防御保护:安全策略配置

最新推荐文章于 2025-02-05 21:10:33 发布
原创 最新推荐文章于 2025-02-05 21:10:33 发布 · 943 阅读 · 25 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络

目录

一、实验拓扑

二、实验要求

​编辑 三、要求分析

四、实验配置

前置配置

1.配置vlan与access、truck接口

2.进入web界面进行配置

3.安全策略的配置

3.1实现实验需求2(办公区PC在工作日时间(周一至周五,早8晚6)可以正常访问OA Server,其他时间不允许)  

新建地址​编辑​编辑

新建时间段 

​编辑

新建安全策略​编辑

3.2实现实验需求3(办公区PC可以在任意时刻访问Web Server) 

新建地址

新建安全策略

3.3实现实验需求4(生产区PC可以在任意时刻访问OA Server,但是不能访问Web Server)

新建地址

新建安全策略

3.4特例的实现(生产区PC3可以每周一早上10到早11访问Web Server,用来更新企业最新产品信息) 

新建地址

新建时间段

新建安全策略 

​编辑安全策略表

五、结果测试 

1.办公区PC访问OA Server 

2.办公区PC访问Web Server 

3.生产区PC访问OA Server 

4.生产区PC访问Web Server 

查看会话表和server-map表 

 

一、实验拓扑

二、实验要求

 三、要求分析

1.需要创建两个vlan,vlan 2 和 vlan 3
2.在ENSP中配置基于时间的ACL实现对于办公区PC访问OA Server的时间限制(工作日早8到晚6)。
3.通过配置基于MAC地址的ACL来实现对于生产区PC访问Web Server的限制(除PC3外不能访问)。
4.在三层交换机上配置不同VLAN的接口IP地址,并启用路由功能,以确保不同VLAN之间能够进行通信。同时,要为OA Server和Web Server配置相应的IP地址和网关,使它们能够在网络中被正确识别和访问。

四、实验配置

前置配置

 

1.配置vlan与access、truck接口

[SW1] undo info-center enable 
Info: Information center is disabled.

[SW1] vlan 2

[SW1] vlan 3

[SW1] interface GigabitEthernet 0/0/1

[SW1-GigabitEthernet0/0/1] port link-type trunk

[SW1-GigabitEthernet0/0/1] port trunk allow-pass vlan all
[SW1-GigabitEthernet0/0/1] int g0/0/2


[SW1-GigabitEthernet0/0/2] port link-type access
[SW1-GigabitEthernet0/0/2] port default vlan 2
[SW1-GigabitEthernet0/0/2] interface GigabitEthernet 0/0/3

[SW1-GigabitEthernet0/0/3] port link-type access
[SW1-GigabitEthernet0/0/3] port default vlan 3
[SW1-GigabitEthernet0/0/3] interface GigabitEthernet 0/0/4


[SW1-GigabitEthernet0/0/4] port link-type access
[SW1-GigabitEthernet0/0/4] port default vlan 3
[SW1-GigabitEthernet0/0/4] q
[SW1]

2.进入web界面进行配置

 

[USG6000V1]int g1/0/1.1
[USG6000V1-GigabitEthernet1/0/1.1]service-manage ping permit

[USG6000V1-GigabitEthernet1/0/1.1]interface GigabitEthernet 1/0/1.2
[USG6000V1-GigabitEthernet1/0/1.2]service-manage ping permit

3.安全策略的配置

3.1实现实验需求2(办公区PC在工作日时间(周一至周五,早8晚6)可以正常访问OA Server,其他时间不允许)  

新建地址

 

新建时间段 

新建安全策略

3.2实现实验需求3(办公区PC可以在任意时刻访问Web Server) 

新建地址

新建安全策略

3.3实现实验需求4(生产区PC可以在任意时刻访问OA Server,但是不能访问Web Server
)

新建地址

新建安全策略

3.4特例的实现(生产区PC3可以每周一早上10到早11访问Web Server,用来更新企业最新产品信息) 

新建地址

新建时间段

新建安全策略 

安全策略表

五、结果测试 

1.办公区PC访问OA Server 

工作时间:成功 

其他时间:失败

2.办公区PC访问Web Server 

任意时间:成功

 

