防火墙安全策略部署实验

最新推荐文章于 2025-04-12 20:21:54 发布
原创 最新推荐文章于 2025-04-12 20:21:54 发布 · 1.1k 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络

防火墙安全策略部署

一,拓扑图

二,需求分析

需求:
1、VLAN 2属于办公区;VLAN 3属于生产区
2、办公区PC在工作日时间(周一至周五,早8到晚6)可以正常访问OA Server,其他时间不允许
3、办公区PC可以在任意时刻访问Web Server
4、生产区PC可以在任意时刻访问OA Server,但是不能访问Web Server
5、特例:生产区PC3可以在每周一早10到早11访问Web Server,用来更新企业最新产品信息

分析:

区域划分

  • Trust区域:包括办公区和生产区,办公区和生产区通过VLAN进行隔离。

  • DMZ区域:包含OA Server和Web Server,用于处理不受信任的外部访问。

访问需求

  1. 办公区PC(IP范围:192.168.1.0/25)在工作日(周一至周五,早8点至晚6点)可以访问OA Server(IP地址:10.0.0.1),其他时间不允许访问。

  2. 办公区PC可以在任何时间访问Web Server(IP地址:10.0.0.2)。

  3. 生产区PC(IP范围:192.168.1.128/25)可以在任何时间访问OA Server,但不能访问Web Server。

  4. 生产区PC3(IP地址:192.168.1.130)可以在每周一早上10点到11点访问Web Server,用于更新企业最新产品信息。

三,详细设计

换机配置

  • 交换机LSW1:用于连接办公区和生产区,通过VLAN进行流量隔离。

    • 创建VLAN 2和VLAN 3。

    • 配置端口以允许VLAN 2和VLAN 3的流量通过。

  • 交换机LSW2:用于连接服务器,所有服务器设备部署在同一个VLAN中,不需要流量隔离。

防火墙配置

  • 防火墙FW:用于隔离Trust区域和DMZ区域,配置相应的安全策略以满足访问需求。

四,配置内容

交换机LSW1配置

[LSW1]vlan batch 2 to 3
[LSW1-GigabitEthernet0/0/2]port link-type access
[LSW1-GigabitEthernet0/0/2]port default vlan 2
[LSW1-GigabitEthernet0/0/3]port link-type access
[LSW1-GigabitEthernet0/0/3]port default vlan 3
[LSW1-GigabitEthernet0/0/4]port link-type access
[LSW1-GigabitEthernet0/0/4]port default vlan 3
[LSW1-GigabitEthernet0/0/1]port link-type trunk
[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3

防火墙FW配置

[FW]ip address-set BG
[FW-object-address-set-BG]address 192.168.1.0 mask 255.255.255.128
[FW]ip address-set OA-Server
[FW-object-address-set-OA-Server]address 10.0.0.1 mask 255.255.255.255
[FW]ip address-set Web-Server
[FW-object-address-set-Web-Server]address 10.0.0.2 mask 255.255.255.255
[FW]ip address-set CS
[FW-object-address-set-CS]address 192.168.1.128 mask 255.255.255.128
[FW]time-range working-time
[FW-time-range-working-time]period-range 08:00:00 to 18:00:00 working-day
[FW]security-policy
[FW-policy-security]rule name policy_1
[FW-policy-security-rule-policy_1]description BG_to_OA
[FW-policy-security-rule-policy_1]source-zone trust
[FW-policy-security-rule-policy_1]destination-zone dmz
[FW-policy-security-rule-policy_1]source-address address-set BG
[FW-policy-security-rule-policy_1]destination-address address-set OA-Server
[FW-policy-security-rule-policy_1]time-range working-time
[FW-policy-security-rule-policy_1]action permit
[FW-policy-security]rule name policy_2
[FW-policy-security-rule-policy_2]description BG_to_Web
[FW-policy-security-rule-policy_2]source-zone trust
[FW-policy-security-rule-policy_2]destination-zone dmz
[FW-policy-security-rule-policy_2]source-address address-set BG
[FW-policy-security-rule-policy_2]destination-address address-set Web-Server
[FW-policy-security-rule-policy_2]action permit
[FW-policy-security]rule name policy_3
[FW-policy-security-rule-policy_3]description CS_to_OA
[FW-policy-security-rule-policy_3]source-zone trust
[FW-policy-security-rule-policy_3]destination-zone dmz
[FW-policy-security-rule-policy_3]source-address address-set CS
[FW-policy-security-rule-policy_3]destination-address address-set OA-Server
[FW-policy-security-rule-policy_3]action permit
[FW-policy-security]rule name policy_4
[FW-policy-security-rule-policy_4]description PC3_to_Web
[FW-policy-security-rule-policy_4]source-zone trust
[FW-policy-security-rule-policy_4]destination-zone dmz
[FW-policy-security-rule-policy_4]source-address 192.168.1.128 mask 255.255.255.128
[FW-policy-security-rule-policy_4]destination-address address-set Web-Server
[FW-policy-security-rule-policy_4]time-range update
[FW-policy-security-rule-policy_4]action permit

