安全策略配置

最新推荐文章于 2025-05-29 19:20:56 发布
最新推荐文章于 2025-05-29 19:20:56 发布
阅读量540 收藏 16
点赞数 9
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2301_81538927/article/details/145461247
版权

  • 需求
    • VLAN2属于办公区;VLAN3属于生产区。
    • 办公区PC在工作日时间(周一到周五,早8到玩6)可以正常访问OA server,其他时间不允许。
    • 办公区PC可以在任意时刻访问web server。
    • 生产去PC可以在任意时刻访问OA server,但是不能访问web server。
    • 特例:生产区PC可以在每周一早10到早11访问web server,用来更新企业最新产品信息
  • 分析
    • 配置IP地址,增加子接口,划分区域
    • 进行vlan划分
    • 配置安全策略
  • 配置
    • vlan划分
    • [lsw1]interface g0/0/2	
[lsw1-GigabitEthernet0/0/2]port link-a
[lsw1-port-group-link-a]port default vlan 2

[lsw1]interface g0/0/3
[lsw1-GigabitEthernet0/0/3]port link-a
[lsw1-port-group-link-a]port default vlan 3

[lsw1]interface g0/0/4	
[lsw1-GigabitEthernet0/0/4]port link-a
[lsw1-port-group-link-a]port default vlan 3

