当前位置: 首页 > article >正文

安全策略初始实验

article 2025/1/31 1:10:56

文章目录

  • 安全策略初始实验
    • 初始实验拓扑
    • 最终拓扑
    • 一,实验需求
    • 二,实验需求分析
    • 三,基础配置
    • 四,安全策略配置
    • 五,测试

安全策略初始实验

初始实验拓扑

在这里插入图片描述

最终拓扑

在这里插入图片描述

一,实验需求

1、VLAN 2属于办公区;VLAN 3属于生产区;

2、办公区PC在工作日时间(周一至周五,早8到晚6)可以正常访问OA Server,其他时间不允许;

3、办公区PC可以在任意时刻访问Web server;

4、生产区PC可以在任意时刻访问OA Server,但是不能访问Web Server;

5、特例:生产区PC3可以在每周一早上10点到早上11点访问Web Server,用来更新企业最新产品信息;

二,实验需求分析

1、VLAN 2属于办公区;VLAN 3属于生产区;

解决方式:在交换机上创建两个vlan区域,分别为vlan 2和vlan 3,然后将办公区的PC端口加入到vlan 2,生产区的PC端口加入到vlan 3。

2、办公区PC在工作日时间(周一至周五,早8到晚6)可以正常访问OA Server,其他时间不允许;

解决方式:
    1,在防火墙上配置基于时间的安全策略,允许在工作日早8到晚6的时间段内,从VLAN 2(办公区)到OA Server的访问。
    2,创建一个时间范围,定义工作日早上8点到上晚6点为允许访问的时间,并将该时间范围与策略关联。

3、办公区PC可以在任意时刻访问Web server;

解决方式:在防火墙上编写安全策略,允许从VLAN 2(办公区)到Web Server的访问,不设置时间限制。

4、生产区PC可以在任意时刻访问OA Server,但是不能访问Web Server;

解决方式:
    1,在防火墙上配置安全策略,允许从VLAN 3(生产区)到OA Server的访问,不设置时间限制。
    2,同时配置安全策略,禁止从VLAN 3(生产区)到Web Server的访问。

5、特例:生产区PC3可以在每周一早上10点到早上11点访问Web Server,用来更新企业最新产品信息;

解决方式:
   针对PC3的IP地址和时间范围创建一条特殊的允许访问规则。

三,基础配置

1,更改防火墙密码

在这里插入图片描述

<USG6000V1>sys
Enter system view, return user view with Ctrl+Z.
[USG6000V1]sys FW     -----更改防火墙的名字为FW
[FW]int g 0/0/0        -------进入GE0/0/0接口
[FW-GigabitEthernet0/0/0]service-manage all permit          --------开启所有管理服务,这样才能从web页面进入防火墙页面

2,配置各设备和接口的IP信息

Trust区域IP划分:

由于Trust区域存在两个vlan即vlan 2和vlan 3,所以需要将192.168.1.0/24网段划分成两个子网:
192.168.1.0/24
	192.168.1.0/25  -------vlan 2
		网关:FW1 GE 1/0/1.1 :192.168.1.126/25
		PC1:192.168.1.1/25
	192.168.1.128/25   ----vlan 3
		网关:FW1 GE 1/0/1.2 :192.168.1.254/25
		PC2:192.168.1.129/25
		PC3:192.168.1.130/25

FW各个接口设置IP:

[FW]interface GigabitEthernet 1/0/0
[FW-GigabitEthernet1/0/0]ip add 10.0.0.254 24

[FW]interface GigabitEthernet 1/0/1.1
[FW-GigabitEthernet1/0/1.1]ip add  192.168.1.126 25

[FW]interface GigabitEthernet 1/0/1.2
[FW-GigabitEthernet1/0/1.2]ip add 192.168.1.254 25

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

OA Server:

在这里插入图片描述

Web Server:

在这里插入图片描述

3,配置VLAN

LSW1:

[Huawei]sys LSW1
进入0/0/1接口,并设置trunk链路:
[LSW1]interface GigabitEthernet 0/0/1
[LSW1-GigabitEthernet0/0/1]port link-type trunk    -----将接口类型更换为trunk
[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3    -----在trunk的允许列表中加入vlan 2和vlan 3

