防火墙安全策略

目录

一.拓扑信息

二.需求分析

三.命令行详细配置信息 

1.配置IP

2.交换机配置

3.修改安全区域 

4.安全策略 

四.web界面详细配置 

1.配置IP和设置安全区域

2.交换机配置

3.安全策略

五.测试

一.拓扑信息

二.需求分析

1.VLAN 2属于办公区域;VLAN 3属于生产区。

  · 将防火墙看成路由器,配置子接口IP并划分VLAN区域

  · 交换机上面创建VLAN,交换机上各个接口划分到对应的vlan中,与防火墙连接的线路配置trunk干道放通VLAN2和VLAN3

  · PC配置IP和网关,并测试ping网关

2.办公区PC在工作日时间(周一至周五,早八到晚六)可以正常访问OA Server,其他时间不允许。

3.办公区PC在任意时刻可以正常访问Web Server。

4.生产区PC可以在任意时刻访问OA Server,但是不能访问Web Server。

5.特例:生产区PC3可以在每周一早10到早11访问Web Server,用来更新企业最新产品信息。

· 2-5都是做策略。可以在命令行做策略,也可以在web页面做策略。

· 注意:4和5是相互冲突的,所以需要将策略5放在4之前

说明:掩码为32是有且仅有一个IP地址;服务器不需要有很多IP,所以掩码为32

如果出现的是网段,说明不只有一个;就拿PC来说,在企业里面不可能只有一台PC。

三.命令行详细配置信息 

1.配置IP

防火墙:

配置防火墙的虚拟子接口

[FW]interface g1/0/1.1
[FW-GigabitEthernet1/0/1.1]ip address 192.168.1.126 25
[FW-GigabitEthernet1/0/1.1]vlan-type dot1q 2
[FW]interface g1/0/1.2
[FW-GigabitEthernet1/0/1.2]ip address 192.168.1.254 25
[FW-GigabitEthernet1/0/1.2]vlan-type dot1q 3

配置连接服务器的交换机的接口:

[FW]interface g1/0/0
[FW-GigabitEthernet1/0/0]ip address 10.0.0.254 24

 

PC1:

PC2:

 

PC3: 

OA Server:

Web Server: 

2.交换机配置

[Huawei]vlan 2
[Huawei]vlan 3[Huawei]interface g0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access 
[Huawei-GigabitEthernet0/0/2]port default  vlan 2[Huawei]interface g0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type access 	
[Huawei-GigabitEthernet0/0/3]port default vlan 3[Huawei]interface g0/0/4
[Huawei-GigabitEthernet0/0/4]port link-type access
[Huawei-GigabitEthernet0/0/4]port default vlan 3[Huawei]interface g0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type trunk 
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 to 3

3.修改安全区域 

[FW]firewall zone trust 
[FW-zone-trust]add interface GigabitEthernet 1/0/1.1
[FW-zone-trust]add interface GigabitEthernet 1/0/1.2[FW]firewall zone dmz 
[FW-zone-dmz]add interface g1/0/0

4.安全策略 

办公区PC在工作日时间(周一至周五,早八到晚六)可以正常访问OA Server,其他时间不允许。

[FW]ip address-set BG type object 
[FW-object-address-set-BG]address 192.168.1.0 mask 25
[FW]ip address-set OA type object 	
[FW-object-address-set-OA]address 10.0.0.1 mask 32[FW]time-range worktime
[FW-time-range-worktime]period-range 08:00:00 to 18:00:00 working-day [FW]security-policy
[FW-policy-security]rule name policy_1
[FW-policy-security-rule-policy_1]description BG_to_OA
[FW-policy-security-rule-policy_1]source-zone trust 
[FW-policy-security-rule-policy_1]destination-zone dmz 
[FW-policy-security-rule-policy_1]source-address address-set BG	
[FW-policy-security-rule-policy_1]destination-address address-set OA
[FW-policy-security-rule-policy_1]action permit

