網(wǎng)絡(luò)運維|防火墻基于用戶的轉(zhuǎn)發(fā)策略

2020-05-29 17:12 作者：艾銻無限 瀏覽量：

大家好，我是一枚從事IT外包的網(wǎng)絡(luò)安全運維工程師，今天和大家分享的是網(wǎng)絡(luò)安全設(shè)備維護相關(guān)的內(nèi)容，想要學習防火墻必須會配置轉(zhuǎn)發(fā)策略。簡單網(wǎng)絡(luò)安全設(shè)備維護，從防火墻學起,一步一步學成網(wǎng)絡(luò)安全設(shè)備維護大神。

網(wǎng)絡(luò)維護是一種日常維護，包括網(wǎng)絡(luò)設(shè)備管理(如計算機，服務器)、操作系統(tǒng)維護(系統(tǒng)打補丁，系統(tǒng)升級)、網(wǎng)絡(luò)安全(病毒防范)等。+

北京艾銻無限科技發(fā)展有限公司為您免費提供給您大量真實有效的北京網(wǎng)絡(luò)維護服務，北京網(wǎng)絡(luò)維護信息查詢，同時您可以免費資訊北京網(wǎng)絡(luò)維護，北京網(wǎng)絡(luò)維護服務，北京網(wǎng)絡(luò)維護信息。專業(yè)的北京網(wǎng)絡(luò)維護信息就在北京艾銻無限+
+

北京網(wǎng)絡(luò)維護全北京朝陽豐臺北京周邊海淀、大興、昌平、門頭溝、通州、西城區(qū)、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網(wǎng)絡(luò)維護信息

基于用戶的轉(zhuǎn)發(fā)策略

介紹根據(jù)用戶帳號控制企業(yè)上網(wǎng)權(quán)限的舉例。

組網(wǎng)需求

某企業(yè)內(nèi)網(wǎng)地址為192.168.5.0/24網(wǎng)段，只允許市場部的員工訪問Internet，通過用戶帳號對權(quán)限進行控制，如圖7-23所示。

而且要求對上網(wǎng)員工的IM應用進行限制，避免浪費網(wǎng)絡(luò)資源。

圖  基于用戶的轉(zhuǎn)發(fā)策略 

項目	數(shù)據(jù)	說明
（1）	接口號：GigabitEthernet 0/0/2 IP地址：192.168.5.1/24	與內(nèi)網(wǎng)連接的設(shè)備接口。
（2）	接口號：GigabitEthernet 0/0/3 IP地址：1.1.1.1/24	與外網(wǎng)連接的設(shè)備接口。
內(nèi)網(wǎng)IP地址范圍	192.168.5.0/24	–
市場部用戶組	組名：sales 認證方式：本地密碼認證	–

配置思路

1. 確保用戶可以正常認證。

用戶認證通過才能匹配轉(zhuǎn)發(fā)策略，本例以本地密碼認證為例。關(guān)于用戶認證的詳細介紹請參見用戶管理部分。

用戶配置的菜單路徑為：“用戶 > 上網(wǎng)用戶”。

2. 配置應用控制策略，阻斷IM應用。

應用控制策略配置的菜單路徑為：“UTM > 應用控制 > 策略”。

3. 配置轉(zhuǎn)發(fā)策略，并引用應用控制策略。

轉(zhuǎn)發(fā)策略配置的菜單路徑為：“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。

說明：

· 本例只給出轉(zhuǎn)發(fā)策略的配置步驟，實際內(nèi)網(wǎng)訪問Internet還需要配置NAT，注意配置轉(zhuǎn)發(fā)策略時指定的源IP地址是NAT轉(zhuǎn)換前的實際內(nèi)網(wǎng)IP地址。

· 內(nèi)網(wǎng)PC上需要配置網(wǎng)關(guān)，本例中網(wǎng)關(guān)為接口(1)，即GigabitEthernet 0/0/2的接口IP地址。

· USG上需要在“路由 > 靜態(tài) > 靜態(tài)路由”中配置缺省路由。

· 如果局域網(wǎng)使用二層接口卡的LAN口接入，需要將物理口加入VLAN并配置Vlanif。此時需要將Vlanif接口加入Trust域并配置轉(zhuǎn)發(fā)策略。

