网络运维|防火墙基于IP的转发策略
2020-05-26 16:54 作者:艾锑无限 浏览量:
大家好,我是一枚从事IT外包的网络安全运维工程师,今天和大家分享的是网络安全设备维护相关的内容,想要学习防火墙必须会配置转发策略。简单网络安全运维,从防火墙学起,一步一步学成网络安全运维大神。
网络维护是一种日常维护,包括网络设备管理(如计算机,服务器)、操作系统维护(系统打补丁,系统升级)、网络安全(病毒防范)等。+
北京艾锑无限科技发展有限公司为您免费提供给您大量真实有效的北京网络维护服务,北京网络维护信息查询,同时您可以免费资讯北京网络维护,北京网络维护服务,北京网络维护信息。专业的北京网络维护信息就在北京艾锑无限+
+
北京网络维护全北京朝阳丰台北京周边海淀、大兴、昌平、门头沟、通州、西城区、燕郊、石景山、崇文、房山、宣武、顺义、平谷、延庆全北京网络维护信息
基于IP地址的转发策略
介绍最基本的通过IP地址控制访问权限的举例。组网需求
在某企业中允许192.168.5.0/24网段的用户访问Internet,但是在此网段中192.168.5.2、192.168.5.3和192.168.5.6的这几台PC对安全性要求较高,不允许上网,如图7-3所示。并且要求对用户所访问的网站进行控制,不允许访问P2P类网站。
图7-3 基于IP地址的域间转发策略
配置思路
1. 转发策略规划。需求是需要允许192.168.5.0/24这个大范围的网段通过,然后拒绝这个范围内的几个特殊IP。这样需要配置2条转发策略,由于策略的匹配顺序默认与配置顺序一致,因此必须先配置拒绝特殊IP通过的转发策略,然后再配置允许整个网段通过的转发策略。如果配置反了,几个特殊的IP就会先匹配上大范围的策略通过防火墙了,不会再继续匹配下边的特殊策略了。
2. 地址组规划和配置。
需求中是通过IP地址控制访问权限,那么需要在转发策略中指定IP地址作为匹配条件。对于连续的地址段可以在策略中直接配置,但是对于零散的地址建议配置为地址组,对地址组进行统一控制,而且也方便被其他策略复用。所以在本例中可以将几个特殊的IP地址配置成一个地址组。
地址组配置的菜单路径为:“防火墙 > 地址 > 地址组”。
3. 配置Web过滤策略,限制可以访问的网站。
配置Web过滤前首先应该启用UTM功能。启用UTM功能的菜单路径为:“UTM > 基本配置 > 基本配置”。
Web过滤策略配置的菜单路径为:选择“UTM > Web过滤”。
4. 转发策略配置。
转发策略配置的菜单路径为:“防火墙 > 安全策略 > 转发策略”。
说明:
· 本例只给出转发策略的配置步骤,实际内网访问Internet还需要配置NAT,注意配置转发策略时指定的源IP地址是NAT转换前的实际内网IP地址。
· 内网PC上需要配置网关,本例中网关为接口(1),即GigabitEthernet 0/0/2的接口IP地址。
· USG上需要在“路由 > 静态 > 静态路由”中配置缺省路由。
· 如果局域网使用二层接口卡的LAN口接入,需要将物理口加入VLAN并配置Vlanif。此时需要将Vlanif接口加入Trust域并配置转发策略。
操作步骤
1. 配置接口基本参数。a. 选择“网络 > 接口 > 接口”。
b. 在“接口列表”中单击GE0/0/2对应的。
c. 配置接口GigabitEthernet 0/0/2。
配置参数如下:
· 安全区域:trust
· 模式:路由
· 连接类型:静态IP
· IP地址:192.168.5.1
· 子网掩码:255.255.255.0
d. 单击“应用”。
e. 重复上述步骤配置接口GigabitEthernet 0/0/3。
配置参数如下:
· 安全区域:untrust
· 模式:路由
· 连接类型:静态IP
· IP地址:1.1.1.1
· 子网掩码:255.255.255.0
2. 配置名称为deny_ip的地址组,将几个不允许上网的IP地址加入地址组。
a. 选择“防火墙 > 地址 > 地址组”。
b. 在“地址组列表”中单击,进入“新建地址组”界面。
c. 配置地址组的名称和描述信息。