办公区PC在任意时刻可以正常访问Web Server。
 

[FW]ip address-set web type object 
[FW-object-address-set-web]address 10.0.0.2 mask 32[FW]security-policy
[FW-policy-security]rule name policy_2
[FW-policy-security-rule-policy_2]description BG_to_Web
[FW-policy-security-rule-policy_2]source-zone trust 
[FW-policy-security-rule-policy_2]destination-zone dmz 
[FW-policy-security-rule-policy_2]source-address address-set BG
[FW-policy-security-rule-policy_2]destination-address address-set web
[FW-policy-security-rule-policy_2]action permit

生产区PC可以在任意时刻访问OA Server,但是不能访问Web Server。

[FW]ip address-set SC type object 
[FW-object-address-set-SC]address 192.168.1.128 mask 25[FW]security-policy
[FW-policy-security]rule name policy_3
[FW-policy-security-rule-policy_3]description SC_to_OA
[FW-policy-security-rule-policy_3]source-zone trust 
[FW-policy-security-rule-policy_3]destination-zone dmz 
[FW-policy-security-rule-policy_3]source-address address-set SC
[FW-policy-security-rule-policy_3]destination-address address-set OA
[FW-policy-security-rule-policy_3]action permit [FW]security-policy
[FW-policy-security]rule name policy_4
[FW-policy-security-rule-policy_4]description SC_notvisit_Web
[FW-policy-security-rule-policy_4]source-zone trust 	
[FW-policy-security-rule-policy_4]destination-zone dmz 
[FW-policy-security-rule-policy_4]source-address address-set SC
[FW-policy-security-rule-policy_4]destination-address address-set web
[FW-policy-security-rule-policy_4]action deny

特例:生产区PC3可以在每周一早10到早11访问Web Server,用来更新企业最新产品信息。

[FW]ip address-set PC_3 type object 
[FW-object-address-set-PC_3]address 192.168.1.130 mask 32[FW]time-range visitime
[FW-time-range-visitime]period-range 10:00:00 to 11:00:00 Mon [FW]security-policy	
[FW-policy-security]rule name policy_5
[FW-policy-security-rule-policy_5]description PC_visit_Web
[FW-policy-security-rule-policy_5]source-zone trust 
[FW-policy-security-rule-policy_5]destination-zone dmz 	
[FW-policy-security-rule-policy_5]source-address address-set PC_3 	
[FW-policy-security-rule-policy_5]destination-address address-set web 
[FW-policy-security-rule-policy_5]time-range visitime	
[FW-policy-security-rule-policy_5]action permit

 注意:4和5是相互冲突的,所以需要将策略5放在4之前

[FW-policy-security]rule move policy_5 before policy_4

四.web界面详细配置 

1.配置IP和设置安全区域

PC和服务器的IP同上

防火墙两个子接口IP

 

配置连接服务器的交换机的接口:

2.交换机配置

配置同上

3.安全策略

 办公区PC在工作日时间(周一至周五,早八到晚六)可以正常访问OA Server,其他时间不允许。

办公区PC在任意时刻可以正常访问Web Server。

生产区PC可以在任意时刻访问OA Server,但是不能访问Web Server。

   特例:生产区PC3可以在每周一早10到早11访问Web Server,用来更新企业最新产品信息。

新建时间段:

 注意:4和5是相互冲突的,所以需要将策略5放在4之前

最终web页面策略:

五.测试

办公区PC 访问 OA Server结果:

为了测试方便,我们修改时间在19点去访问OA Server结果:

 

办公区PC去访问Web Server 

办公区PC访问OA Server 

办公区PC不能访问Web Server 

为了测试方便,我们修改时间在星期一10点PC3去访问Web Server结果:

会话表:

server-map表:

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/6283.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

OpenStack基础架构

OpenStack基础架构

openstack是一套IaaS云的解决方案,是一个开源的云计算管理平台 每一台物理机上都会有一个nova服务器 虚拟化其实是在nova主机里启用的 COW技术: 这么来看,3个物理机上产生10个虚拟机,所以把服务分散到10个虚拟机上和分散到4个虚拟…
阅读更多...
[论文阅读] (36)CS22 MPSAutodetect:基于自编码器的恶意Powershell脚本检测模型

[论文阅读] (36)CS22 MPSAutodetect:基于自编码器的恶意Powershell脚本检测模型

《娜璋带你读论文》系列主要是督促自己阅读优秀论文及听取学术讲座,并分享给大家,希望您喜欢。由于作者的英文水平和学术能力不高,需要不断提升,所以还请大家批评指正,非常欢迎大家给我留言评论,学术路上期…
阅读更多...
如何实现各种类型的进度条