创建vlan 2和vlan 3:
[LSW1]vlan batch 2 3

[LSW1]interface GigabitEthernet 0/0/2
[LSW1-GigabitEthernet0/0/2]port link-type access      -----将接口类型更换为access
[LSW1-GigabitEthernet0/0/2]port default vlan 2   -----将接口划分给vlan 2

[LSW1]interface GigabitEthernet 0/0/3
[LSW1-GigabitEthernet0/0/3]port link-type access    -----将接口类型更换为access
[LSW1-GigabitEthernet0/0/3]port default vlan 3   -----将接口划分给vlan 3

[LSW1]interface GigabitEthernet 0/0/4
[LSW1-GigabitEthernet0/0/4]port link-type access   -----将接口类型更换为access
[LSW1-GigabitEthernet0/0/4]port default vlan 3   -----将接口划分给vlan 3

在这里插入图片描述

测试Trust区域的vlan间通信:

在这里插入图片描述

由测试可知,PC1ping不通自己的网关,而能跨vlan与PC3进行通信,可以分析出问题在网关所在的子接口上;通过排错,发现在FW1的子接口1.1没有开启该子接口的ping服务。

[FW]interface GigabitEthernet 1/0/1.1	
[FW-GigabitEthernet1/0/1.1]service-manage  all permit    ----这里直接开启了该子接口的所有服务,也可以只开启某一个服务,比如这里的ping服务([FW-GigabitEthernet1/0/1.1]service-manage ping permit   ----仅开启ping服务)

在这里插入图片描述

添加子接口的配置后,PC1能够成功的与网关ping通。

同理,1/0/0接口的1.2子接口和1/0/0接口也需要开启所有服务:

[FW]interface GigabitEthernet 1/0/1.2
[FW-GigabitEthernet1/0/1.2]service-manage all permit 

[FW]interface GigabitEthernet 1/0/0	
[FW-GigabitEthernet1/0/0]service-manage all permit

在这里插入图片描述

四,安全策略配置

1,创建地址(命令行创建)

[FW]ip address-set AD type object 
[FW-object-address-set-AD]address 192.168.1.0 mask 25

[FW]ip address-set OA type object 
[FW-object-address-set-OA]address 10.0.0.1 mask 32

[FW]ip address-set Web type object 	
[FW-object-address-set-Web]address 10.0.0.2 mask 32

[FW]ip address-set PR type object 
[FW-object-address-set-PR]address 192.168.1.128 mask 25

[FW]ip address-set PC3 type object 
[FW-object-address-set-PC3]address 192.168.1.130 mask 25

2,创建时间集

[FW]time-range working-time
[FW-time-range-working-time]period-range 08:00:00 to 18:00:00 working-day 

[FW]time-range special-time
[FW-time-range-special-time]period-range 10:00:00 to 11:00:00 Mon

3,实现要求2(办公区PC在工作日时间(周一至周五,早8到晚6)可以正常访问OA Server,其他时间不允许)

命令行创建:

[FW]security-policy 
[FW-policy-security]rule name policy_1  
[FW-policy-security-rule-police_1]description AD_to_OA
[FW-policy-security-rule-police_1]source-zone trust 
[FW-policy-security-rule-police_1]destination-zone dmz
[FW-policy-security-rule-policy_1]source-address address-set AD 
[FW-policy-security-rule-police_1]destination-address address-set OA
[FW-policy-security-rule-police_1]time-range working-time
[FW-policy-security-rule-police_1]action permit

图形化界面:

在这里插入图片描述

4,实现要求3(办公区PC可以在任意时刻访问Web server)

[FW]security-policy
[FW-policy-security]rule name policy_2
[FW-policy-security-rule-policy_2]description AD_to_Web
[FW-policy-security-rule-policy_2]source-zone trust 
[FW-policy-security-rule-policy_2]destination-zone dmz 
[FW-policy-security-rule-policy_2]source-address address-set AD
[FW-policy-security-rule-policy_2]destination-address address-set Web 
[FW-policy-security-rule-policy_2]action permit

