防火墙安全策略实验报告

于 2025-02-05 16:34:59 发布
阅读量335 收藏 5
点赞数 4
文章标签: 服务器 linux 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_74120587/article/details/145454293
版权

实验拓扑及需求

需求:
1、VLAN 2 属于办公区 ;VLAN 3 属于生产区;
2、办公区PC在工作日时间(周一至周五,早八到晚六)可以正常访问 OA Server,其他时间不允许;
3、办公区PC可以在任何时刻访问Web Server;
4、生产区PC可以在任何时刻访问OA Server,但是不能访问Web Server;
5、特例:生产区PC3可以在每周一早十到早十一访问Web Server,用来更新企业最新产品信息。

需求分析

1. 区域划分:明确将网络划分为办公区(VLAN 2)和生产区(VLAN 3),并根据设备功能和安全需求划分Trust区域和DMZ区域,便于后续的访问控制策略制定。

2. 时间限制访问:对于办公区PC访问OA Server,需要设置时间策略,仅在工作日的特定时间段内允许访问。可以利用防火墙的时间策略功能,设定时间范围。

3. 常规访问控制:办公区PC对Web Server的访问不受时间限制,而生产区PC对Web Server的访问除了PC3在特定时间外均被禁止,对OA Server的访问则不受限制。需要在防火墙上配置不同的安全策略规则来实现这些访问控制。

4. 特例处理:对于生产区PC3的特殊访问需求,单独设置一条基于时间和源目地址的访问策略。

实验配置

路由器配置 


[sw1]vlan batch 2 3
 
[sw1]interface GigabitEthernet 0/0/1
 
[sw1-GigabitEthernet0/0/1]port link-type trunk
 
[sw1-GigabitEthernet0/0/1]port trunk allow-pass vlan all
 
[sw1-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2
 
[sw1-GigabitEthernet0/0/2]port link-type access
 
[sw1-GigabitEthernet0/0/2]port default vlan 2
 
[sw1-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/3
 
[sw1-GigabitEthernet0/0/3]port link-type access
 
[sw1-GigabitEthernet0/0/3]port default vlan 3
 
[sw1-GigabitEthernet0/0/3]interface GigabitEthernet 0/0/4
 
[sw1-GigabitEthernet0/0/4]port link-type access
 
[sw1-GigabitEthernet0/0/4]port default vlan 3

Web配置

安全策略

1、办公区PC在工作日时间(周一至周五,早八到晚六)可以正常访问 OA Server,其他时间不允许;

 2、办公区PC可以在任何时刻访问Web Server;

3、生产区PC可以在任何时刻访问OA Server,但是不能访问Web Server;


4、特例:生产区PC3可以在每周一早十到早十一访问Web Server,用来更新企业最新产品信息。

eNSP配置

接口配置

[FW]interface GigabitEthernet 1/0/0
 
[FW-GigabitEthernet1/0/0]ip address 10.0.0.254 24
 
 
 
[FW]interface GigabitEthernet 1/0/1.1
 
[FW-GigabitEthernet1/0/1.1]ip address 192.168.1.126 25
 
[FW-GigabitEthernet1/0/1.1]vlan-type dot1q 2
 
 
 
[FW-GigabitEthernet1/0/1.1]interface GigabitEthernet 1/0/1.2
 
[FW-GigabitEthernet1/0/1.2]ip address 192.168.1.254 25
 
[FW-GigabitEthernet1/0/1.2]vlan-type dot1q 3

划分区域

[FW]firewall zone dmz
 
[FW-zone-dmz]add interface GigabitEthernet 1/0/0
 
 
 
[FW]firewall zone trust
 
[FW-zone-trust]add interface GigabitEthernet 1/0/1.1
 
[FW-zone-trust]add interface GigabitEthernet 1/0/1.2

地址集

BG
[FW]ip address-set bg -----创建地址集--名字
 
[FW-object-address-set-bg]address 192.168.1.0 mask 25----地址ip或网段

OA Server
[FW]ip address-set oa
 
[FW-object-address-set-oa]address 10.0.0.1 mask 32

Web Server
[FW]ip address-set web
 
[FW-object-address-set-web]address 10.0.0.2 mask 32
 
SC
[FW]ip address-set sc
 
[FW-object-address-set-sc]address 192.168.1.128 mask 25

1、办公区PC在工作日时间(周一至周五,早八到晚六)可以正常访问 OA Server,其他时间不允许;

[FW]time-range work------创建时间段
 
[FW-time-range-work]period-range 08:00:00 to 18:00:00 working-day ------设置时间段的时间
 
( working-day 星期1-5)

[FW]security-policy----进入策略
 
[FW-policy-security]rule name polic1-----策略名字
 
[FW-policy-security-rule-polic1]description bg_to_oa----策略描述
 
[FW-policy-security-rule-polic1]source-zone trust--源区域 
 
[FW-policy-security-rule-polic1]destination-zone dmz --目的区域
 
[FW-policy-security-rule-polic1]source-address address-set bg---源地址
 
[FW-policy-security-rule-polic1]destination-address address-set oa --目的地址
 
[FW-policy-security-rule-polic1]time-range work--时间段
 
[FW-policy-security-rule-polic1]action permit -----策略动作--允许

2、办公区PC可以在任何时刻访问Web Server;

[FW]security-policy
 
[FW-policy-security]rule name polic2
 
[FW-policy-security-rule-polic2]description bg_to_web
 
[FW-policy-security-rule-polic2]source-zone trust
 
[FW-policy-security-rule-polic2]destination-zone dmz
 
[FW-policy-security-rule-polic2]source-address address-set bg
 
[FW-policy-security-rule-polic2]destination-address address-set web
 
[FW-policy-security-rule-polic2]action permit

3、生产区PC可以在任何时刻访问OA Server,但是不能访问Web Server;

[FW]security-policy
 
[FW-policy-security]rule name polic3
 
[FW-policy-security-rule-polic3]description sc_to_oa
 
[FW-policy-security-rule-polic3]source-zone trust
 
[FW-policy-security-rule-polic3]destination-zone dmz
 
[FW-policy-security-rule-polic3]source-address address-set sc(如果没写地址集sc可以直接写192.168.1.128 25)
 
[FW-policy-security-rule-polic3]destination-address address-set oa(如果没写oa直接写
 
10.0.0.1 32)
 
[FW-policy-security-rule-polic3]action permit

4、特例:生产区PC3可以在每周一早十到早十一访问Web Server,用来更新企业最新产品信息。

[FW]time-range update
 
[FW-time-range-update]period-range 10:00:00 to 11:00:00 Mon


[FW]security-policy
 
[FW-policy-security]rule name polic4
 
[FW-policy-security-rule-polic4]description sc_to_web
 
[FW-policy-security-rule-polic4]source-zone trust
 
[FW-policy-security-rule-polic4]destination-zone dmz
 
[FW-policy-security-rule-polic4]source-address address-set sc
 
[FW-policy-security-rule-polic4]destination-address address-set web
 
[FW-policy-security-rule-polic4]time-range update
 
[FW-policy-security-rule-polic4]action permit

测试

办公区PC正常访问 OA Server

将时间调整非工作日测试

办公区PC访问Web Server

生产区PC访问OA Server

生产区PC3可以在每周一早十到早十一访问Web Server

(未在规定时间访问失败)

将时间调整为规定时间访问成功

会话表

Server-Map表

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值