防火墙安全策略部署实验

最新推荐文章于 2025-04-12 20:21:54 发布
原创 最新推荐文章于 2025-04-12 20:21:54 发布 · 1k 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络

防火墙安全策略部署

一,拓扑图

二,需求分析

需求:
1、VLAN 2属于办公区;VLAN 3属于生产区
2、办公区PC在工作日时间(周一至周五,早8到晚6)可以正常访问OA Server,其他时间不允许
3、办公区PC可以在任意时刻访问Web Server
4、生产区PC可以在任意时刻访问OA Server,但是不能访问Web Server
5、特例:生产区PC3可以在每周一早10到早11访问Web Server,用来更新企业最新产品信息

分析:

区域划分

  • Trust区域:包括办公区和生产区,办公区和生产区通过VLAN进行隔离。

  • DMZ区域:包含OA Server和Web Server,用于处理不受信任的外部访问。

访问需求

  1. 办公区PC(IP范围:192.168.1.0/25)在工作日(周一至周五,早8点至晚6点)可以访问OA Server(IP地址:10.0.0.1),其他时间不允许访问。

  2. 办公区PC可以在任何时间访问Web Server(IP地址:10.0.0.2)。

  3. 生产区PC(IP范围:192.168.1.128/25)可以在任何时间访问OA Server,但不能访问Web Server。

  4. 生产区PC3(IP地址:192.168.1.130)可以在每周一早上10点到11点访问Web Server,用于更新企业最新产品信息。

三,详细设计

换机配置

  • 交换机LSW1:用于连接办公区和生产区,通过VLAN进行流量隔离。

    • 创建VLAN 2和VLAN 3。

    • 配置端口以允许VLAN 2和VLAN 3的流量通过。

  • 交换机LSW2:用于连接服务器,所有服务器设备部署在同一个VLAN中,不需要流量隔离。

防火墙配置

  • 防火墙FW:用于隔离Trust区域和DMZ区域,配置相应的安全策略以满足访问需求。

四,配置内容

交换机LSW1配置

[LSW1]vlan batch 2 to 3
[LSW1-GigabitEthernet0/0/2]port link-type access
[LSW1-GigabitEthernet0/0/2]port default vlan 2
[LSW1-GigabitEthernet0/0/3]port link-type access
[LSW1-GigabitEthernet0/0/3]port default vlan 3
[LSW1-GigabitEthernet0/0/4]port link-type access
[LSW1-GigabitEthernet0/0/4]port default vlan 3
[LSW1-GigabitEthernet0/0/1]port link-type trunk
[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3

防火墙FW配置

[FW]ip address-set BG
[FW-object-address-set-BG]address 192.168.1.0 mask 255.255.255.128
[FW]ip address-set OA-Server
[FW-object-address-set-OA-Server]address 10.0.0.1 mask 255.255.255.255
[FW]ip address-set Web-Server
[FW-object-address-set-Web-Server]address 10.0.0.2 mask 255.255.255.255
[FW]ip address-set CS
[FW-object-address-set-CS]address 192.168.1.128 mask 255.255.255.128
[FW]time-range working-time
[FW-time-range-working-time]period-range 08:00:00 to 18:00:00 working-day
[FW]security-policy
[FW-policy-security]rule name policy_1
[FW-policy-security-rule-policy_1]description BG_to_OA
[FW-policy-security-rule-policy_1]source-zone trust
[FW-policy-security-rule-policy_1]destination-zone dmz
[FW-policy-security-rule-policy_1]source-address address-set BG
[FW-policy-security-rule-policy_1]destination-address address-set OA-Server
[FW-policy-security-rule-policy_1]time-range working-time
[FW-policy-security-rule-policy_1]action permit
[FW-policy-security]rule name policy_2
[FW-policy-security-rule-policy_2]description BG_to_Web
[FW-policy-security-rule-policy_2]source-zone trust
[FW-policy-security-rule-policy_2]destination-zone dmz
[FW-policy-security-rule-policy_2]source-address address-set BG
[FW-policy-security-rule-policy_2]destination-address address-set Web-Server
[FW-policy-security-rule-policy_2]action permit
[FW-policy-security]rule name policy_3
[FW-policy-security-rule-policy_3]description CS_to_OA
[FW-policy-security-rule-policy_3]source-zone trust
[FW-policy-security-rule-policy_3]destination-zone dmz
[FW-policy-security-rule-policy_3]source-address address-set CS
[FW-policy-security-rule-policy_3]destination-address address-set OA-Server
[FW-policy-security-rule-policy_3]action permit
[FW-policy-security]rule name policy_4
[FW-policy-security-rule-policy_4]description PC3_to_Web
[FW-policy-security-rule-policy_4]source-zone trust
[FW-policy-security-rule-policy_4]destination-zone dmz
[FW-policy-security-rule-policy_4]source-address 192.168.1.128 mask 255.255.255.128
[FW-policy-security-rule-policy_4]destination-address address-set Web-Server
[FW-policy-security-rule-policy_4]time-range update
[FW-policy-security-rule-policy_4]action permit