3.生产区PC访问OA Server 

任意时间:成功 

 

4.生产区PC访问Web Server 

周一早10-11: PC2失败 PC3成功

 其他时间:失败

查看会话表和server-map表

LOXOI
关注
防火墙的访问控制列表(ACL)设计不合理,导致大量不必要的流量被防火墙处理,降低了性能
ZOMO的博客
06-29 932
随着网络攻击手段的不断演变和网络安全需求的不断提高,防火墙已成为企业网络安全的重要组成部分。然而,在防火墙的使用过程中,如何合理地配置和管理防火墙策略,成为了一个亟待解决的问题。本文将围绕“防火墙的访问控制列表(ACL)设计不合理,导致大量不必要的流量被防火墙处理,降低了性能”这一主题,分析防火墙策略管理的现状和存在的问题,并探讨AI技术在防火墙策略分析中的应用前景。
[网络工程师]-防火墙-ACL
m0_58983558的博客
10-31 3777
讲述了ACL规则的分类、匹配方式和配置方式
ASA防火墙学习笔记2-ACL访问控制策略
weixin_34245749的博客
05-24 593
转载于:https://blog.51cto.com/jettcai/2119805
用ACL构建防火墙体系1(转)
csdn785029689的博客
06-08 493
络防火墙安全策略是指要明确定义哪些数据包允许或禁止通过并使用网络服务,以及这些服务的使用规则。而且,网络防火墙安全策略中的每一条规定都应该在实际应用时得到实现。下面我们就路由器下通过访问控制列表实现安全策略,以达到防火墙的功能,...
redis数据库ACL安全策略
weixin_52194536的博客
09-01 760
redis数据库
Apache:Apache安全配置:Apache安全策略基础.pdf
02-26
其次,Apache安全配置可以使用SSL/TLS协议加密数据传输,保护用户数据不被窃听或篡改。此外,正确配置Apache服务器可以有效防止多种网络攻击,例如SQL注入、跨站脚本(XSS)攻击和分布式拒绝服务(DDoS)攻击等,...
防御保护——防火墙安全策略配置
iead12的博客
02-05 568
2、办公区PC在工作日时间(周一至周五,早8到晚6)可以正常访问0A Server,其他时间不允许。5、特例:生产区PC3可以在每周一早10到早11访问Web Server,用来更新企业最新产品信息。交换机:根据实验要求创建vlan 2 3并划分接口,并创建g0/0/1为trunk干道。4、生产区PC可以在任意时刻访问0A Server,但是不能访问Web Server。####网关ping通测试需要在防火墙子接口开启ping功能。####网关ping通测试需要在防火墙子接口开启ping功能。
物联网之安全算法:防火墙策略:防火墙配置与管理.docx
10-25
这需要一系列安全策略的实施,包括但不限于设备安全、网络通信安全、数据安全、身份验证与授权以及监控与响应。 物联网设备面临的威胁: 物联网设备面临的威胁包括但不限于设备劫持、数据泄露、中间人攻击、固件...
任子行网络安全防御策略:WAF应用防火墙.docx
最新发布
09-01
安全策略配置上,WAF应用防火墙通过用户行为分析,提供基于行为的安全策略配置,并根据客户需求提供定制服务和个性化方案。 WAF应用防火墙的核心技术涵盖深度包检测技术、机器学习算法以及其他辅助性技术。深度包...
操作系统安全:安全策略的制定与实施.pptx
06-02
安全策略的制定与实施涉及到多个方面,包括设计原则、策略执行以及具体的系统配置。以下是对这些关键知识点的详细说明: 1. **安全策略设计原则**: - **木桶原则**:强调系统的安全性取决于最弱的环节,需要全面...
sdn防火墙,基于mac地址
03-15
SDN 全称为Self -Defending Network,自防御网络。SDN最早由思科提出,通过安全的网络架构、安全机制、以及相关技术实现网络攻击自动发现、自动防御、自动消除威胁的网络系统。 pyretic 实现
防火墙策略配置的原则包括/防火墙策略配置教程-详细网安详细教程
程序员三九的博客
08-07 657
Juniper 防火墙策略路由配置网络拓扑图要求:1默认路由走电信;二建立 extended acl1选择 networkroutingpbrextended acl list