[lsw1]interface g0/0/1
[lsw1-GigabitEthernet0/0/1]port link-a
[lsw1-port-group-link-a]port trunk allow-pass vlan 2
    •  接口IP地址  区域划分 
      • [FW1]interface g1/0/1.1
[FW1-GigabitEthernet1/0/1.1]ip address 192.168.1.126 25
[FW1-GigabitEthernet1/0/1.1]interface g1/0/1.2
[FW1-GigabitEthernet1/0/1.2]ip address 192.168.1.254 25
[FW1-GigabitEthernet1/0/1.2]vlan-type dot1q 3
[FW1-GigabitEthernet1/0/1.2]interface g1/0/1.1
[FW1-GigabitEthernet1/0/1.1]vlan-type dot1q 2
[FW1]firewall zone trust 
[FW1-zone-trust]add interface GigabitEthernet 1/0/1.1 
[FW1-zone-trust]add interface GigabitEthernet 1/0/1.2
[FW1]interface g1/0/0
[FW1-GigabitEthernet1/0/0]ip add 10.0.0.254 24
[FW1]firewall zone dmz
[FW1-zone-dmz]add interface g1/0/0
    •  安全策略
      • 命令
        • 办公区PC在工作日时间(周一到周五,早8到玩6)可以正常访问OA server,其他时间不允许
        • 
[FW1]ip address-set BG
[FW1-object-address-set-BG]address 192.168.1.0 mask 25
[FW1]ip address-set OA-Server
[FW1-object-address-set-OA-Server]address 10.0.0.1 mask 32
[FW1]time-range working-time
[FW1-time-range-working-time]period-range 08:00:00 to 18:00:00 working-day 
[FW1]security-policy 
[FW1-policy-security]rule name policy_1
[FW1-policy-security-rule-policy_1]description BGtoOA
[FW1-policy-security-rule-policy_1]source-zone trust 
[FW1-policy-security-rule-policy_1]destination-zone dmz 
[FW1-policy-security-rule-policy_1]source-address address-set BG
[FW1-policy-security-rule-policy_1]destination-address address-set OA-server 
[FW1-policy-security-rule-policy_1]time-range working-time
[FW1-policy-security-rule-policy_1]action permit
        • 办公区PC可以在任意时刻访问web server
        • 
[FW1]security-policy 
[FW1-policy-security]rule name policy_2
[FW1-policy-security-rule-policy_2]description BGtoWeb
[FW1-policy-security-rule-policy_2]source-zone trust 
[FW1-policy-security-rule-policy_2]destination-zone dmz 
[FW1-policy-security-rule-policy_2]source-address address-set BG
[FW1-policy-security-rule-policy_2]destination-address 10.0.0.2 mask 255.255.255
.255
[FW1-policy-security-rule-policy_2]action permit
        • 生产去PC可以在任意时刻访问OA server,但是不能访问web server
        • [FW1]ip address-set SC
[FW1-object-address-set-SC]address 192.168.1.128 mask 25
[FW1]security-policy 
[FW1-policy-security]rule name policy_3
[FW1-policy-security-rule-policy_3]source-zone trust 
[FW1-policy-security-rule-policy_3]destination-zone dmz 
[FW1-policy-security-rule-policy_3]source-address address-set SC
[FW1-policy-security-rule-policy_3]destination-address address-set OA-server 
[FW1-policy-security-rule-policy_3]description SCtoOA
[FW1-policy-security-rule-policy_3]action permit
        • 特例:生产区PC可以在每周一早10到早11访问web server,用来更新企业最新产品信息
        • 
[FW1]time-range special_time
[FW1-time-range-special_time]period-range 10:0:0 to 11:0:0 Mon 
[FW1]security-policy 
[FW1-policy-security]rule name policy_4
[FW1-policy-security-rule-policy_4]description SCtoWeb_special
[FW1-policy-security-rule-policy_4]source-zone trust 
[FW1-policy-security-rule-policy_4]destination-zone dmz 
[FW1-policy-security-rule-policy_4]source-address 192.168.1.130 mask 255.255.255
.255
[FW1-policy-security-rule-policy_4]destination-address 10.0.0.2 mask 255.255.255
.255
[FW1-policy-security-rule-policy_4]time-range special_time
[FW1-policy-security-rule-policy_4]action permit
      • web
        • 办公区PC在工作日时间(周一到周五,早8到玩6)可以正常访问OA server,其他时间不允许
        • 办公区PC可以在任意时刻访问web server
        • 生产去PC可以在任意时刻访问OA server,但是不能访问web server
        • 特例:生产区PC可以在每周一早10到早11访问web server,用来更新企业最新产品信息
          • 设置时间
          • 交换policy_4与policy_5的顺序
  • 测试
妤......
关注
【Netty系列】Netty 框架介绍
技术改变世界
05-28 278