操作步驟

1. 配置接口基本參數(shù)。

a. 選擇“網(wǎng)絡(luò) > 接口 > 接口”。

b. 在“接口列表”中單擊GE0/0/2對應的。

c. 配置接口GigabitEthernet 0/0/2。

配置參數(shù)如下：

· 安全區(qū)域：trust

· 模式：路由

· 連接類型：靜態(tài)IP

· IP地址：192.168.5.1

· 子網(wǎng)掩碼：255.255.255.0

d. 單擊“應用”。

e. 重復上述步驟配置接口GigabitEthernet 0/0/3。

配置參數(shù)如下：

· 安全區(qū)域：untrust

· 模式：路由

· 連接類型：靜態(tài)IP

· IP地址：1.1.1.1

· 子網(wǎng)掩碼：255.255.255.0

2. 配置用戶及認證功能。

a. 創(chuàng)建市場部用戶組。

. 選擇“用戶 > 上網(wǎng)用戶 > 組/用戶”。

i. 在“成員管理”中單擊，選擇“新建組”。

ii. 在“組名”中輸入sales，“所屬組”選擇root。

iii. 單擊“應用”。

a. 在sales組中新建用戶，以user_a為例。

i. 在“組織結(jié)構(gòu)”中選擇“sales”。

ii. 在“成員管理”中單擊，選擇“新建單個用戶”。

iii. 配置user_a的相關(guān)參數(shù)如圖7-24所示。

圖7-24  在sales組中創(chuàng)建用戶user_a 


iv. 單擊“應用”。

b. 配置192.168.5.0/24網(wǎng)段的認證策略為本地密碼認證。

i. 選擇“用戶 > 上網(wǎng)用戶 > 認證策略”。

ii. 在“認證策略列表”中單擊。

iii. 認證策略的相關(guān)參數(shù)配置如圖7-25所示。

圖7-25  配置192.168.5.0/24網(wǎng)段采用本地密碼認證 


iv. 單擊“應用”。

1. 配置阻斷上網(wǎng)員工IM應用的應用控制策略im_block。

a. 選擇“UTM > 應用控制 > 策略”。

b. 在“基本配置”中選中“應用控制功能”的“啟用”復選框。

c. 單擊“應用”。

d. 在“應用控制策略列表”單擊。

e. 在“名稱”中輸入im_block。

f. 單擊“應用”。

g. 在“應用控制列表”中單擊。

h. 配置應用控制的相關(guān)參數(shù)，如圖7-26所示。

圖7-26  配置阻斷IM應用 


i. 單擊“確定”。

j. 單擊“應用”。

2. 配置允許市場部員工上網(wǎng)，并阻斷IM應用的轉(zhuǎn)發(fā)策略。

a. 選擇“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。

b. 選擇“轉(zhuǎn)發(fā)策略”頁簽。

c. 在“轉(zhuǎn)發(fā)策略列表”中單擊。

該轉(zhuǎn)發(fā)策略的具體參數(shù)配置如圖7-27所示。

圖7-27  配置允許市場部員工上網(wǎng)的轉(zhuǎn)發(fā)策略 


d. 單擊“應用”。

3. （可選）配置Trust-Untrust域間出方向的缺省包過濾策略為deny。

 說明：

缺省情況下，Trust-Untrust域間出方向的缺省包過濾策略為deny，如果之前已經(jīng)配置了permit請注意配置此步驟。

a. 選擇“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。

b. 選擇“轉(zhuǎn)發(fā)策略”頁簽。

c. 在“轉(zhuǎn)發(fā)策略列表”中單擊“trust->untrust”下面“默認”對應的。

“trust->untrust”默認轉(zhuǎn)發(fā)策略的配置如圖7-28所示。

圖7-28  配置“trust->untrust”默認轉(zhuǎn)發(fā)策略為deny 


d. 單擊“應用”。

結(jié)果驗證

驗證市場部員工user_a通過認證后是否可以正常上網(wǎng)，并且不能使用QQ、MSN等即時通信軟件。如發(fā)現(xiàn)異常請檢查配置。
 
以上文章由北京艾銻無限科技發(fā)展有限公司整理