防火墙安全策略

目录

一.拓扑信息

二.需求分析

三.命令行详细配置信息 

1.配置IP

2.交换机配置

3.修改安全区域 

4.安全策略 

四.web界面详细配置 

1.配置IP和设置安全区域

2.交换机配置

3.安全策略

五.测试

---

一.拓扑信息

二.需求分析

1.VLAN 2属于办公区域；VLAN 3属于生产区。

  · 将防火墙看成路由器，配置子接口IP并划分VLAN区域

  · 交换机上面创建VLAN，交换机上各个接口划分到对应的vlan中，与防火墙连接的线路配置trunk干道放通VLAN2和VLAN3

  · PC配置IP和网关，并测试ping网关

2.办公区PC在工作日时间（周一至周五，早八到晚六）可以正常访问OA Server，其他时间不允许。

3.办公区PC在任意时刻可以正常访问Web Server。

4.生产区PC可以在任意时刻访问OA Server，但是不能访问Web Server。

5.特例：生产区PC3可以在每周一早10到早11访问Web Server，用来更新企业最新产品信息。

· 2-5都是做策略。可以在命令行做策略，也可以在web页面做策略。

· 注意：4和5是相互冲突的，所以需要将策略5放在4之前

说明：掩码为32是有且仅有一个IP地址；服务器不需要有很多IP，所以掩码为32。

如果出现的是网段，说明不只有一个；就拿PC来说，在企业里面不可能只有一台PC。

三.命令行详细配置信息 

1.配置IP

防火墙：

配置防火墙的虚拟子接口

[FW]interface g1/0/1.1
[FW-GigabitEthernet1/0/1.1]ip address 192.168.1.126 25
[FW-GigabitEthernet1/0/1.1]vlan-type dot1q 2
[FW]interface g1/0/1.2
[FW-GigabitEthernet1/0/1.2]ip address 192.168.1.254 25
[FW-GigabitEthernet1/0/1.2]vlan-type dot1q 3

配置连接服务器的交换机的接口：

[FW]interface g1/0/0
[FW-GigabitEthernet1/0/0]ip address 10.0.0.254 24

 

PC1：

PC2：

 

PC3： 

OA Server：

Web Server： 

2.交换机配置

[Huawei]vlan 2
[Huawei]vlan 3[Huawei]interface g0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access 
[Huawei-GigabitEthernet0/0/2]port default  vlan 2[Huawei]interface g0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type access 	
[Huawei-GigabitEthernet0/0/3]port default vlan 3[Huawei]interface g0/0/4
[Huawei-GigabitEthernet0/0/4]port link-type access
[Huawei-GigabitEthernet0/0/4]port default vlan 3[Huawei]interface g0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type trunk 
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 to 3

3.修改安全区域 

[FW]firewall zone trust 
[FW-zone-trust]add interface GigabitEthernet 1/0/1.1
[FW-zone-trust]add interface GigabitEthernet 1/0/1.2[FW]firewall zone dmz 
[FW-zone-dmz]add interface g1/0/0

4.安全策略 

办公区PC在工作日时间（周一至周五，早八到晚六）可以正常访问OA Server，其他时间不允许。

[FW]ip address-set BG type object 
[FW-object-address-set-BG]address 192.168.1.0 mask 25
[FW]ip address-set OA type object 	
[FW-object-address-set-OA]address 10.0.0.1 mask 32[FW]time-range worktime
[FW-time-range-worktime]period-range 08:00:00 to 18:00:00 working-day [FW]security-policy
[FW-policy-security]rule name policy_1
[FW-policy-security-rule-policy_1]description BG_to_OA
[FW-policy-security-rule-policy_1]source-zone trust 
[FW-policy-security-rule-policy_1]destination-zone dmz 
[FW-policy-security-rule-policy_1]source-address address-set BG	
[FW-policy-security-rule-policy_1]destination-address address-set OA
[FW-policy-security-rule-policy_1]action permit 

办公区PC在任意时刻可以正常访问Web Server。
 

[FW]ip address-set web type object 
[FW-object-address-set-web]address 10.0.0.2 mask 32[FW]security-policy
[FW-policy-security]rule name policy_2
[FW-policy-security-rule-policy_2]description BG_to_Web
[FW-policy-security-rule-policy_2]source-zone trust 
[FW-policy-security-rule-policy_2]destination-zone dmz 
[FW-policy-security-rule-policy_2]source-address address-set BG
[FW-policy-security-rule-policy_2]destination-address address-set web
[FW-policy-security-rule-policy_2]action permit 

生产区PC可以在任意时刻访问OA Server，但是不能访问Web Server。

[FW]ip address-set SC type object 
[FW-object-address-set-SC]address 192.168.1.128 mask 25[FW]security-policy
[FW-policy-security]rule name policy_3
[FW-policy-security-rule-policy_3]description SC_to_OA
[FW-policy-security-rule-policy_3]source-zone trust 
[FW-policy-security-rule-policy_3]destination-zone dmz 
[FW-policy-security-rule-policy_3]source-address address-set SC
[FW-policy-security-rule-policy_3]destination-address address-set OA
[FW-policy-security-rule-policy_3]action permit [FW]security-policy
[FW-policy-security]rule name policy_4
[FW-policy-security-rule-policy_4]description SC_notvisit_Web
[FW-policy-security-rule-policy_4]source-zone trust 	
[FW-policy-security-rule-policy_4]destination-zone dmz 
[FW-policy-security-rule-policy_4]source-address address-set SC
[FW-policy-security-rule-policy_4]destination-address address-set web
[FW-policy-security-rule-policy_4]action deny 

特例：生产区PC3可以在每周一早10到早11访问Web Server，用来更新企业最新产品信息。

[FW]ip address-set PC_3 type object 
[FW-object-address-set-PC_3]address 192.168.1.130 mask 32[FW]time-range visitime
[FW-time-range-visitime]period-range 10:00:00 to 11:00:00 Mon [FW]security-policy	
[FW-policy-security]rule name policy_5
[FW-policy-security-rule-policy_5]description PC_visit_Web
[FW-policy-security-rule-policy_5]source-zone trust 
[FW-policy-security-rule-policy_5]destination-zone dmz 	
[FW-policy-security-rule-policy_5]source-address address-set PC_3 	
[FW-policy-security-rule-policy_5]destination-address address-set web 
[FW-policy-security-rule-policy_5]time-range visitime	
[FW-policy-security-rule-policy_5]action permit 

 注意：4和5是相互冲突的，所以需要将策略5放在4之前

[FW-policy-security]rule move policy_5 before policy_4

四.web界面详细配置 

1.配置IP和设置安全区域

PC和服务器的IP同上

防火墙两个子接口IP

 

配置连接服务器的交换机的接口：

2.交换机配置

配置同上

3.安全策略

 办公区PC在工作日时间（周一至周五，早八到晚六）可以正常访问OA Server，其他时间不允许。

办公区PC在任意时刻可以正常访问Web Server。

生产区PC可以在任意时刻访问OA Server，但是不能访问Web Server。

   特例：生产区PC3可以在每周一早10到早11访问Web Server，用来更新企业最新产品信息。

新建时间段：

 注意：4和5是相互冲突的，所以需要将策略5放在4之前

最终web页面策略：

五.测试

办公区PC 访问 OA Server结果：

为了测试方便，我们修改时间在19点去访问OA Server结果：

 

办公区PC去访问Web Server 

办公区PC访问OA Server 

办公区PC不能访问Web Server 

为了测试方便，我们修改时间在星期一10点PC3去访问Web Server结果：

会话表：

server-map表：