在Web上配置:

添加源区域和目的区域

安全策略

五,测试

  1. PC1与OA Server和Web Server的通讯测试

    • 办公区PC可以正常访问OA Server和Web Server,符合安全策略。

  1. PC2与OA Server的通讯测试

    • 生产区PC可以在任意时间访问OA Server,符合安全策略。

  1. PC3与Web Server的通讯测试

    • 在非更新时间范围内,PC3无法访问Web Server,符合安全策略。

29、思科安全防火墙文件策略部署与验证指南
net55的博客
08-21 94
本文详细介绍了如何在思科安全防火墙部署和验证文件策略,包括创建访问控制规则、启用日志记录、查看文件事件和恶意软件事件等步骤。同时,分析了管理中心与云通信时可能出现的问题及解决方法,并提供了文件策略部署的注意事项、常见问题解答以及最佳实践建议。通过本文,读者可以全面了解文件策略的配置流程及其在网络安全防护中的重要作用。
防火墙安全策略
ChenD的学习笔记
11-16 3549
防火墙安全策略、会话表、首包流程、UDP、安全策略配置、转发原理
八、传输层
无他,惟手熟尔
10-14 585
传输层 设备:防火墙 作用:网络隔离(区域隔离) 防火墙基本概念 防火墙的定义--一款具备安全防护功能网络设备 隔离网络:将需要保护的网络与不可信任网络进行隔离;隐藏信息并进行安全防护 防火墙基本功能 访问控制 攻击防护(三层、四层居多) 冗余设计 路由、交换 日志记录 虚拟专网VPN NAT 区域隔离 防火墙区域概念: 内部区域(Inside/trust) DMZ区域(服务器区):称为“隔离区”,也称
防火墙-安全策略配置2.0》
weixin_52439435的博客
05-24 2489
防火墙-安全策略配置2.0》
防御保护实验五:防火墙带宽管理
nuli_student的博客
03-07 1055
动态均分功能:在配置了整体最大带宽的前提下,FW根据在线IP/用户的个数和带宽使用率,动态 的对每一个IP/用户能够使用的最大带宽进行平均分配。[FW-policy-traffic-rule-01]action qos profile 01 ---动作为限流,且调用带宽通道。[FW-policy-traffic]profile 01 ---创建一个带宽通道,名称为01。[FW]traffic-policy ---进入带宽策略配置视图。[FW]traffic-policy ---进入带宽策略配置视图。
eNSP防火墙安全策略用户认证综合实验
m0_67441173的博客
07-10 1761
实验要求: 1、DMZ区内的服务器,生产区仅能在办公时间内(9:00-18:00)可以访问,办公区的设备全天可以访问 2、生产区不允许访问互联网,办公区和游客区允许访问互联网 3、办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10 4、办公区分为市场部和研发部,研发部ip地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定ip地址,访问DMZ区使用免认证。 游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密
ensp——防火墙安全策略配置实验
热门推荐
ChenD的学习笔记
11-08 2万+
ensp——防火墙配置初体验
eNSP实验——防火墙配置(Zone 区域配置 + 安全策略配置)
记录
04-03 1万+
防火墙(Firewall)是一种网络安全设备(硬件或软件),用于监控和控制进出网络的流量,基于预定义的安全规则允许或阻止数据包的传输。其主要目的是在可信网络(内网)和不可信网络(外网)之间建立安全屏障,防止未授权访问、恶意攻击和数据泄露。防火墙既可以是二层设备,也可以是三层设备,具体取决于其工作模式和部署场景。特性三层防火墙二层防火墙工作层级网络层(Layer 3)数据链路层(Layer 2)IP地址需求需要配置IP地址和路由无需IP地址,透明转发部署影响需调整路由表对网络拓扑无影响过滤依据。