在Web上配置:

添加源区域和目的区域

安全策略

五,测试

  1. PC1与OA Server和Web Server的通讯测试

    • 办公区PC可以正常访问OA Server和Web Server,符合安全策略。

  1. PC2与OA Server的通讯测试

    • 生产区PC可以在任意时间访问OA Server,符合安全策略。

  1. PC3与Web Server的通讯测试

    • 在非更新时间范围内,PC3无法访问Web Server,符合安全策略。

10、网络安全与防火墙设计
pink7的博客
06-12 11
本文详细探讨了网络安全规划的重要性,包括风险评估、安全策略制定以及防火墙配置方法。同时,深入介绍了Windows和Cisco PIX防火墙的配置步骤,网络地址设计(如RFC 1918),以及高级安全措施如IPSec、IDS和IPS的部署。结合实际案例分析,文章还提供了具体的配置细节和技术实现,并强调了日志审计与安全管理对企业网络安全建设的关键作用。
防火墙-安全策略配置2.0》
weixin_52439435的博客
05-24 2328
防火墙-安全策略配置2.0》
防御防火墙之综合拓扑的搭建
super_tool_man的博客
01-25 669
一定要记得登录web端时在防火墙上进入 G 0/0/0接口并输入 service-manage all permit。现在就剩web端的操作了,首先我们需要知道,因为下面的vlan有两个但是,连接防火墙只有一个接口,因此。首先我们需要进入web端的防火墙---需要注意的是第二张网卡,要自己创立一张虚拟网卡,并且网段要与防火墙的网段一样,只有这样,我们才可以web端登陆。那我们首先将防火墙下面的办公区和生产区的电脑配置上ip。我们的目标是所有的分区的主机都可以通过防火墙。解决问题的第一步就是列出问题。
防火墙拓扑
weixin_72593821的博客
02-19 640
为了分公司设备访问DMZ的http服务器可以做服务器映射,把http服务器的10.0.3.10:80映射到12.0.0.3:80上面,分公司直接访问12.0.0.3就可以访问到http服务器。5,办公区上网用户限制流量不超过60M,其中销售部人员在其基础上限制流量不超过30M,且销售部一共10人,每人限制流量不超过3M。2.分公司设备可以通过总公司的移动链路和电信链路访问到DMZ区的http服务器。分公司内部的设备要访问分公司的http服务器就要做双向NAT。这样分公司的设备就可以访问到1.1.1.1了。
防火墙综合拓扑
网安小菜鸡的博客
02-18 650
销售部人员在其基础上限制流量不超过30M,且销售部一共10人,每人限制流量不超过3M。改电信和移动的接口带宽。办公区流量限制60M。
防火墙防火墙部署介绍
最新发布
ruanjunlove的博客
04-12 321
总结,一般公司推荐网桥(透明桥)或者网关(路由)部署,经费充足,对网络稳定性要求很高的公司推荐双击设备部署,对不想修改网架构配置的公司,则推荐旁路模式。第二代防火墙设备部署在,网关(路由器)与核心交换机之间,以透明/网桥方式接入网络。该模式只支持流量分析、web防护分析、入侵监测分析,其他功能无法使用。,适用于经费充足,对网络稳定性要求高的公司。旁路模式:第二代防火墙旁路式接入网络。一台设备宕机,实时切换到另一台设备。相比于网关模式,需多购买网关路由。:第二代防火墙部署网络出口。无需修改网络架构配置。
eNSP防火墙安全策略用户认证综合实验
m0_67441173的博客
07-10 1660
实验要求: 1、DMZ区内的服务器,生产区仅能在办公时间内(9:00-18:00)可以访问,办公区的设备全天可以访问 2、生产区不允许访问互联网,办公区和游客区允许访问互联网 3、办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10 4、办公区分为市场部和研发部,研发部ip地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定ip地址,访问DMZ区使用免认证。 游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密
