中國專業(yè)IT外包服務(wù)

加入收藏??

公司微博

網(wǎng)站地圖??

IT外包價格計算器

您當(dāng)前位置：主頁 > IT服務(wù) > 網(wǎng)絡(luò)服務(wù) >

網(wǎng)絡(luò)運維|防火墻基于設(shè)備訪問控制的本地策略

2020-05-29 17:06 作者：艾銻無限瀏覽量：

大家好，我是一枚從事IT外包的網(wǎng)絡(luò)安全運維工程師，今天和大家分享的是網(wǎng)絡(luò)安全設(shè)備維護相關(guān)的內(nèi)容，想要學(xué)習(xí)防火墻必須會配置轉(zhuǎn)發(fā)策略。簡單網(wǎng)絡(luò)安全設(shè)備維護，從防火墻學(xué)起,一步一步學(xué)成網(wǎng)絡(luò)安全設(shè)備維護大神。

網(wǎng)絡(luò)維護是一種日常維護，包括網(wǎng)絡(luò)設(shè)備管理(如計算機，服務(wù)器)、操作系統(tǒng)維護(系統(tǒng)打補丁，系統(tǒng)升級)、網(wǎng)絡(luò)安全(病毒防范)等。+

北京艾銻無限科技發(fā)展有限公司為您免費提供給您大量真實有效的北京網(wǎng)絡(luò)維護服務(wù)，北京網(wǎng)絡(luò)維護信息查詢，同時您可以免費資訊北京網(wǎng)絡(luò)維護，北京網(wǎng)絡(luò)維護服務(wù)，北京網(wǎng)絡(luò)維護信息。專業(yè)的北京網(wǎng)絡(luò)維護信息就在北京艾銻無限+
+

北京網(wǎng)絡(luò)維護全北京朝陽豐臺北京周邊海淀、大興、昌平、門頭溝、通州、西城區(qū)、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網(wǎng)絡(luò)維護信息

用于設(shè)備訪問控制的本地策略

介紹用戶對設(shè)備本身的訪問權(quán)限配置舉例。

組網(wǎng)需求

為防止對設(shè)備本身的攻擊，需要嚴格限制用戶對設(shè)備本身的訪問，只允許特定的IP、特定的協(xié)議對設(shè)備進行管理操作。

如圖7-29所示，只允許192.168.5.2/24這個IP地址通過Telnet或Web方式登錄設(shè)備；另外網(wǎng)管需要與設(shè)備進行交互，網(wǎng)管接收設(shè)備上報日志告警、向設(shè)備下發(fā)配置等。

圖設(shè)備訪問控制本地策略

項目	數(shù)據(jù)	說明
（1）	接口號：GigabitEthernet 0/0/2 IP地址：192.168.5.1/24	與Telnet/Web終端連接的設(shè)備接口。
（2）	接口號：GigabitEthernet 0/0/3 IP地址：10.1.1.1/24	與網(wǎng)管連接的設(shè)備接口。
Telnet/Web終端	IP地址：192.168.5.2/24	–
網(wǎng)管服務(wù)器	IP地址：10.1.1.2/24	–

配置思路

通過配置限制IP地址、協(xié)議等的嚴格本地策略，對設(shè)備訪問權(quán)限進行控制。

1. 配置Telnet/Web終端所在安全區(qū)域到Local域的本地策略，只允許192.168.5.2訪問，且只能通過Telnet和HTTP協(xié)議訪問。