在这里插入图片描述

5,实现要求4(生产区PC可以在任意时刻访问OA Server,但是不能访问Web Server)

[FW]security-policy 
[FW-policy-security]rule name policy_3
[FW-policy-security-rule-policy_3]description PR_to_OA
[FW-policy-security-rule-policy_3]source-zone trust
[FW-policy-security-rule-policy_3]destination-zone dmz
[FW-policy-security-rule-policy_3]source-address address-set PR 
[FW-policy-security-rule-policy_3]destination-address address-set OA
[FW-policy-security-rule-policy_3]action permit 

[FW]security-policy 	
[FW-policy-security]rule name policy_4
[FW-policy-security-rule-policy_4]description PR_to_Web
[FW-policy-security-rule-policy_4]source-zone trust 	
[FW-policy-security-rule-policy_4]destination-zone dmz 	
[FW-policy-security-rule-policy_4]source-address address-set PR
[FW-policy-security-rule-policy_4]destination-address address-set Web 
[FW-policy-security-rule-policy_4]action deny

在这里插入图片描述
在这里插入图片描述

6,实现要求5(特例:生产区PC3可以在每周一早上10点到早上11点访问Web Server,用来更新企业最新产品信息)

[FW]security-policy 
[FW-policy-security]rule name policy_5
[FW-policy-security-rule-policy_5]description PC3_to_Web
[FW-policy-security-rule-policy_5]source-zone trust
[FW-policy-security-rule-policy_5]destination-zone dmz
[FW-policy-security-rule-policy_5]source-address address-set PC3 
[FW-policy-security-rule-policy_5]destination-address address-set Web 
[FW-policy-security-rule-policy_5]time-range special-time
[FW-policy-security-rule-policy_5]action permit

在这里插入图片描述

五,测试

备注:测试时间处于周一上午十点到十一点之间

1,办公区PC在工作日时间(周一至周五,早8到晚6)可以正常访问OA Server,其他时间不允许;

在这里插入图片描述

2,办公区PC可以在任意时刻访问Web server;

在这里插入图片描述

3,生产区PC可以在任意时刻访问OA Server,但是不能访问Web Server;

在这里插入图片描述

4,特例:生产区PC3可以在每周一早上10点到早上11点访问Web Server,用来更新企业最新产品信息;

在这里插入图片描述

注意:根据上面的策略顺序,在测试的时候,如果发现PC3在指定的时间段内不能访问Web Server,需要将策略5移动到策略4上面去,使策略5的优先级比策略4更高。

在这里插入图片描述


http://www.kler.cn/a/522255.html

相关文章:

  • JavaScript - Web APIs(下)
  • 大屏 UI 设计风格的未来趋势
  • 创作三载·福启新章2025
  • Linux C++
  • 【QT】- QUdpSocket
  • Python实现U盘数据自动拷贝
  • 30289_SC65XX功能机MMI开发笔记(ums9117)
  • 深入理解动态规划(dp)--(提前要对dfs有了解)
  • 【OMCI实践】ONT上线过程的omci消息(二)
  • leetcode 209. 长度最小的子数组
  • AI 模型评估与质量控制:生成内容的评估与问题防护
  • Web开发 -前端部分-CSS3新特性
  • unity学习20:time相关基础 Time.time 和 Time.deltaTime
  • 基于Django的微博舆情分析系统的设计与实现
  • 【算法与数据结构】动态规划
  • RTOS面试合集
  • 【Python实现机器遗忘算法】复现2020年顶会CVPR算法Selective Forgetting
  • 006 mybatis关联查询(一对一、一对多)
  • OPencv3.4.1安装及配置教程
  • 20.Word:小谢-病毒知识的科普文章❗【38】
  • freeswitch在centos上编译过程
  • 白平衡与色温:摄影中的色彩密码
  • 2025_1_27 C语言内存,递归,汉诺塔问题
  • 二叉树(补充)
  • 51单片机开发:IO扩展(串转并)实验
  • 基于单片机的家用无线火灾报警系统的设计