网络运维|防火墙基于时间段的转发策略
2020-05-26 17:20 作者:艾锑无限 浏览量:
大家好,我是一枚从事IT外包的网络安全运维工程师,今天和大家分享的是网络安全设备维护相关的内容,想要学习防火墙必须会配置转发策略。简单网络安全运维,从防火墙学起,一步一步学成网络安全运维大神。
网络维护是一种日常维护,包括网络设备管理(如计算机,服务器)、操作系统维护(系统打补丁,系统升级)、网络安全(病毒防范)等。+
北京艾锑无限科技发展有限公司为您免费提供给您大量真实有效的北京网络维护服务,北京网络维护信息查询,同时您可以免费资讯北京网络维护,北京网络维护服务,北京网络维护信息。专业的北京网络维护信息就在北京艾锑无限+
+
北京网络维护全北京朝阳丰台北京周边海淀、大兴、昌平、门头沟、通州、西城区、燕郊、石景山、崇文、房山、宣武、顺义、平谷、延庆全北京网络维护信息
基于时间段的转发策略
介绍通过时间控制访问权限的举例。
组网需求
某企业需要对员工上网时间进行控制,要求每天只能在休息时间12:00~14:00以及18:00~22:00的时间范围内访问Internet,组网如图7-13所示。
图 基于时间段的转发策略
配置思路
通过时间控制访问权限的前提是需要配置时间段,然后在转发策略中引用。
1. 配置一个每天休息时间的时间段(12:00~14:00、18:00~22:00)。
时间段配置的菜单路径为:“防火墙 > 时间段 > 时间段”。
2. 配置允许内网192.168.5.0/24访问Internet的转发策略,并在其中引用前面配置的时间段作为匹配条件。
转发策略配置的菜单路径为:“防火墙 > 安全策略 > 转发策略”。
说明:
· 本例只给出转发策略的配置步骤,实际内网访问Internet还需要配置NAT,注意配置转发策略时指定的源IP地址是NAT转换前的实际内网IP地址。
· 内网PC上需要配置网关,本例中网关为接口(1),即GigabitEthernet 0/0/2的接口IP地址。
· USG上需要在“路由 > 静态 > 静态路由”中配置缺省路由。
· 如果局域网使用二层接口卡的LAN口接入,需要将物理口加入VLAN并配置Vlanif。此时需要将Vlanif接口加入Trust域并配置转发策略。
操作步骤
1. 配置接口基本参数。
a. 选择“网络 > 接口 > 接口”。
b. 在“接口列表”中单击GE0/0/2对应的。
c. 配置接口GigabitEthernet 0/0/2。
配置参数如下:
· 安全区域:trust
· 模式:路由
· 连接类型:静态IP
· IP地址:192.168.5.1
· 子网掩码:255.255.255.0
d. 单击“应用”。
e. 重复上述步骤配置接口GigabitEthernet 0/0/3。
配置参数如下:
· 安全区域:untrust
· 模式:路由
· 连接类型:静态IP
· IP地址:1.1.1.1
· 子网掩码:255.255.255.0
2. 配置名称为internet的时间段,控制允许上网的时间。
a. 选择“防火墙 > 时间段 > 时间段”。
b. 在“时间段列表”中单击。
c. 在“名称”中输入时间段的名称internet。
d. 单击“应用”。
e. 在internet下的“时间段列表”中单击。
internet时间段的具体参数配置如图7-14所示。
图7-14 新建internet时间段
f. 单击“确认”。
g. 在“时间段列表”中单击internet对应的,在该时间段中增加时间范围。
具体参数配置如图7-15所示。
图7-15 在internet时间段中增加时间范围
h. 单击“确认”。
3. 配置允许192.168.5.0/24网段只能在休息时间访问Internet的转发策略。
a. 选择“防火墙 > 安全策略 > 转发策略”。
b. 选择“转发策略”页签。
c. 在“转发策略列表”中单击。
该转发策略的具体参数配置如图7-16所示。
图7-16 配置允许192.168.5.0/24网段在休息时间访问Internet的转发策略
d. 单击“应用”。
4. (可选)配置Trust-Untrust域间出方向的缺省包过滤策略为deny。
说明:
缺省情况下,Trust-Untrust域间出方向的缺省包过滤策略为deny,如果之前已经配置了permit请注意配置此步骤。
a. 选择“防火墙 > 安全策略 > 转发策略”。
b. 选择“转发策略”页签。
c. 在“转发策略列表”中单击“trust->untrust”下面“默认”对应的。
“trust->untrust”默认转发策略的配置如图7-17所示。
图7-17 配置“trust->untrust”默认转发策略为deny
d. 单击“应用”。
结果验证
验证是否符合预期:192.168.5.0/24网段在12:00~14:00和18:00~22:00的时间段内可以访问Internet,其他时间都不能访问。如果不符合预期,主要有以下几种原因:
· 时间段或转发策略配置错误,请检查配置。
· 设备时间错误,造成策略没有在预期时间内生效。
1. 选择“系统 > 面板 > 状态”。
2. “系统信息”页签中的“时钟信息”显示的即为设备当前时间,如不正确,请单击“时钟信息”对应的“更改”链接修改。
· Trust-Untrust域间出方向的缺省包过滤配置为了permit,造成配置的转发策略失效,12:00~14:00和18:00~22:00以外的时间段虽然没有匹配到转发策略,但是也被缺省包过滤放过了。
3. 选择“防火墙 > 安全策略 > 转发策略”。
4. 选择“转发策略”页签。
5. 查看“转发策略列表”中“trust->untrust”最后一条默认包过滤策略动作是否为deny,如果不是,请单击该记录对应的将“动作”修改为deny。
以上文章由北京艾锑无限科技发展有限公司整理