ENSP 安全策略配置

于 2025-01-21 20:00:05 发布
阅读量1.1k 收藏 18
点赞数 8
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wr200514/article/details/145288761
版权

一,需求:

1、VLAN 2属于办公区iVLAN 3属于生产区

2、办公区PC在工作日时间(周一至周五,早8到晚6)可以正常访问OA Server,其他时间不允许

3、办公区Pc可以在任意时刻访问Web Server

4、生产区Pc可以在任意时刻访问OA Server,但是不能访问Web Server

5、特例:生产区PC3可以在每周一早10到早11访问Web Server,用来更新企业最新产品信息

二,需求分析:

1.vlan2一个IPvlan3一个IP

2对于办公区PC访问OA Server的时间限制(工作日早8到晚6),需要在ENSP中配置基于时间的ACL(访问控制列表)。具体来说,要定义一个时间范围,允许在该时间范围内从VLAN 2到OA Server的访问,而在其他时间则禁止访问。

3.对于生产区PC访问Web Server的限制(除PC3外不能访问),可以通过配置基于MAC地址的ACL来实现。先允许所有生产区PC访问Web Server,然后针对生产区PC3配置特殊的时间策略,允许其在每周一早10到早11访问Web Server。

4.访问控制列表(ACL)配置

  • 办公区PC访问OA Server的ACL配置
    • 创建一个标准ACL,允许VLAN 2的主机访问OA Server的IP地址。
    • 再创建一个时间范围,定义工作日早8到晚6为允许访问的时间。
    • 将该ACL应用到连接办公区PC的接口上,并关联上述时间范围。
  • 生产区PC访问Web Server的ACL配置
    • 创建一个扩展ACL,禁止生产区VLAN 3的所有主机访问Web Server的IP地址。
    • 然后针对生产区PC3的MAC地址,创建一个允许访问Web Server的permit语句,并将其加入到上述ACL中。
    • 最后,将该ACL应用到连接生产区PC的接口上。

5.路由配置

在三层交换机上配置不同VLAN的接口IP地址,并启用路由功能,以确保不同VLAN之间能够进行通信。同时,要为OA Server和Web Server配置相应的IP地址和网关,使它们能够在网络中被正确识别和访问。

通过以上ENSP需求分析和相应配置,可以实现满足你所描述规则的网络环境,确保办公区和生产区的PC对OA Server和Web Server的访问符合要求。

三,配置详细

1.打开web界面配置

2.配ip

安全区域中查看

2.在策略中继续配置

1 、地址
[FW]ip address-set BG --- 创建地址集,名称为 BG
[FW-object-address-set-BG]address 192.168.1.0 mask 25 --- 创建地址内容
2 、时间段
[FW]time-range working-time --- 创建时间段名称
[FW-time-range-working-time]period-range 08:00:00 to 18:00:00 working-day
 