二、防火墙-安全策略
u012451051的博客
11-22 1315
对于不在detect命令支持协议范围内的某些特殊应用,防火墙提供了用户自定义协议的ASPF功能。可以通过ACL来识别该应用的报文,ASPF会自动为其创建三元组Server-map表项。保证该应用报文顺利通过防火墙。配置ACL越精细越好,以免影响其他业务。以TFTP举例TFTP协议控制通道和数据通道共用TFTP客户端的端口号。开启用户自定义的ASPF功能很简单。acl 3000开启后虽然生成的表项保证了业务,但是也存在对端口的访问权限。
三、防御保护---防火墙安全策略
M372109150的博客
01-29 2685
安全策略是实施访问控制和安全检查的基础,本篇介绍安全策略的基本概念以及华为防火墙产品上安全的一系列策略。传统的包过滤防火墙 — 其本质为ACL列表,根据数据报中的特征进行过滤,之后对比规制,执行动作。五元组 — 源IP,目标IP,源端口,目标端口,协议安全策略— 相较于ACL的改进之处在于,首先,可以在更细的颗粒度下匹配流量,另一方面是可以完成内容安全的检测。安全策略:1,访问控制(允许和拒绝)2,内容检测 — 如果允许通过,则可以进行内容检测。
Redis ACL安全策略详解
zzhongcy的专栏
11-03 2124
在 Redis6 之前的版本,我们只能使用 requirepass 参数给 default 用户配置登录密码,同一个 redis 集群的所有开发都共享 default 用户,难免会出现误操作把别人的 key 删掉或者数据泄露的情况。因此 Redis6 版本推出了 ACL(Access Controller List)访问控制权限的功能,基于此功能,我们可以设置多个用户,并且给每个用户单独设置命令权限和数据权限。
安全acl 策略acl_使用ACL的ABC
cuyi7076的博客
06-24 1435
[编者注:多年来,对访问控制列表(ACL)的记录已久。 但是,由于ACL影响了如此众多的Notes活动,因此本文解释了ACL为何“演变为”现在的形式。 通过了解其不同组件之间的交互方式,您可以利用ACL来满足安全性和应用程序开发要求。] Notes访问控制列表(ACL)是Domino内核体系结构的高度集成的组件。 从一开始就出现在Notes中,其设计经受了时间和使用的考验。 (有关Note...
Linux之用户和组的权限管理(acl策略,安全)
weixin_43800781的博客
03-02 1250
Linux是多用户多任务的操作系统,支持创建多个用户,和我们个人经常用的windows是一样的,创建的每个用户可以有不同的操作权限。大致上Linux可以分为两种用户,超级用户和普通用户,超级为root,具有所有的权限,是整个系统的king,其他用户的权限可以由root用户赋予!不同的用户也属于不同的组(每个用户创建的时候会自动生成基本组),不过linux把组分为基本组和从属组。 基本信息 ...
基于ENSP模式-高级ACL实验
weixin_45181514的博客
06-17 1295
1、实验需求 (1)销售部仅仅能访问Server1上的WEB服务,不能访问其他服务 (2)销售部可以访问行政部的所有设备任何服务 (3)除了上述权限外,销售部不能访问网络中的其他任何主机 2、实验分析 (1)不同部门之间存在特定业务流量控制,所以用高级ACL (2)高级ACL可以精确区分流量,尽量在距离源设备近的地方
防火墙的配置和策略
qq_64441401的博客
11-06 1337
对进出网络或者主机的数据包基于一定规则的检查,而且在匹配到某规则时,规则的定义做出相应的处理动作。只有运行策略的数据包,才能够通过。filter表:是iptables的默认表,用于过滤数据包,可以控制数据包的进出,以及任何时候接受或者拒绝数据包。自上向下,按顺序依次进行检查,找到匹配的规则立刻停止,如果在链中找不到规则,则会按照该链的默认策略处理。1、如果策略已保存过,写在配置文件中的,保存,导入到iptables,重启服务器即可。防水墙:ensp,不透明的工作方式,你干什么都有记录,但是你自己不知道。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值