返回
防火墙应用指南(三)——企业典型应用

防火墙应用指南(三)——企业典型应用

ID:13935854

大小:487.00 KB

页数:15页

时间:2018-07-25

防火墙应用指南(三)——企业典型应用_第1页
防火墙应用指南(三)——企业典型应用_第2页
防火墙应用指南(三)——企业典型应用_第3页
防火墙应用指南(三)——企业典型应用_第4页
防火墙应用指南(三)——企业典型应用_第5页
资源描述:

《防火墙应用指南(三)——企业典型应用》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、防火墙应用指南(三)——企业典型应用在您继续了解本文档下面的内容之前,我们建议您能够先了解参考一下我们的《防火墙应用指南》系列文档之《防火墙应用指南(一)——基本配置指导思想》和《防火墙应用指南(二)——虚拟服务器的搭建》。下面通过一些详细的例子,来进一步说明通过TL-FR5300的配置,如何实现企业的网络管理需求。1,公司销售部因为业务需求,上班时间要具备“浏览网页”的权限,但是个别网站禁止访问,除“浏览网站”以外没有其他上网权限,其他时间不进行任何上网限制。在实现上面需求的基础上,要防止IP地址盗用。分析

2、:要实现上面的目的,在配置TL-FR5300的策略的时候,涉及的“对象”有销售部员工的IP地址、外部网站、除了访问网站以外别的上网操作等等,这些“对象”我们会在下面的配置过程中一一体现出来。配置:(1)“IP地址”:关于这个对象的描述和详细的举例,请参考我们的《防火墙应用指南》系列文档之《防火墙应用指南——基本配置指导思想》,我们这里就直入主题开始配置了。在TL-FR5300“对象”-“IP地址”页面,选择“区域”LAN,点击“新增”按钮:在TL-FR5300“对象”-“IP地址”页面,选择“区域”LAN,点

3、击“新增”按钮:按照上图的办法将销售部所有员工的IP地址都添加到“IP地址”这个对象里面,下图:(2)“IP地址组”:接下来把销售部所有成员都加入到一个组,取名“销售部”,如下图:(3)“服务”:要访问Internet上的网站,也就是内网电脑要有访问Internet上80端口的HTTP服务的权限。同时,登录网站前内网电脑还有个向Internet上DNS服务器请求域名解析的过程,所以还需要DNS权限,这些服务在TL-FR5300的“预定义服务”这个对象中都已经存在了,不需要设置。可以在“对象”-“服务组”里面定

4、义一个新的服务组,包含“DNS”和“HTTP”两项服务,取名“WEB服务”,如下图所示:备注:有关“服务”这个对象的详细应用,请参考我们的《防火墙应用指南》系列文档之《防火墙应用指南(二)——虚拟服务器的搭建》。(4)“时间表”:上班时间需要控制,其他时间整个公司都可以随便上网,不需要控制;我们需要建立两个时间表:“上班时间表”、“非上班时间表”;备注:有关“时间表”这个对象的详细应用,请参考我们的《防火墙应用指南》系列文档之《防火墙应用指南(一)——基本配置指导思想》。(5)“URL过滤”:个别网站禁止访问

5、,可以通过“URL过滤”这个功能实现。假设我们要禁止访问的网站域名为www.xxx.com。如下图先在“对象”-“URL模式表”里面,将准备禁止访问的网站域名体现出来,配置如下图所示:给“模式表”栏自定义一个black的名字含义是要禁止,在“URL模式”栏填入想要禁止访问的网站域名www.xxx.com。然后点击“添加”按钮。然后在“对象”-“URL过滤配置”界面“新增”一个黑白名单选择,如下图:如上图:“URL过滤配置名字”这一栏输入一个名字,后面配置策略的时候就通过这个名字来引用的。“黑名单”里选择前面我

6、们定义的black那张表,它里面包含了想要禁止的www.xxx.com这个网站的域名。如果还要禁止别的网站,只需要将那些网站域名添加到前面black那张表里面就可以了,这里不需要改动。“白名单”保持默认的不改动即可。“缺省动作”默认允许不作改动。然后点击“确定”按钮即可。(6)“用户”:为了防止其他没有上网权限的用户盗用销售部的IP地址来上网,就需要通过这里的设置来实现。先在“对象”-“用户”界面里为销售部所有员工每人设置一个用户名和密码。如下图:如上图给销售部员工张三设定了用户名和密码,当给张三分配IP地址

7、的时候连同这里的用户名和密码一起分配给张三。同样给销售部员工李四、王五等等都设置用户名和密码。设置好以后再进入TL-FR5300“对象”-“用户组”界面,将上面设置的销售部的多位员工归并到一组如下图:如上图设置好以后,当配置“策略”的时候引用“销售部用户”这个组,那么符合本策略的所有“源地址”的主机在登录互联网的时候都需要先通过认证,通过这种方式达到防止IP地址盗用的目的。(7)好了,经过上面6步准备工作,到此为止配置“策略”所需要涉及到的“对象”基本设置完成。看过我司网站“技术支持”——“网络教室”栏目文档

8、《路由器如何限制内网电脑使用QQ》一文的用户都知道,腾讯公司的即时聊天软件QQ也使用了80端口。上面第(3)步定义“服务”对象的时候,开启了HTTP服务也就是80端口,这样一来允许80端口通过QQ也就可以成功登录了,这显然是不符合一开始提到的网络控制需求,那么我们需要回头再做一些设置准备:在“对象”-“IP地址”页面选择WAN“区域”,将腾讯公司提供的所有QQ服务器的IP地址全部“新增”到WAN区域

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。