.5.2、192.168.5.3和192.168.5.6這3臺PC訪問Internet是否被拒絕。如果能訪問說明配置錯誤,請檢查轉(zhuǎn)發(fā)策略地址匹配條件是否配置正確、策略配置順序是否正確。如果先配置了允許整個網(wǎng)段訪問Internet的轉(zhuǎn)發(fā)策略,這幾個IP地址就不會匹配到拒絕訪問Internet的策略了。2. 驗證192.168.5.0/24中的其他IP地址是否可以正常訪問Internet。
3. 驗證可以上網(wǎng)的IP地址訪問P2P類網(wǎng)站是否被拒絕。
以上文章由北京艾銻無限科技發(fā)展有限公司整理
相關(guān)文章
- [網(wǎng)絡服務]保護無線網(wǎng)絡安全的十大
- [網(wǎng)絡服務]無線覆蓋 | 無線天線對信
- [網(wǎng)絡服務]綜合布線 | 綜合布線發(fā)展
- [數(shù)據(jù)恢復服務]電腦運維技術(shù)文章:win1
- [服務器服務]串口服務器工作模式-服務
- [服務器服務]串口服務器的作用-服務維
- [服務器服務]moxa串口服務器通訊設置參
- [網(wǎng)絡服務]網(wǎng)絡運維|如何臨時關(guān)閉
- [網(wǎng)絡服務]網(wǎng)絡運維|如何重置IE瀏覽
- [網(wǎng)絡服務]網(wǎng)絡運維|win10系統(tǒng)升級后
- [辦公設備服務]辦公設備:VPN簡介
- [辦公設備服務]辦公設備:VPN技術(shù)的要求
IT電腦維護外包
關(guān)閉