防火墙安全策略
wangleihubin的博客
02-05 813
1.需要创建两个vlan,vlan 2 和 vlan 32.在ENSP中配置基于时间的ACL实现对于办公区PC访问OA Server的时间限制(工作日早8到晚6)。3.通过配置基于MAC地址的ACL来实现对于生产区PC访问Web Server的限制(除PC3外不能访问)。4.在三层交换机上配置不同VLAN的接口IP地址,并启用路由功能,以确保不同VLAN之间能够进行通信。同时,要为OA Server和Web Server配置相应的IP地址和网关,使它们能够在网络中被正确识别和访问。
ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略
热门推荐
JohnnyG2000的博客
05-18 1万+
防火墙综合实验一、实验要求1. 总部需要通过VPN与分支和合作伙伴进行通信2. 分支机构(Branch)员工使用NGFW接入总部。要求实现分支机构安全访问IPSec保护的总部内网服务器。3. 合作伙伴(Partner)使用NGFW接入总部。要求实训合作伙伴通过GRE隧道与总部进行通信。4. 所有的客户端可以通过公网IP地址来访问WEB服务器二、实验拓补三、实验配置1. 防火墙安全区域划分(包括Tunnel接口)2. 静态路由3. GRE配置4. IPSec VPN配置5. Easy-ip配置6. NAT S
设备安全——防火墙j基础策略实验【华为NSP】
Miracle_ze的博客
09-11 2827
在开启防火墙时,如果你是第一次打开它需要你输入原始账号【admin】与密码【Admin@123】、进入后要求你重新设置密码。使用浏览器登录防火墙,使用防火墙的g0/0/0端口的ip地址访问。新建一个区域为服务器区DMZ,优先级设置为55,并且选取一个接口放入。检测是否成功,在安全策略中允许动作,如此它就成为了路由器一样了。应用vlan1 是默认的,为此我们不能用vlan1。目前的配置,我们要补全R2与sw2的配置。,其他接口进行配置都是无法控制防火墙的。配置返回的路由信息,即回程路由。
防火墙路由模式简易拓扑
01-22 845
防火墙路由模式简易拓扑
防火墙安全策略部署
XDNJB的博客
01-30 535
防火墙FW:服务器与生产区和办公区受信任程度不同,办公区和生产区属于内部用户,受信任程度较高将其部署在trust区域,服务器受信任程度较低将其部署在dmz区域,然后根据需要配置对应安全策略。交换机LSW1:vlan隔离办公区和生产区流量,办公区部署在vlan2,生产区部署在vlan3,防火墙和交换机之间允许两个vlan流量通过。2、办公区PC在工作日时间(周一至周五,早八到晚六)可以正常访问OA server,其他时间不允许。允许办公区PC(VLAN 2)在工作日时间访问OA Server。
10张图片教会你配置华为防火墙上网,以及两地内网互通
m0_57121953的博客
12-11 8376
基本配置里面,名称随便写,无所谓;跨地区联网办公最经济实惠的方式,莫过于ipsec vpn,笔者此前也不止一次地写过ipsec vpn的配置方法,但是总有网友说太复杂了,今天我非要给各位看官来个简单版的教程,只用10张图片,就能展示华为防火墙配通外网,并且配通总部与分支机构的ipsec vpn。这条源NAT策略的意思是,从总部内网访问分支的内网,不做地址转换,如果没有这个配置,那么默认为转换,那数据流量就走到公网出去了,而不会从ipsec隧道走,那当然不会有回包了,所以两端无法互访。
防火墙与入侵】GNS3 搭建简单网络拓扑环境
4ut15m's blog
03-27 1895
序 PC1与PC2是gns3的vpc(linux版本有,windows版本好像没有),Cloud1是虚拟机 网络拓扑 目的网络拓扑,涂黑的地方是我的个人信息(这图是我从我报告里拿来的) 设备配置 设备 接口 ip地址 R1 f0/0 14.0.1.1 R1 f1/0 141.0.1.1 R2 f0/0 141.0.1.2 ...
防火墙综合拓扑(NAT、双机热备)
01-30 1789
防火墙综合拓扑(NAT、双机热备)