如何实现各种类型的进度条

文章目录 1 概念介绍2 使用方法3 示例代码 我们在上一章回中介绍了浮动按钮相关的内容,,本章回中将介绍进度条相关的Widget,闲话休提,让我们一起Talk Flutter吧。 1 概念介绍 进度条是常用的组件之一,它主要用来显示某种动作的完成进度。Flu…
阅读更多...
arcgis短整型变为长整型的处理方式

arcgis短整型变为长整型的处理方式

1.用QGIS的重构字段工具进行修改,亲测比arcgis的更改字段工具有用 2.更换低版本的arcgis10.2.2,亲测10.5和10.6都有这个毛病,虽然官方文档里面说的是10.6.1及以上 Arcgis10.2.2百度链接:https://pan.baidu.com/s/1HYTwgnBJsBug…
阅读更多...
C#,入门教程(04)——Visual Studio 2022 数据编程实例:随机数与组合

C#,入门教程(04)——Visual Studio 2022 数据编程实例:随机数与组合

上一篇: C#,入门教程(03)——Visual Studio 2022编写彩色Hello World与动画效果https://blog.csdn.net/beijinghorn/article/details/123478581 C#,入门教程(01)—— Visual Studio 2022 免费安装的详细图文与动画教程https://blog.csdn.net…
阅读更多...
【前端】Hexo 部署指南_hexo-deploy-git·GitHub Actions·Git Hooks

【前端】Hexo 部署指南_hexo-deploy-git·GitHub Actions·Git Hooks

文章目录 前言基于 hexo-deploy-git基于 GitHub Actions基于 Git Hooks云平台端服务器端Git HooksSSHNginx 本地机端原理参考 前言 原文地址:https://blog.dwj601.cn/FrontEnd/Hexo/hexo-deployment/ #mermaid-svg-dfuCXqzZCx5I07IO {font-family:"trebuchet …
阅读更多...
双指针+前缀和习题(一步步讲解)

双指针+前缀和习题(一步步讲解)

前言:如果解决下面这几道题有些问题,或者即使看了我画的过程图也不理解的可以去看看我的上一篇文章,有可能会对你有帮助。 一、《数值元素的目标和》---来自AcWing 数组元素的目标和 给定两个升序排序的有序数组 A和 B,以及一个…
阅读更多...
springboot 配置redis

springboot 配置redis

环境配置 springboot3.4 redis5.0.14 redis准备参考下面文章 window下安装redis以及启动 redis客户端安装 引入依赖 <!-- 集成redis依赖 --><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-data-…
阅读更多...
TODO: Linux 中的装机硬件测试工具

TODO: Linux 中的装机硬件测试工具

TODO: Linux 中的装机硬件测试工具 装机时需要测一些硬件参数&#xff0c;希望选择一些跨平台的开源软件。 https://linux.do/t/topic/22175 https://www.baeldung-cn.com/linux/system-testing-tools https://blog.csdn.net/weixin_45358801/article/details/142701279
阅读更多...
LabVIEW 太阳能光伏发电系统智能监控

LabVIEW 太阳能光伏发电系统智能监控

本文介绍了基于 LabVIEW 的太阳能光伏发电监控系统的设计与实现&#xff0c;着重探讨了其硬件配置、软件架构以及系统的实现方法。该系统能够有效提高太阳能光伏发电的监控效率和精确性&#xff0c;实现了远程监控和数据管理的智能化。 ​ 项目背景 在当前能源紧张与环境污染…
阅读更多...
doris:Broker Load

doris:Broker Load

Broker Load 通过 MySQL API 发起&#xff0c;Doris 会根据 LOAD 语句中的信息&#xff0c;主动从数据源拉取数据。Broker Load 是一个异步导入方式&#xff0c;需要通过 SHOW LOAD 语句查看导入进度和导入结果。 Broker Load 适合源数据存储在远程存储系统&#xff0c;比如对…
阅读更多...
WPF5-x名称空间

