網絡運維|防火墻基于時間段的轉發策略
2020-05-26 17:20 作者:艾銻無限 瀏覽量:
大家好,我是一枚從事IT外包的網絡安全運維工程師,今天和大家分享的是網絡安全設備維護相關的內容,想要學習防火墻必須會配置轉發策略。簡單網絡安全運維,從防火墻學起,一步一步學成網絡安全運維大神。
網絡維護是一種日常維護,包括網絡設備管理(如計算機,服務器)、操作系統維護(系統打補丁,系統升級)、網絡安全(病毒防范)等。+
北京艾銻無限科技發展有限公司為您免費提供給您大量真實有效的北京網絡維護服務,北京網絡維護信息查詢,同時您可以免費資訊北京網絡維護,北京網絡維護服務,北京網絡維護信息。專業的北京網絡維護信息就在北京艾銻無限+
+
北京網絡維護全北京朝陽豐臺北京周邊海淀、大興、昌平、門頭溝、通州、西城區、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網絡維護信息
基于時間段的轉發策略
介紹通過時間控制訪問權限的舉例。組網需求
某企業需要對員工上網時間進行控制,要求每天只能在休息時間12:00~14:00以及18:00~22:00的時間范圍內訪問Internet,組網如圖7-13所示。圖 基于時間段的轉發策略
配置思路
通過時間控制訪問權限的前提是需要配置時間段,然后在轉發策略中引用。1. 配置一個每天休息時間的時間段(12:00~14:00、18:00~22:00)。
時間段配置的菜單路徑為:“防火墻 > 時間段 > 時間段”。
2. 配置允許內網192.168.5.0/24訪問Internet的轉發策略,并在其中引用前面配置的時間段作為匹配條件。
轉發策略配置的菜單路徑為:“防火墻 > 安全策略 > 轉發策略”。
說明:
· 本例只給出轉發策略的配置步驟,實際內網訪問Internet還需要配置NAT,注意配置轉發策略時指定的源IP地址是NAT轉換前的實際內網IP地址。
· 內網PC上需要配置網關,本例中網關為接口(1),即GigabitEthernet 0/0/2的接口IP地址。
· USG上需要在“路由 > 靜態 > 靜態路由”中配置缺省路由。
· 如果局域網使用二層接口卡的LAN口接入,需要將物理口加入VLAN并配置Vlanif。此時需要將Vlanif接口加入Trust域并配置轉發策略。
操作步驟
1. 配置接口基本參數。a. 選擇“網絡 > 接口 > 接口”。
b. 在“接口列表”中單擊GE0/0/2對應的。
c. 配置接口GigabitEthernet 0/0/2。
配置參數如下:
· 安全區域:trust
· 模式:路由
· 連接類型:靜態IP
· IP地址:192.168.5.1
· 子網掩碼:255.255.255.0
d. 單擊“應用”。
e. 重復上述步驟配置接口GigabitEthernet 0/0/3。
配置參數如下:
· 安全區域:untrust
· 模式:路由
· 連接類型:靜態IP
· IP地址:1.1.1.1
· 子網掩碼:255.255.255.0
2. 配置名稱為internet的時間段,控制允許上網的時間。
a. 選擇“防火墻 > 時間段 > 時間段”。
b. 在“時間段列表”中單擊。
c. 在“名稱”中輸入時間段的名稱internet。
d. 單擊“應用”。
e. 在internet下的“時間段列表”中單擊。
internet時間段的具體參數配置如圖7-14所示。
圖7-14 新建internet時間段
g. 在“時間段列表”中單擊internet對應的,在該時間段中增加時間范圍。
具體參數配置如圖7-15所示。
圖7-15 在internet時間段中增加時間范圍
3. 配置允許192.168.5.0/24網段只能在休息時間訪問Internet的轉發策略。
a. 選擇“防火墻 > 安全策略 > 轉發策略”。
b. 選擇“轉發策略”頁簽。
c. 在“轉發策略列表”中單擊。
該轉發策略的具體參數配置如圖7-16所示。
圖7-16 配置允許192.168.5.0/24網段在休息時間訪問Internet的轉發策略
4. (可選)配置Trust-Untrust域間出方向的缺省包過濾策略為deny。
說明:
缺省情況下,Trust-Untrust域間出方向的缺省包過濾策略為deny,如果之前已經配置了permit請注意配置此步驟。
a. 選擇“防火墻 > 安全策略 > 轉發策略”。
b. 選擇“轉發策略”頁簽。
c. 在“轉發策略列表”中單擊“trust->untrust”下面“默認”對應的。
“trust->untrust”默認轉發策略的配置如圖7-17所示。
圖7-17 配置“trust->untrust”默認轉發策略為deny
結果驗證
驗證是否符合預期:192.168.5.0/24網段在12:00~14:00和18:00~22:00的時間段內可以訪問Internet,其他時間都不能訪問。如果不符合預期,主要有以下幾種原因:· 時間段或轉發策略配置錯誤,請檢查配置。
· 設備時間錯誤,造成策略沒有在預期時間內生效。
1. 選擇“系統 > 面板 > 狀態”。
2. “系統信息”頁簽中的“時鐘信息”顯示的即為設備當前時間,如不正確,請單擊“時鐘信息”對應的“更改”鏈接修改。
· Trust-Untrust域間出方向的缺省包過濾配置為了permit,造成配置的轉發策略失效,12:00~14:00和18:00~22:00以外的時間段雖然沒有匹配到轉發策略,但是也被缺省包過濾放過了。
3. 選擇“防火墻 > 安全策略 > 轉發策略”。
4. 選擇“轉發策略”頁簽。
5. 查看“轉發策略列表”中“trust->untrust”最后一條默認包過濾策略動作是否為deny,如果不是,請單擊該記錄對應的將“動作”修改為deny。
以上文章由北京艾銻無限科技發展有限公司整理
相關文章
IT電腦維護外包
關閉