3 、创建安全策略
[FW1]security-policy --- 进入安全策略配置视图
[FW1-policy-security]rule name policy_1
[FW1-policy-security-rule-policy_1]description BG_to_OA 
[FW1-policy-security-rule-policy_1]source-zone trust
[FW1-policy-security-rule-policy_1]destination-zone dmz
[FW1-policy-security-rule-policy_1]source-address address-set BG
[FW1-policy-security-rule-policy_1]destination-address address-set "OA Server"
[FW1-policy-security-rule-policy_1]time-range working-time
[FW1-policy-security-rule-policy_1]action permit 
3.pc可以放你违背server
4.生产区Pc可以在任意时刻访问OA Server,但是不能访问Web Server
5.
wr200514
关注
eNSP防火墙安全策略实验
Zwb18590712636的博客
02-01 1421
【代码】eNSP防火墙安全策略实验。
ensp练习:防火墙安全策略配置
zaqzaqzaqzzz的博客
09-26 4万+
一、实验目的: 1、 了解华为防火墙安全策略。 2、 掌握华为防火墙安全策略配置。 二、实验仪器: 计算机、华为ensp模拟器、华为防火墙 三、实验内容: 根据网络拓扑图如上(交换机不需要配置),在防火墙配置安全策略,要求: (1) 192.168.0.0/24网段可以访问server1。 (2) pc2不能访问server1。 (3) 192.168.1.0/24网段不可以ping通serv...
配置基本安全策略
weixin_40018205的博客
07-16 859
[root@localhost ~]# vim /etc/ssh/sshd_config PermitRootLogin no   //禁止用root用户登录   87  systemctl restart sshd   88  systemctl status sshd[root@localhost ~]# !87systemctl restart sshd[root@rootroom9pc01...
网站上线前的5个安全配置策略
粗浅的入门功夫
03-03 564
网站上线前的五个安全配置策略: 1.选择一个可靠的主机。 在万维网的早期,个人和公司将在本地化的数据中心或办公室中获取和维护自己的服务器。在 云计算运动 从根本上转变这种模式,大多数的网站现在都是通过第三方提供商托管。 云计算降低了网站所有者的管理成本和责任,但它带来了一些安全问题。从本质上讲,您必须信任外部组织,其中包含您网站上的数据以及整体稳定性和可靠性。 如果您选择了错误的云托管提供商,则可能会使您的网站暴露于一系列不同的漏洞。提供商可能遭受数据泄露或整个数据中心可能出现故障,在这种情况下,您的网站可
Linux网络安全配置
教Linux的李老师
09-01 2328
Linux网络安全配置 系统加固
ensp——防火墙安全策略配置实验
ChenD的学习笔记
11-08 2万+
ensp——防火墙配置初体验
eNSP安全策略配置
qq_53365842的博客
04-26 1万+
命令行模式 [FW]firewall zone trust //进入trust区域 [FW-zone-trust]add int g1/0/0 //把g1/0/0加入trust区域 undo add int g1/0/0 取消加入 [FW]firewall zone untrust [FW-zone-untrust]add int g1/0/1 //查看安全区域内容 [FW]dis zone local priority is 100 interface of the zone is (0.
ensp安全策略配置
10-20
ensp中,安全策略配置是非常重要的一部分,它可以帮助管理员控制网络流量,保护网络安全。安全策略配置包括以下几个方面: 1. 配置安全区域:ensp中的安全区域包括trust、untrust、dmz等,管理员需要根据实际情况...
ensp 华为 ensp 无线实验配置
03-21
5. **无线网络策略**:定义用户接入策略,如802.1X认证、访客网络、带宽限制等,以确保网络的安全性和性能。 6. **无线覆盖规划**:根据实际场景调整AP的部署位置和频道分配,以避免频道冲突和信号干扰,确保无线...
华为ENSP实验之防火墙基础配置与安全区域配置(保姆级教程)
最新发布
2301_77508242的博客
08-08 1万+
内容是使用华为USG6000V防火墙和Cloud以及AR2220路由器、交换机、客户机、PC机来搭建起网络安全拓扑图并对防火墙基础配置与安全区域配置进行具体分析配置
华为ensp模拟校园网/企业网实例(精品拓扑图)
热门推荐
征途是星辰大海
12-25 10万+
本文首先规划一个公司的网络,采用接入层、核心层、汇聚层三层网络。所有交换机运行MSTP和VRRP协议,做冗余备份,保护链路安全。运行ospf动态路由协议,方便路由维护。使用dhcp动态分配地址,便于ip地址管理。出口采用防火墙设备,保护网络安全。同时在防火墙上做SNAT,可以让公司内网访问外网。在防火墙上做DNAT,可以让外部网络访问公司服务器。
ENSP实验四:搭建VPN(GRE,配置安全策略
Carohuan的博客
07-19 4117
将流量送至FW1后,根据外层头二次查表,送至下一个路由AR1【202.1.1.1->202.1.3.1|GRE|192.168.1.1->192.168.2.1 icmp】收到AR2传来的流量【202.1.1.1->202.1.3.1|GRE|192.168.1.1->192.168.2.1 icmp】ping流量【192.168.1.1->192.168.2.1 icmp】从PC1流至FW1。**将Tunnel1逻辑接口配到dmz区域中。配置好后可实现PC1与PC2之间的ping。
为什么ENSP中无法使用实验手册中的命令做防火墙实验?因为用错了防火墙(应该用USG6000V)。这里给出其安装包,import安装即可。
baby1105xiang的博客
01-18 1106
百度网盘:链接:https://pan.baidu.com/s/1Iwf12Oq0-xUo5QCXtHKwFQ?在用ENSP做防火墙实验时,会发现按照实验手册,一些命令无法执行,如“security-policy”等。更改完密码即可进入防火墙命令界面,实验手册中的命令即可正常使用。将文件下载后,按ENSP中的提示,将文件路径填入安装即可。原默认用户及密码为:admin/Admin@123。这是因为实验需要用USG6000V这个防火墙。所以,在此整理出来以供广大网友学习使用。第一次启动会要求登录并更改密码。
安全防御——二、ENSP防火墙实验学习
钟言的博客
11-04 1万+
本篇为安全防御——二、防火墙的基本概念以及配置,Web界面的配置,使用,详细内容包含了:防火墙接口以及模式配置 1、untrust区域 2、trust区域 3、DMZ区域 4、接口对演示 防火墙的策略 1、定义与原理 2、防火墙策略配置 2.1 安全策略工作流程 2.2 查询和创建会话3.实验策略配置 3.1 trust-to-untrust 3.2 trust-to-dmz 3.3 untrust-to-dmz 、防火墙的区域等等
安全防御——ENSP实现防火墙区域策略与用户管理
m0_75096479的博客
07-12 1187
1、DMZ区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问2、生产区不允许访问互联网,办公区和游客区允许访问互联网3、办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.104、办公区分为市场部和研发部,研发部ip地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定ip地址,访问DMZ区使用免认证。
华为仿真软件eNSP之防火墙安全配置
qq_15549021的博客
11-06 337
目标 把PC机划分到Trust区,服务器划分到DMZ区,让PC可以访问服务器,服务器不能访问PC,防火墙采用USG6000V,具体参数如下图所示 FW1防火墙配置: system-view 进入视图 un in en 关闭信息提示 int g1/0/0 进入g1/0/0端口 ip add 10.0.0.2 24 配置Ip地址 quit 退出端口 firewall zone trust 创...
ENSP防火墙配置策略路由及ip-link探测
h1008685的博客
04-11 2698
ip-link技术简介,策略路由详解,ensp防火墙配置策略路由联动ip-link探测
ENSP防火墙安全策略和用户管理
m0_73719199的博客
07-11 413
4办公区分为市场部和研发部,研发部地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定ip地址,访问DMZ区使用免认证;游客区人员不固定,不允许访问DMz区和生产区,统一使用Guest用户登录密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址:10.0.3.10。3办公区设备10.0.2.10不允许访问DMZ的ETP服务器和HTP服务器,仅能ping通10.0.3.10。2生产区不允许访问互联网,办公区和游客区允许。vlan2对应生产区,vlan3对应办公区。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值