WPF5-x名称空间

1. x名称空间2. x名称空间内容3. x名称空间内容分类 3.1. x:Name3.2. x:Key3.3. x:Class3.4. x:TypeArguments 4. 总结 1. x名称空间 “x名称空间”的x是映射XAML名称空间时给它取的名字&#xff08;取XAML的首字母&#xff09;&#xff0c;里面的成员&#xff08;如x:Class、…
阅读更多...
网站HTTP改成HTTPS

网站HTTP改成HTTPS

您不仅需要知道如何将HTTP转换为HTTPS&#xff0c;还必须在不妨碍您的网站自成立以来建立的任何搜索排名权限的情况下进行切换。 为什么应该从HTTP转换为HTTPS&#xff1f; 与非安全HTTP于不同&#xff0c;安全域使用SSL&#xff08;安全套接字层&#xff09;服务器上的加密代…
阅读更多...
煤矿场景下拖链检测数据集VOC+YOLO格式21407张1类别

煤矿场景下拖链检测数据集VOC+YOLO格式21407张1类别

数据集格式&#xff1a;Pascal VOC格式YOLO格式(不包含分割路径的txt文件&#xff0c;仅仅包含jpg图片以及对应的VOC格式xml文件和yolo格式txt文件) 图片数量(jpg文件个数)&#xff1a;21407 标注数量(xml文件个数)&#xff1a;21407 标注数量(txt文件个数)&#xff1a;2140…
阅读更多...
栈和队列(C语言)

栈和队列(C语言)

目录 数据结构之栈 定义 实现方式 基本功能实现 1&#xff09;定义&#xff0c;初始化栈 2&#xff09;入栈 3&#xff09;出栈 4&#xff09;获得栈顶元素 5)获得栈中有效元素个数 6&#xff09;检测栈是否为空 7&#xff09;销毁栈 数据结构之队列 定义 实现方…
阅读更多...
Flutter鸿蒙化中的Plugin

Flutter鸿蒙化中的Plugin

Flutter鸿蒙化中的Plugin 前言鸿蒙项目内PluginFlutter端实现鸿蒙端实现创建Plugin的插件类注册Plugin 开发纯Dart的package为现有插件项目添加ohos平台支持创建插件配置插件编写插件内容 参考资料 前言 大家知道Flutter和鸿蒙通信方式和Flutter和其他平台通信方式都是一样的&…
阅读更多...
探索JavaScript前端开发:开启交互之门的神奇钥匙(二)

探索JavaScript前端开发:开启交互之门的神奇钥匙(二)

目录 引言 四、事件处理 4.1 事件类型 4.2 事件监听器 五、实战案例&#xff1a;打造简易待办事项列表 5.1 HTML 结构搭建 5.2 JavaScript 功能实现 六、进阶拓展&#xff1a;异步编程与 Ajax 6.1 异步编程概念 6.2 Ajax 原理与使用 七、前沿框架&#xff1a;Vue.js …
阅读更多...
DeepSeek-R1:性能对标 OpenAI,开源助力 AI 生态发展

DeepSeek-R1:性能对标 OpenAI,开源助力 AI 生态发展

DeepSeek-R1&#xff1a;性能对标 OpenAI&#xff0c;开源助力 AI 生态发展 在人工智能领域&#xff0c;大模型的竞争一直备受关注。最近&#xff0c;DeepSeek 团队发布了 DeepSeek-R1 模型&#xff0c;并开源了模型权重&#xff0c;这一举动无疑为 AI 领域带来了新的活力。今…
阅读更多...
假期day1

假期day1

第一天&#xff1a;请使用消息队列实现2个终端之间互相聊天 singal1.c #include <stdio.h>#include <string.h>#include <unistd.h>#include <stdlib.h>#include <sys/types.h>#include <sys/stat.h>#include <fcntl.h>#include &l…
阅读更多...
go-zero框架基本配置和错误码封装

go-zero框架基本配置和错误码封装

文章目录 加载配置信息配置 env加载.env文件配置servicecontext 查询数据生成model文件执行查询操作 错误码封装配置拦截器错误码封装 接上一篇&#xff1a;《go-zero框架快速入门》 加载配置信息 配置 env 在项目根目录下新增 .env 文件&#xff0c;可以配置当前读取哪个环…
阅读更多...
最新文章
推荐文章

Copyright @ 2022~2023