安全防御——二、ENSP防火墙实验学习
钟言的博客
11-04 1万+
本篇为安全防御——二、防火墙的基本概念以及配置,Web界面的配置,使用,详细内容包含了:防火墙接口以及模式配置 1、untrust区域 2、trust区域 3、DMZ区域 4、接口对演示 防火墙的策略 1、定义与原理 2、防火墙策略配置 2.1 安全策略工作流程 2.2 查询和创建会话3.实验策略配置 3.1 trust-to-untrust 3.2 trust-to-dmz 3.3 untrust-to-dmz 、防火墙的区域等等
简单配置基于OSPF、ASA防火墙网络拓扑
weixin_33774615的博客
05-17 1073
今天简单来配置一个防火墙三项外围网网络拓扑图,基于OSPF推荐步骤:*** R1和R2配置OSPF宣告指定的OSPF区域 R2和R3配置OSPF宣告指定的OSPF区域 R3和R4配置OSPF宣告的指定的区域 R4和PC1、DMZ区域的服务器通信使用默认路由 ASA访问访问OSPF内部网络配置默认路由 R4配置路由重分发全网互通 DMZ服务器模拟web和telnet将服务器发布到Outside指定...
防火墙配置(CiscoPT&GNS3)
dianming5836的博客
04-29 1368
第一部分:扩展ACL 拓扑图 地址表 Device Interface IP address R1 F 0/0 172.16.19.1 F 0/1 10.3.19.1 S 0/0/1 10.1.19.1 R2 S 0/0/...
ensp防火墙安全策略命令行
03-31
### ENSP防火墙安全策略配置 在ENSP环境中,可以通过命令行完成防火墙安全策略配置。以下是具体的配置方法及相关命令: #### 查看当前防火墙策略 为了了解现有的防火墙规则,可以使用以下命令来显示所有已定义的iptables规则集: ```bash iptables -L ``` 此命令能够帮助管理员确认当前生效的规则列表[^2]。 #### 清除已有规则 如果需要清空所有的现存规则以便重新设置新的规则,则可执行下面这条指令: ```bash iptables -F ``` 这一步骤对于初始化环境或者排除冲突性的旧有条目非常有用。 #### 设置基本访问控制规则 ##### 允许SSH连接 确保远程管理服务正常运行至关重要,因此通常会优先开放SSH端口(默认为22)。对应的添加允许规则操作如下所示: ```bash iptables -A INPUT -p tcp --dport 22 -j ACCEPT ``` ##### 拒绝未知来源的数据包进入服务器 除了明确指定放行的服务之外,默认情况下应该拒绝任何未被特别许可类型的通信请求。实现这一目标可通过增加一条DROP动作记录达成目的: ```bash iptables -A INPUT -m state --state NEW,INVALID -j DROP ``` 以上两条语句共同构成了一个简单却有效的防护框架基础结构。 #### 主备模式下的HRP协议启用 当涉及到高可用性场景时,在两台设备间建立心跳机制并保持状态一致性显得尤为重要。这里给出基于华为技术标准下如何激活HRP功能的例子: **主节点(FW1):** ```bash sys hrp enable hrp interface GigabitEthernet1/0/6 remote 172.16.1.253 ``` **备用节点(FW2):** ```bash sys hrp enable hrp standby-device hrp interface GigabitEthernet1/0/6 remote 172.16.1.254 ``` 上述配置实现了双机热备份的功能需求[^3]。 #### 注意事项 - 在实际部署前,请务必测试每项新增加的过滤条件是否符合预期效果。 - 对于复杂的业务逻辑可能还需要考虑更多维度的因素比如时间范围、源地址组等等。 - 如果是在虚拟化平台上做实验记得按照官方文档准备必要的依赖组件如WinPCap等工具[^4]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值