2. 配置網(wǎng)管所在安全區(qū)域與Local域間的本地策略，允許設(shè)備和網(wǎng)管的互訪。

本地策略配置的菜單路徑為：“防火墻 > 安全策略 > 本地策略”。

說明：

· 配置登錄用戶的過程不在本例介紹，只介紹配置本地策略的過程。

· Local到其他安全區(qū)域之間的缺省包過濾為permit，Web界面上無需配置，如在命令行配置中已將其配置為deny，請在命令行中修改。

操作步驟

1. 配置接口基本參數(shù)。

a. 選擇“網(wǎng)絡(luò) > 接口 > 接口”。

b. 在“接口列表”中單擊GE0/0/2對應(yīng)的

。

c. 配置接口GigabitEthernet 0/0/2。

配置參數(shù)如下：

· 安全區(qū)域：trust

· 模式：路由

· 連接類型：靜態(tài)IP

· IP地址：192.168.5.1

· 子網(wǎng)掩碼：255.255.255.0

d. 單擊“應(yīng)用”。

e. 重復(fù)上述步驟配置接口GigabitEthernet 0/0/3。

配置參數(shù)如下：

· 安全區(qū)域：dmz

· 模式：路由

· 連接類型：靜態(tài)IP

· IP地址：10.1.1.1

· 子網(wǎng)掩碼：255.255.255.0

2. 配置允許Telnet/Web終端訪問設(shè)備本身的本地策略。

a. 選擇“防火墻 > 安全策略 > 本地策略”。

b. 在“對設(shè)備訪問控制列表”中單擊

。

c. 單擊“服務(wù)”對應(yīng)的“多選”。

d. 選擇telnet和http協(xié)議，如圖7-30所示。

圖7-30 服務(wù)中選擇telnet和http協(xié)議

e. 單擊“確定”。

允許Telnet/Web終端訪問設(shè)備本身的本地策略具體參數(shù)配置如圖7-31所示。

圖7-31 配置允許Telnet/Web終端訪問設(shè)備本身的本地策略

f. 單擊“應(yīng)用”。

說明：

本例中配置了最嚴格的本地策略，限制了源/目的IP和登錄協(xié)議，可以根據(jù)實際需要放寬限制，比如只限制IP地址段，方便后續(xù)其他終端訪問設(shè)備。

3. 配置允許網(wǎng)管與設(shè)備進行交互的本地策略。

a. 選擇“防火墻 > 安全策略 > 本地策略”。

b. 在“對設(shè)備訪問控制列表”中單擊

。

允許網(wǎng)管與設(shè)備進行交互的本地策略具體參數(shù)配置如圖7-32所示。

圖7-32 配置允許網(wǎng)管與設(shè)備進行交互的本地策略

c. 單擊“應(yīng)用”。

4. （可選）配置Trust-Local域間和DMZ-Local域間的缺省包過濾策略為deny。

說明：

缺省情況下，Trust-Local域間和DMZ-Local域間的缺省包過濾策略為deny，如果之前已經(jīng)配置了permit請注意配置此步驟。

a. 選擇“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。

b. 在“對設(shè)備訪問控制列表”中單擊“trust”下面“默認”對應(yīng)的

。

源安全區(qū)域trust的本地策略缺省包過濾配置如圖7-33所示。

圖7-33 配置源安全區(qū)域trust的本地策略缺省包過濾為deny

c. 單擊“應(yīng)用”。

d. 在“對設(shè)備訪問控制列表”中單擊“dmz”下面“默認”對應(yīng)的

。

源安全區(qū)域dmz的本地策略缺省包過濾配置如圖7-34所示。

圖7-34 配置源安全區(qū)域dmz的本地策略缺省包過濾為deny

e. 單擊“應(yīng)用”。

結(jié)果驗證

1. 檢查Telnet/Web終端是否可以通過Telnet方式和Web方式登錄設(shè)備，如果不能訪問說明配置錯誤，檢查配置過程。Telnet/Web終端可以登錄設(shè)備，但是ping不通設(shè)備接口IP地址是正常的，因為策略中只配置了允許Telnet和HTTP協(xié)議通過，未配置允許ICMP協(xié)議通過。

2. 設(shè)備可以正常與網(wǎng)管通信。

以上文章由北京艾銻無限科技發(fā)展有限公司整理

分享到:

上一篇：網(wǎng)絡(luò)運維|防火墻基于時間段的轉(zhuǎn)發(fā)策略

下一篇：網(wǎng)絡(luò)運維|防火墻基于用戶的轉(zhuǎn)發(fā)策略

相關(guān)文章