欢迎来到天天文库
浏览记录
ID:45755128
大小:56.38 KB
页数:7页
时间:2019-11-17
《CLI举例:基于IP地址和端口的安全策略》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、CLI举例:基于IP地址和端口的安全策略通过配置安全策略,实现基于IP地址、时间段以及服务(端口)的访问控制。组网需求如图1所示,某企业部署两台业务服务器,其中Serverl通过TCP8888端口对外提供服务,Server2通过UDP6666端口对外提供服务。需要通过FW进行访问控制,8:00〜17:00的上班时间段内禁止IP地址为10.1.1.2、10.2.1.2的两台PC使用这两台服务器对外提供的服务。其他PC在任何时间都可以使用这两台服务器对外提供的服务。图1基于IP地址和端口的安全策略组网图PC10.2.1.2/24GigabitEthernet1/0/1IP地址:10.2
2、.0.1/24安全区域:dmzGigabitEthernet1/0/2IP地址:10.1.1.1/24安全区域:trustGigabitEthernet1/0/3IP地址:10.2.1.1/24安全区域:trustServer1IP地址:10.2.0.10/24端口:TCP8888Server2IP地址:10.2.0.11/24项目数据通过非知名:通过非知名:说明项目数据说明端口:UDP6666配置思路本例的访问控制涉及到限制源IP、目的IP及端口、时间段,需要提前配置好地址集、服务集和吋间段,然后配置安全策略引用这些限制条件。1.配置源IP地址集,将儿个不允许访问服务器的IP地址
3、加入地址集。配置安全策略时可以直接指定多个IP地址或地址段,但是对于零散的、不连续的地址建议配置为地址集,方便集中管理,而且也方便被其他策略复用。B说明:因为策略的目的地址是单一的地址,所以这里没有配置目的ip的地址集,采用了配置安全策略吋直接输入目的地址的方式。2.配置两个自定义服务集,分别将两台服务器的非知名端口加入服务集。本例中服务器使用的是非知名端口,必须配置口定义服务集,然后在安全策略中引用。如果服务器通过知名端口(例如HTTP的80端口)提供的服务,可以在配置安全策略时直接使用预定义服务集(例如HTTP、FTP等)。3.配置一个范围为上班时间(08:00〜17:00)的
4、时间段。4.配置两条安全策略,分别限制IP地址为10.1.1.2和1021.2的PC对两台服务器的访问。5.配置允许trust到dmz的域间访问安全策略。本例中除了两台特殊的PC外,整个trust区域的PC都可以访问服务器,所以先配置禁止两台PC访问服务器的安全策略,然后再开放trust到dmz的域间访问。①说明:系统默认存在一条缺省安全策略(条件均为any,动作默认为禁止)。如果需要控制只有某些IP可以访问服务器,则需要保持缺省安全策略的禁止动作,然后配置允许哪些IP访问服务器的安全策略。另外安全策略是按照配置顺序兀配的,注意先配置细化的后配置宽泛的策略。例如需要控制在10.1.
5、1.0/24网段中,除了某几个IP不能访问服务器外,其他的IP都可以访问。此时需要先配置拒绝特殊IP通过的安全策略,然后再配置允许整个网段通过的安全策略。操作步骤1.配置接I丨IP地址和安全区域,完成网络基本参数配置。a・配置GigabitEthernet1/0/1接口IP地址,将接口加入dmz域。b・<1?W>system-viewc.[FW]interfaceGigabitEthernet1/0/1d.[FW-GigabitEthernet1/0/1]ipaddress10.2.0.124e.[FW-GigabitEthernet1/0/1]quitf.[FW]firewall
6、zonedmzg・[FW-zonc-dmz]addinterfaceGigabitEthernet1/0/1h・[FW-zone-dmz]quiti.配置GigabitEthernet1/0/2接口IP地址,将接口加入trust域。j.[FW]interfaceGigabitEthernet1/0/2k.[FW-GigabitEthernet1/0/2]ipaddress10.1.1.124l.[FW-GigabitEthernet1/0/2]quitm.[FW]firewallzonetrustn.[FW-zone-trust]addinterfaceGigabitEtherne
7、t1/0/2o.[FW-zonc-trust]quitp.配置GigabitEthernet1/0/3接IIIP地址,将接口加入trust域。q.[FW]interfaceGigabitEthernet1/0/3r.[FW-GigabitEthernet1/0/3]ipaddress10.2.1.124s.[FW-GigabitEthernet1/0/3]quitt.[FW]firewallzonetrustu.[FW-zone-trust]addinterfaceG
此文档下载收益归作者所有