网络运维|防火墙基于MAC的转发策略
2020-05-26 17:11 作者:艾锑无限 浏览量:
大家好,我是一枚从事IT外包的网络安全运维工程师,今天和大家分享的是网络安全设备维护相关的内容,想要学习防火墙必须会配置转发策略。简单网络安全运维,从防火墙学起,一步一步学成网络安全运维大神。
网络维护是一种日常维护,包括网络设备管理(如计算机,服务器)、操作系统维护(系统打补丁,系统升级)、网络安全(病毒防范)等。+
北京艾锑无限科技发展有限公司为您免费提供给您大量真实有效的北京网络维护服务,北京网络维护信息查询,同时您可以免费资讯北京网络维护,北京网络维护服务,北京网络维护信息。专业的北京网络维护信息就在北京艾锑无限+
+
北京网络维护全北京朝阳丰台北京周边海淀、大兴、昌平、门头沟、通州、西城区、燕郊、石景山、崇文、房山、宣武、顺义、平谷、延庆全北京网络维护信息
基于MAC地址的转发策略
介绍最基本的通过MAC地址控制访问权限的举例。
组网需求
如图7-8所示,某企业经三层交换机通过USG接入Internet,三层交换机可获取到企业内网PC的ARP表项。企业员工通过基于全局地址池的DHCP方式分配到动态的IP地址,全局地址池的IP地址范围是192.168.5.0/24。其中,有三台PC的MAC地址分别为0025-1185-8C21、0021-97cf-2238以及00e0-4c86-58eb。该企业要求,除这三台对安全性有较高要求的PC外,其他PC均可访问Internet。
图7-8 基于IP地址的域间转发策略
1. 转发策略规划。配置思路
需求中要求允许192.168.5.0/24这个IP网段通过防火墙访问Internet,并拒绝几个特殊MAC所对应PC访问Internet。这样需要配置2条转发策略,先配置拒绝特殊MAC对应PC发送的数据流通过的转发策略,再配置允许整个IP网段这个大范围的数据流通过的转发策略。如果配置顺序相反,指定的几个特殊MAC地址所对应PC发送的数据流就会先匹配上针对整个IP网段数据流的策略而通过防火墙,不会再继续匹配后配置的针对特殊MAC地址的转发策略。
2. 地址组规划和配置。
需求中是通过MAC地址控制访问权限,那么需要在转发策略中指定MAC地址作为匹配条件。建议将零散的MAC地址配置为一个地址组,可实现对零散MAC地址的统一控制,也方便被其他策略复用。所以在本例中可以将几个特殊的MAC地址0025-1185-8C21、0021-97cf-2238和00e0-4c86-58eb配置成一个名为mac_deny的地址组。
地址组配置的菜单路径为:“防火墙 > 地址 > 地址组”。
3. 转发策略配置。
转发策略配置的菜单路径为:“防火墙 > 安全策略 > 转发策略”。
说明:
· 本例只给出转发策略的配置步骤,实际内网访问Internet还需要配置NAT,注意配置转发策略时指定的源IP地址是NAT转换前的实际内网IP地址。
· 内网PC上需要配置网关,本例中是接口(4),即三层交换机GigabitEthernet 0/0/2接口的IP地址。
· USG上需要在“路由 > 静态 > 静态路由”中配置缺省路由,下一跳为172.168.1.5/24。
操作步骤
1. 配置三层交换机的SNMP选项,包括开启SNMP Agent服务以及配置团体名等。
说明:
三层交换机需要支持SNMP协议的v2c版本,否则不支持跨三层MAC地址识别。
此步操作需要在三层交换机上执行。如果三层交换机本身已经支持并完成了SNMP选项的配置,请直接在USG上进行如下配置。
2. 配置接口基本参数。
a. 选择“网络 > 接口 > 接口”。
b. 在“接口列表”中单击GE0/0/2对应的。
c. 配置接口GigabitEthernet 0/0/2。
配置参数如下:
· 安全区域:trust
· 模式:路由
· 连接类型:静态IP
· IP地址:172.168.1.2
· 子网掩码:255.255.255.0
d. 单击“应用”。
e. 重复上述步骤配置接口GigabitEthernet 0/0/3。
配置参数如下:
· 安全区域:untrust
· 模式:路由
· 连接类型:静态IP
· IP地址:1.1.1.1
· 子网掩码:255.255.255.0
3. 开启跨三层MAC地址识别功能,并指定目标三层交换机的IP地址为172.168.1.5/24,团体名为public。
a. 选择“系统 > 配置 > 跨三层MAC识别”。
b. 勾选“跨三层MAC识别”右侧的“启用”。
按照如图7-9所示的具体参数,配置跨三层MAC识别功能。
图7-9 配置跨三层MAC识别
4. 配置名称为mac_deny的地址组,将几个不允许上网的MAC地址配置为地址对象。
a. 选择“防火墙 > 地址 > 地址”。
b. 在“地址列表”中单击,进入“新建地址”界面。
c. 配置地址的名称和描述信息。
配置参数如下:
· 名称:mac_deny
· 描述:特殊内网用户的MAC地址集合,对安全性要求较高,不允许访问Internet。
d. 在“子网、IP范围或MAC地址”中添加MAC地址0025-1185-8C21、0021-97cf-2238以及00e0-4c86-58eb。单击“应用”。
5. 配置拒绝特殊地址组mac_deny内所有MA址所对应的PC访问Internet的转发策略。
a. 选择“防火墙 > 安全策略 > 转发策略”。
b. 在“转发策略列表”中单击。
该转发策略的具体参数配置如图7-10所示。
图7-10 配置阻止特殊MAC地址集合mac_deny访问Internet的转发策略
c. 单击“应用”。
6. 配置允许192.168.5.0/24网段访问Internet的转发策略。
a. 选择“防火墙 > 安全策略 > 转发策略”。
b. 在“转发策略列表”中单击。
该转发策略的具体参数配置如图7-11所示。
图7-11 配置允许192.168.5.0/24网段访问Internet的转发策略
7. (可选)配置Trust-Untrust域间出方向的缺省包过滤策略为deny。
说明:
缺省情况下,Trust-Untrust域间出方向的缺省包过滤策略为deny,如果之前已经配置了permit请注意配置此步骤。
a. 选择“防火墙 > 安全策略 > 转发策略”。
b. 在“转发策略列表”中单击“trust->untrust”下面“默认”对应的。
“trust->untrust”默认转发策略的配置如图7-12所示。
图7-12 配置“trust->untrust”默认转发策略为deny
c. 单击“应用”。
结果验证
1. 验证0025-1185-8C21、0021-97cf-2238以及00e0-4c86-58eb这3台PC访问Internet是否被拒绝。如果能访问说明配置错误,请检查转发策略地址匹配条件是否配置正确、策略配置顺序是否正确。如果先配置了允许整个网段访问Internet的转发策略,这几个MAC地址对应的PC发送的数据流就不会匹配到拒绝其访问Internet的策略了。
2. 验证192.168.5.0/24中的其他IP地址是否可以正常访问Internet,如果不能请检查配置。
以上文章由北京艾锑无限科技发展有限公司整理