防火墙安全策略部署实验

防火墙安全策略部署

一,拓扑图

二,需求分析

需求:
1、VLAN 2属于办公区;VLAN 3属于生产区
2、办公区PC在工作日时间(周一至周五,早8到晚6)可以正常访问OA Server,其他时间不允许
3、办公区PC可以在任意时刻访问Web Server
4、生产区PC可以在任意时刻访问OA Server,但是不能访问Web Server
5、特例:生产区PC3可以在每周一早10到早11访问Web Server,用来更新企业最新产品信息

分析:

区域划分

  • Trust区域:包括办公区和生产区,办公区和生产区通过VLAN进行隔离。

  • DMZ区域:包含OA Server和Web Server,用于处理不受信任的外部访问。

访问需求

  1. 办公区PC(IP范围:192.168.1.0/25)在工作日(周一至周五,早8点至晚6点)可以访问OA Server(IP地址:10.0.0.1),其他时间不允许访问。

  2. 办公区PC可以在任何时间访问Web Server(IP地址:10.0.0.2)。

  3. 生产区PC(IP范围:192.168.1.128/25)可以在任何时间访问OA Server,但不能访问Web Server。

  4. 生产区PC3(IP地址:192.168.1.130)可以在每周一早上10点到11点访问Web Server,用于更新企业最新产品信息。

三,详细设计

换机配置

  • 交换机LSW1:用于连接办公区和生产区,通过VLAN进行流量隔离。

    • 创建VLAN 2和VLAN 3。

    • 配置端口以允许VLAN 2和VLAN 3的流量通过。

  • 交换机LSW2:用于连接服务器,所有服务器设备部署在同一个VLAN中,不需要流量隔离。

防火墙配置

  • 防火墙FW:用于隔离Trust区域和DMZ区域,配置相应的安全策略以满足访问需求。

四,配置内容

交换机LSW1配置

[LSW1]vlan batch 2 to 3
[LSW1-GigabitEthernet0/0/2]port link-type access
[LSW1-GigabitEthernet0/0/2]port default vlan 2
[LSW1-GigabitEthernet0/0/3]port link-type access
[LSW1-GigabitEthernet0/0/3]port default vlan 3
[LSW1-GigabitEthernet0/0/4]port link-type access
[LSW1-GigabitEthernet0/0/4]port default vlan 3
[LSW1-GigabitEthernet0/0/1]port link-type trunk
[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3

防火墙FW配置

[FW]ip address-set BG
[FW-object-address-set-BG]address 192.168.1.0 mask 255.255.255.128
[FW]ip address-set OA-Server
[FW-object-address-set-OA-Server]address 10.0.0.1 mask 255.255.255.255
[FW]ip address-set Web-Server
[FW-object-address-set-Web-Server]address 10.0.0.2 mask 255.255.255.255
[FW]ip address-set CS
[FW-object-address-set-CS]address 192.168.1.128 mask 255.255.255.128
[FW]time-range working-time
[FW-time-range-working-time]period-range 08:00:00 to 18:00:00 working-day
[FW]security-policy
[FW-policy-security]rule name policy_1
[FW-policy-security-rule-policy_1]description BG_to_OA
[FW-policy-security-rule-policy_1]source-zone trust
[FW-policy-security-rule-policy_1]destination-zone dmz
[FW-policy-security-rule-policy_1]source-address address-set BG
[FW-policy-security-rule-policy_1]destination-address address-set OA-Server
[FW-policy-security-rule-policy_1]time-range working-time
[FW-policy-security-rule-policy_1]action permit
[FW-policy-security]rule name policy_2
[FW-policy-security-rule-policy_2]description BG_to_Web
[FW-policy-security-rule-policy_2]source-zone trust
[FW-policy-security-rule-policy_2]destination-zone dmz
[FW-policy-security-rule-policy_2]source-address address-set BG
[FW-policy-security-rule-policy_2]destination-address address-set Web-Server
[FW-policy-security-rule-policy_2]action permit
[FW-policy-security]rule name policy_3
[FW-policy-security-rule-policy_3]description CS_to_OA
[FW-policy-security-rule-policy_3]source-zone trust
[FW-policy-security-rule-policy_3]destination-zone dmz
[FW-policy-security-rule-policy_3]source-address address-set CS
[FW-policy-security-rule-policy_3]destination-address address-set OA-Server
[FW-policy-security-rule-policy_3]action permit
[FW-policy-security]rule name policy_4
[FW-policy-security-rule-policy_4]description PC3_to_Web
[FW-policy-security-rule-policy_4]source-zone trust
[FW-policy-security-rule-policy_4]destination-zone dmz
[FW-policy-security-rule-policy_4]source-address 192.168.1.128 mask 255.255.255.128
[FW-policy-security-rule-policy_4]destination-address address-set Web-Server
[FW-policy-security-rule-policy_4]time-range update
[FW-policy-security-rule-policy_4]action permit

在Web上配置:

添加源区域和目的区域

安全策略

五,测试

  1. PC1与OA Server和Web Server的通讯测试

    • 办公区PC可以正常访问OA Server和Web Server,符合安全策略。

  1. PC2与OA Server的通讯测试

    • 生产区PC可以在任意时间访问OA Server,符合安全策略。

  1. PC3与Web Server的通讯测试

    • 在非更新时间范围内,PC3无法访问Web Server,符合安全策略。

### ENSP防火墙安全策略配置 在ENSP环境中,可以通过命令行完成防火墙安全策略配置。以下是具体的配置方法及相关命令: #### 查看当前防火墙策略 为了了解现有的防火墙规则,可以使用以下命令来显示所有已定义的iptables规则集: ```bash iptables -L ``` 此命令能够帮助管理员确认当前生效的规则列表[^2]。 #### 清除已有规则 如果需要清空所有的现存规则以便重新设置新的规则,则可执行下面这条指令: ```bash iptables -F ``` 这一步骤对于初始化环境或者排除冲突性的旧有条目非常有用。 #### 设置基本访问控制规则 ##### 允许SSH连接 确保远程管理服务正常运行至关重要,因此通常会优先开放SSH端口(默认为22)。对应的添加允许规则操作如下所示: ```bash iptables -A INPUT -p tcp --dport 22 -j ACCEPT ``` ##### 拒绝未知来源的数据包进入服务器 除了明确指定放行的服务之外,默认情况下应该拒绝任何未被特别许可类型的通信请求。实现这一目标可通过增加一条DROP动作记录达成目的: ```bash iptables -A INPUT -m state --state NEW,INVALID -j DROP ``` 以上两条语句共同构成了一个简单却有效的防护框架基础结构。 #### 主备模式下的HRP协议启用 当涉及到高可用性场景时,在两台设备间建立心跳机制并保持状态一致性显得尤为重要。这里给出基于华为技术标准下如何激活HRP功能的例子: **主节点(FW1):** ```bash sys hrp enable hrp interface GigabitEthernet1/0/6 remote 172.16.1.253 ``` **备用节点(FW2):** ```bash sys hrp enable hrp standby-device hrp interface GigabitEthernet1/0/6 remote 172.16.1.254 ``` 上述配置实现了双机热备份的功能需求[^3]。 #### 注意事项 - 在实际部署前,请务必测试每项新增加的过滤条件是否符合预期效果。 - 对于复杂的业务逻辑可能还需要考虑更多维度的因素比如时间范围、源地址组等等。 - 如果是在虚拟化平台上做实验记得按照官方文档准备必要的依赖组件如WinPCap等工具[^4]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值