防火墙的工作原理与布置.ppt
08-26
防火墙的基本工作原理以及拓扑分部位置。防火墙的基本工作原理以及拓扑分部位置。防火墙的基本工作原理以及拓扑分部位置。
第29节 防火墙部署实验(IP、策略、NAT、HA)——基于topgate防火墙的网页部署方法
Fighting_hawk的博客
01-13 4657
1. 加深理解防火墙的工作原理和过程。 2. 理解HA的工作原理。 3. 掌握防火墙的配置顺序及方法。
防火墙拓扑
weixin_72593821的博客
02-19 691
为了分公司设备访问DMZ的http服务器可以做服务器映射,把http服务器的10.0.3.10:80映射到12.0.0.3:80上面,分公司直接访问12.0.0.3就可以访问到http服务器。5,办公区上网用户限制流量不超过60M,其中销售部人员在其基础上限制流量不超过30M,且销售部一共10人,每人限制流量不超过3M。2.分公司设备可以通过总公司的移动链路和电信链路访问到DMZ区的http服务器。分公司内部的设备要访问分公司的http服务器就要做双向NAT。这样分公司的设备就可以访问到1.1.1.1了。
防火墙的配置与应用
斌擎科技
12-03 2191
打开本机浏览器,在地址栏输入:https://192.168.1.200,忽略浏览器的证书安全提示,则出现如图9-13所示登录界面,输入管理员用户名和密码,则进入防火墙主界面,如图9-14所示。例如:配置静态地址转换,选择网络管理>NAT>NAT规则>静态地址转换,点击新建,输入外网地址:211.69.232.1,内网地址:172.16.11.2,如图9-20所示。① 源地址转换:是在离开接口时进行转换的,是一种单向的针对源地址的映射,主要用于内网访问外网,减少公有地址的数目,隐藏内部地址。
防火墙防火墙部署介绍
最新发布
ruanjunlove的博客
04-12 533
总结,一般公司推荐网桥(透明桥)或者网关(路由)部署,经费充足,对网络稳定性要求很高的公司推荐双击设备部署,对不想修改网架构配置的公司,则推荐旁路模式。第二代防火墙设备部署在,网关(路由器)与核心交换机之间,以透明/网桥方式接入网络。该模式只支持流量分析、web防护分析、入侵监测分析,其他功能无法使用。,适用于经费充足,对网络稳定性要求高的公司。旁路模式:第二代防火墙旁路式接入网络。一台设备宕机,实时切换到另一台设备。相比于网关模式,需多购买网关路由。:第二代防火墙部署网络出口。无需修改网络架构配置。
搭建防火墙服务
langyaxiaoxiao的专栏
07-01 113
搭建网络防火墙 防火墙的IP充当网关,对两边主机相互发送的数据包进行检查 1 两边的主机都必须要配置 2 主机1配置路由: 3 route add -net 192.168.145.0/24 gw 192.168.33.129 4 route del -net 192.168.33.0/24 5 inet 192.168.33.1...
华为防火墙 拓扑搭建1
Sesessep的博客
07-09 532
新建自定义管理员。
防火墙路由模式简易拓扑
01-22 956
防火墙路由模式简易拓扑
防火墙综合拓扑(NAT、双机热备)
01-30 1891
防火墙综合拓扑(NAT、双机热备)
网络安全与防火墙实验详解
而“防火墙”作为实现网络安全的第一道防线,其作用在于监控并控制进出网络的数据流,依据预设的安全策略决定是否允许数据包通过。实验篇强调的是“实验”,说明该资料并非纯理论讲解,而是以动手操作为核心,引导...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值