配置参数如下:
· 名称:deny_ip
· 描述:特殊内网用户的IP集合,对安全性要求较高,不允许访问Internet。
d. 单击“配置IP地址”右侧的,将IP地址192.168.5.2/32加入地址组。
重复该步骤将IP地址192.168.5.3/32和192.168.5.6/32加入地址组,如图7-4所示。
图7-4 配置地址组
说明:
使用此功能需要使用License。
如果只需要限制是否可以上网,进行简单的包过滤,此步骤可以忽略。
a. 启用UTM功能。
. 选择“UTM > 基本配置 > 基本配置”,查看“UTM功能”右侧的“启用”复选框是否已经选中,如未选中,则选中该复选框,然后单击“应用”。
i. 在弹出的对话框中选择“保存配置并重启”,单击“确定”重启设备。启用/禁用UTM功能需要重启设备后才能生效。
a. 配置DNS,用来解析安全服务中心(sec.huawei.com)的域名。
i. 选择“网络 > DNS > DNS”。
ii. 在左侧输入IP地址202.118.66.6。
iii. 单击将202.118.66.6加入服务器列表。
b. 配置URL过滤器。
i. 选择“UTM > Web过滤 > URL过滤器”。
ii. 单击。
iii. 配置该URL过滤器的名称为filter_deny_p2p。
iv. 单击“应用”。
v. 配置URL过滤器filter_deny_p2p的相关参数如下:
· 默认动作:允许
· 只选中“启用预定义分类过滤”复选框
· 单击“分类名称”P2P对应,将P2P分类的处理动作切换为阻断
vi. 单击“应用”。
c. 配置Web过滤策略。
i. 选择“UTM > Web过滤 > 策略”。
ii. 在“Web过滤基本配置”界面中选中“URL过滤”的“启用”复选框。
iii. 配置“Web推送内容”为“对不起,您无权访问P2P类网站。”。
iv. 单击“应用”。
v. 在“Web策略列表”中单击。
vi. 配置策略名称为deny_p2p。
vii. 单击“应用”。
viii. 在“URL过滤器”右侧的下拉框中选择filter_deny_p2p。
ix. 单击“应用”。
1. 配置拒绝特殊地址组deny_ip内IP地址访问Internet的转发策略。
a. 选择“防火墙 > 安全策略 > 转发策略”。
b. 选择“转发策略”页签。
c. 在“转发策略列表”中单击。
该转发策略的具体参数配置如图7-5所示。
图7-5 配置阻止地址组deny_ip访问Internet的转发策略
2. 配置允许192.168.5.0/24网段访问Internet的转发策略,并引用Web过滤策略。
a. 选择“防火墙 > 安全策略 > 转发策略”。
b. 选择“转发策略”页签。
c. 在“转发策略列表”中单击。
该转发策略的具体参数配置如图7-6所示。
图7-6 配置允许192.168.5.0/24网段访问Internet的转发策略
说明:
缺省情况下,Trust-Untrust域间出方向的缺省包过滤策略为deny,如果之前已经配置了permit请注意配置此步骤。
a. 选择“防火墙 > 安全策略 > 转发策略”。
b. 选择“转发策略”页签。
c. 在“转发策略列表”中单击“trust->untrust”下面“默认”对应的
。“trust->untrust”默认转发策略的配置如图7-7所示。
图7-7 配置“trust->untrust”默认转发策略为deny
结果验证
1. 验证192.168.5.2、192.168.5.3和192.168.5.6这3台PC访问Internet是否被拒绝。如果能访问说明配置错误,请检查转发策略地址匹配条件是否配置正确、策略配置顺序是否正确。如果先配置了允许整个网段访问Internet的转发策略,这几个IP地址就不会匹配到拒绝访问Internet的策略了。2. 验证192.168.5.0/24中的其他IP地址是否可以正常访问Internet。
3. 验证可以上网的IP地址访问P2P类网站是否被拒绝。
以上文章由北京艾锑无限科技发展有限公司整理
相关文章
IT电脑维护外包
关闭