Netty是一个基于 Java NIO(Non-blocking I/O)的异步事件驱动网络应用框架,旨在快速开发高性能、高可靠性的网络服务器和客户端。它简化了 TCP/UDP 等协议的编程,并提供了高度可定制的组件,适用于高并发场景(如游戏服务器、即时通讯、分布式系统等)。
AXI协议乱序传输机制解析:提升SoC性能的关键设计
JInx299的博客
05-28 323
AXI(Advanced eXtensible Interface)协议的乱序传输(Out-of-Order)机制是现代高性能SoC设计的核心特性之一。本文深入探讨AXI如何通过ID标识符和通道独立性实现高效的数据乱序传输,显著提升总线利用率和系统并发性能
[特殊字符]使用 Hyperlane 实现 WebSocket广播
m0_52796585的博客
05-27 874
## 推荐几款学习编程的免费平台 ### 免费在线开发平台([https://docs.ltpp.vip/LTPP/](https://docs.ltpp.vip/LTPP/)) <blockquote> <p>        探索编程世界的新天地,为学生和开发者精心打造的编程平台,现已盛大开启!这个平台汇集了近4000道精心设计的编程题目,覆盖了C、C++、JavaScript、TypeScript、Go、Rust、PHP、Java、Ruby
shell脚本中常用的命令
2302_81660458的博客
05-29 110
b)网卡被设定,需要修改。a)当网卡没有被设置时。
LiveNVR接入大华、海康、宇视、天地伟业SDK:拉转直播流文件ISUP接入并转换成多格式视频直播流地址
青柿视频流媒体的博客
05-28 402
本文围绕 LiveNVR 监控流媒体 Onvif_RTSP 功能展开,介绍其可将传统安防监控设备互联化,实现无插件直播。具体内容包括:配置拉转视频流,涵盖 RTSP 规则、通道配置等多种方式;介绍视频集成方式,如分享页面集成和视频流地址集成;阐述获取直播流地址的三种途径,即页面查看、接口调用和静态拼接;还提及接口调用相关问题及 RTSP/HLS/FLV/RTMP 拉流 Onvif 流媒体服务的系统支持、安装说明等。
Python 网络编程
2301_80839375的博客
05-26 1147
定义:Socket 是网络通信的端点,用于不同主机或同一主机的进程间通信。核心要素地址族AF_INET(IPv4)、AF_INET6(IPv6)。协议类型(TCP)、SOCK_DGRAM(UDP)。通信流程服务器:创建 Socket → 绑定 IP 和端口 → 监听连接 → 接受连接 → 收发数据。客户端:创建 Socket → 连接服务器 → 收发数据。
Missashe考研日记—Day44-Day50
LVerrrr的博客
05-25 675
记录me的考研日常
可靠数据传输原理
ikkkkkkkl的博客
05-29 405
本文假设是单向数据传输,我们假设分组在单向之间的信道不能重新被排序。在单段物理线路相连的情况下,这种假设是合理的。然而当连接的信道是一个网络时,分组重新排序是可能发生的。在数据传输过程中,分组重新排序针对接收到的乱序分组进行整理,使其恢复正确顺序,减少不必要的重传同时提升吞吐量。它是保障数据正确处理和交付给上层应用的关键环节。🌱🌱🌱.
LVS +Keepalived高可用群集
2301_80376513的博客
05-29 812
Keepalived 的官方网站位于 http://www.keepalived.org/,本章将以 YUM方式讲解 Keepalived 的安装、配置和使用过程。在非 LVS 群集环境中使用时,Keepalived 也可以作为热备软件使用。
通俗解释网络参数RTT(往返时间)
撬动未来的支点的专栏
05-27 764
RTT是衡量网络性能的重要指标,它直接影响着我们的网络体验。了解RTT有助于我们更好地理解和优化网络性能。在实际应用中,我们需要根据具体场景选择合适的RTT优化策略,以获得最佳的网络体验。同时,理解RTO的概念对于网络传输的可靠性也至关重要。
计算机网络之差错控制中的 CRC(循环冗余校验码)
鱼丸丶粗面
05-29 488
计算机网络之差错控制中的 CRC(循环冗余校验码)
(NAT64)IPv6网络用户访问IPv4网络服务器(动态映射方式)
2301_80344964的博客
05-29 328
摘要:本文展示了FW1防火墙的NAT64配置实验,主要包含IPv6接口启用(2001::1/64)、NAT64前缀设置(3001::96)及安全策略配置。关键配置包括:1)GE1/0/1接口启用IPv6并配置NAT64;2)定义PAT模式的地址组(1.1.1.6-1.1.1.10);3)配置untrust到trust区域的安全策略,允许2001::/64流量;4)设置NAT64策略将IPv6流量转换为IPv4。实验验证了IPv6与IPv4网络的互通功能。
Python网络编程
2301_76584825的博客
05-26 774
Socket 是网络通信的基础,是实现网络编程的抽象层。在 Python 中,socket 模块提供了对 Socket 的封装,使得我们可以轻松实现 TCP 和 UDP 通信。Socket 接口提供了发送、接收、连接、断开等操作,允许我们在程序中实现网络通信。
ansible-playbook 剧本
m0_74201628的博客
05-28 643
一个剧本里面可以有多个play(任务列表),每个play只能有一个tasks(只有一个任务),每个tasks可以有多个name(指定描述)playbook是ansible用于配置,部署,和管理被控节点的剧本。通过playbook的详细描述,执行其中的tasks,可以让远端主机达到预期的状态。playbook是由一个或多个”play”组成的列表。当对一台机器做环境初始化的时候往往需要不止做一件事情,这时使用playbook会更加适合。通过playbook你可以一次在多台机器执行多个指令。
网络安全全知识图谱:威胁、防护、管理与发展趋势详解
Thanks_ks 的嵌入式代码熔炉:炼出 STM32 到 RTOS 的极致效能!
05-26 905
本文全面解析网络安全知识,涵盖基础概念、重要性,阐述恶意软件、网络攻击、社交工程等常见威胁。介绍防火墙、加密等防护技术,提出个人与企业防护措施。还提及网络安全法律法规与合规要求,展望人工智能、物联网安全等未来发展趋势,助读者系统了解网络安全。
Python 网络编程入门
2501_91112123的博客
05-26 966
随着互联网的普及,网络通信已成为计算机应用的核心。Python 凭借简洁易用的特性,成为网络编程的热门选择。本文将深入解析 TCP 与 UDP 协议的原理,通过 Socket 编程实现网络通信,并带你完成一个简易聊天应用的开发,帮助你快速掌握 Python 网络编程的核心技能。TCP/UDP 协议:理解可靠连接与无连接通信的本质区别。Socket 编程25:学会使用socket模块实现客户端与服务器通信。实战案例:完成了 TCP 单向通信、双向聊天和 UDP 简单交互的程序开发。
计算机网络常见体系结构、分层必要性、分层设计思想以及专用术语介绍
最新发布
2301_79475128的博客
05-29 613
本文讲述了计算机网络常见体系结构、分层设计的必要性、分层处理思想以及相关专业术语等。相关叙述、图片参考《计算机网络微课堂》视频以及《计算机网络 第七版》教材。
IP地址基础知识
qq_44749789的博客
05-28 671
IP地址是为网络设备分配的逻辑地址,采用分层架构屏蔽物理地址差异,实现全球设备互联互通。为了便于根据IP地址寻找到该地址所代表的主机,这个32位的二进制数被分为2个部分:192.168.10.1——>网络号+主机号网络ID(网络号) 和 主机ID(主机号)网络号:区分网络是否在同一区域(网段),说明可以划分为几个网络或区域。主机号:区分同一个网络中的主机,说明网络里有多少台主机。主要承担三大功能‌1.设备定位‌:通过唯一标识实现数据精准传输(如192.168.1.1标识家庭路由器)
Flannel 支持的后端
小诸葛的博客
05-29 753
Flannel 支持的后端包括VXLAN(推荐)、host-gw(高性能但受限于二层网络)、UDP(仅用于调试)、WireGuard(加密通信)、AWS-VPCGCEAliVPC(实验性)、Alloc和IPIP(实验性)。此外,IPSec已废弃。选择后端时需根据网络环境、性能需求和安全性要求进行权衡。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值