安全策略复现实验

于 2025-02-06 17:49:39 发布
阅读量827 收藏 16
点赞数 19
CC 4.0 BY-SA版权
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Feb_June/article/details/145476133

一、拓扑

二、需求

1、VLAN 2属于办公区iVLAN 3属于生产区
2、办公区PC在工作日时间(周一至周五,早8到晚6)可以正常访问OA Server,其他时间不允许
3、办公区Pc可以在任意时刻访问Web Server
4、生产区Pc可以在任意时刻访问OA Server,但是不能访问Web Server
5、特例:生产区PC3可以在每周一早10到早11访问Web Server,用来更新企业最新产品信息

三、需求分析

1.vlan2一个IPvlan3一个IP
2.对于办公区PC访问OA Server的时间限制(工作日早8到晚6),需要在ENSP中配置基于时间的ACL(访问控制列表)。具体来说,要定义一个时间范围,允许在该时间范围内从VLAN 2到OA Server的访问,而在其他时间则禁止访问。
3.对于生产区PC访问Web Server的限制(除PC3外不能访问),可以通过配置基于MAC地址的ACL来实现。先允许所有生产区PC访问Web Server,然后针对生产区PC3配置特殊的时间策略,允许其在每周一早10到早11访问Web Server。
4.访问控制列表(ACL)配置
办公区PC访问OA Server的ACL配置:
创建一个标准ACL,允许VLAN 2的主机访问OA Server的IP地址。
再创建一个时间范围,定义工作日早8到晚6为允许访问的时间。
将该ACL应用到连接办公区PC的接口上,并关联上述时间范围。
生产区PC访问Web Server的ACL配置:
创建一个扩展ACL,禁止生产区VLAN 3的所有主机访问Web Server的IP地址。
然后针对生产区PC3的MAC地址,创建一个允许访问Web Server的permit语句,并将其加入到上述ACL中。
最后,将该ACL应用到连接生产区PC的接口上。
5.路由配置
在三层交换机上配置不同VLAN的接口IP地址,并启用路由功能,以确保不同VLAN之间能够进行通信。同时,要为OA Server和Web Server配置相应的IP地址和网关,使它们能够在网络中被正确识别和访问。
通过以上ENSP需求分析和相应配置,可以实现满足你所描述规则的网络环境,确保办公区和生产区的PC对OA Server和Web Server的访问符合要求。

四、配置信息

配置vlan

[sw1]vlan 2
[sw1]vlan 3
[sw1]interface GigabitEthernet 0/0/1
[sw1-GigabitEthernet0/0/1]port link-type trunk
[sw1-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[sw1-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2
[sw1-GigabitEthernet0/0/2]port link-type access
[sw1-GigabitEthernet0/0/2]port default vlan 2
[sw1-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/3
[sw1-GigabitEthernet0/0/3]port link-type access
[sw1-GigabitEthernet0/0/3]port default vlan 3
[sw1-GigabitEthernet0/0/3]interface GigabitEthernet 0/0/4
[sw1-GigabitEthernet0/0/4]port link-type access
[sw1-GigabitEthernet0/0/4]port default vlan 3

开启web界面登录服务

[FW]int g0/0/0
[FW-GigabitEthernet0/0/0]ser    
[FW-GigabitEthernet0/0/0]service-ma    
[FW-GigabitEthernet0/0/0]service-manage all pe    
[FW-GigabitEthernet0/0/0]service-manage all permit 

新建子接口

[FW]interface GigabitEthernet 1/0/1.1
[FW-GigabitEthernet1/0/1.1]service-manage ping permit
[FW-GigabitEthernet1/0/1.1]interface GigabitEthernet 1/0/1.2
[FW-GigabitEthernet1/0/1.2]service-manage ping permit

配ip

配置策略

1 、地址
[FW]ip address-set BG --- 创建地址集,名称为 BG
[FW-object-address-set-BG]address 192.168.1.0 mask 25 --- 创建地址内容
2 、时间段
[FW]time-range working-time --- 创建时间段名称
[FW-time-range-working-time]period-range 08:00:00 to 18:00:00 working-day

3 、创建安全策略
[FW1]security-policy --- 进入安全策略配置视图
[FW1-policy-security]rule name policy_1
[FW1-policy-security-rule-policy_1]description BG_to_OA 
[FW1-policy-security-rule-policy_1]source-zone trust
[FW1-policy-security-rule-policy_1]destination-zone dmz
[FW1-policy-security-rule-policy_1]source-address address-set BG
[FW1-policy-security-rule-policy_1]destination-address address-set "OA Server"
[FW1-policy-security-rule-policy_1]time-range working-time
[FW1-policy-security-rule-policy_1]action permit 

五、测试

Feb_June
关注
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值