防火墙安全策略部署
一,拓扑图
二,需求分析
需求:
1、VLAN 2属于办公区;VLAN 3属于生产区
2、办公区PC在工作日时间(周一至周五,早8到晚6)可以正常访问OA Server,其他时间不允许
3、办公区PC可以在任意时刻访问Web Server
4、生产区PC可以在任意时刻访问OA Server,但是不能访问Web Server
5、特例:生产区PC3可以在每周一早10到早11访问Web Server,用来更新企业最新产品信息
分析:
区域划分
-
Trust区域:包括办公区和生产区,办公区和生产区通过VLAN进行隔离。
-
DMZ区域:包含OA Server和Web Server,用于处理不受信任的外部访问。
访问需求
-
办公区PC(IP范围:192.168.1.0/25)在工作日(周一至周五,早8点至晚6点)可以访问OA Server(IP地址:10.0.0.1),其他时间不允许访问。
-
办公区PC可以在任何时间访问Web Server(IP地址:10.0.0.2)。
-
生产区PC(IP范围:192.168.1.128/25)可以在任何时间访问OA Server,但不能访问Web Server。
-
生产区PC3(IP地址:192.168.1.130)可以在每周一早上10点到11点访问Web Server,用于更新企业最新产品信息。
三,详细设计
换机配置
-
交换机LSW1:用于连接办公区和生产区,通过VLAN进行流量隔离。
-
创建VLAN 2和VLAN 3。
-
配置端口以允许VLAN 2和VLAN 3的流量通过。
-
-
交换机LSW2:用于连接服务器,所有服务器设备部署在同一个VLAN中,不需要流量隔离。
防火墙配置
-
防火墙FW:用于隔离Trust区域和DMZ区域,配置相应的安全策略以满足访问需求。
四,配置内容
交换机LSW1配置
[LSW1]vlan batch 2 to 3
[LSW1-GigabitEthernet0/0/2]port link-type access
[LSW1-GigabitEthernet0/0/2]port default vlan 2
[LSW1-GigabitEthernet0/0/3]port link-type access
[LSW1-GigabitEthernet0/0/3]port default vlan 3
[LSW1-GigabitEthernet0/0/4]port link-type access
[LSW1-GigabitEthernet0/0/4]port default vlan 3
[LSW1-GigabitEthernet0/0/1]port link-type trunk
[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
防火墙FW配置
[FW]ip address-set BG
[FW-object-address-set-BG]address 192.168.1.0 mask 255.255.255.128
[FW]ip address-set OA-Server
[FW-object-address-set-OA-Server]address 10.0.0.1 mask 255.255.255.255
[FW]ip address-set Web-Server
[FW-object-address-set-Web-Server]address 10.0.0.2 mask 255.255.255.255
[FW]ip address-set CS
[FW-object-address-set-CS]address 192.168.1.128 mask 255.255.255.128
[FW]time-range working-time
[FW-time-range-working-time]period-range 08:00:00 to 18:00:00 working-day
[FW]security-policy
[FW-policy-security]rule name policy_1
[FW-policy-security-rule-policy_1]description BG_to_OA
[FW-policy-security-rule-policy_1]source-zone trust
[FW-policy-security-rule-policy_1]destination-zone dmz
[FW-policy-security-rule-policy_1]source-address address-set BG
[FW-policy-security-rule-policy_1]destination-address address-set OA-Server
[FW-policy-security-rule-policy_1]time-range working-time
[FW-policy-security-rule-policy_1]action permit
[FW-policy-security]rule name policy_2
[FW-policy-security-rule-policy_2]description BG_to_Web
[FW-policy-security-rule-policy_2]source-zone trust
[FW-policy-security-rule-policy_2]destination-zone dmz
[FW-policy-security-rule-policy_2]source-address address-set BG
[FW-policy-security-rule-policy_2]destination-address address-set Web-Server
[FW-policy-security-rule-policy_2]action permit
[FW-policy-security]rule name policy_3
[FW-policy-security-rule-policy_3]description CS_to_OA
[FW-policy-security-rule-policy_3]source-zone trust
[FW-policy-security-rule-policy_3]destination-zone dmz
[FW-policy-security-rule-policy_3]source-address address-set CS
[FW-policy-security-rule-policy_3]destination-address address-set OA-Server
[FW-policy-security-rule-policy_3]action permit
[FW-policy-security]rule name policy_4
[FW-policy-security-rule-policy_4]description PC3_to_Web
[FW-policy-security-rule-policy_4]source-zone trust
[FW-policy-security-rule-policy_4]destination-zone dmz
[FW-policy-security-rule-policy_4]source-address 192.168.1.128 mask 255.255.255.128
[FW-policy-security-rule-policy_4]destination-address address-set Web-Server
[FW-policy-security-rule-policy_4]time-range update
[FW-policy-security-rule-policy_4]action permit
在Web上配置:
添加源区域和目的区域
安全策略
五,测试
-
PC1与OA Server和Web Server的通讯测试
-
办公区PC可以正常访问OA Server和Web Server,符合安全策略。
-
-
PC2与OA Server的通讯测试
-
生产区PC可以在任意时间访问OA Server,符合安全策略。
-
-
PC3与Web Server的通讯测试
-
在非更新时间范围内,PC3无法访问Web Server,符合安全策略。
-