網絡運維|防火墻基于設備訪問控制的本地策略
2020-05-29 17:06 作者:艾銻無限 瀏覽量:
大家好,我是一枚從事IT外包的網絡安全運維工程師,今天和大家分享的是網絡安全設備維護相關的內容,想要學習防火墻必須會配置轉發策略。簡單網絡安全設備維護,從防火墻學起,一步一步學成網絡安全設備維護大神。
網絡維護是一種日常維護,包括網絡設備管理(如計算機,服務器)、操作系統維護(系統打補丁,系統升級)、網絡安全(病毒防范)等。+
北京艾銻無限科技發展有限公司為您免費提供給您大量真實有效的北京網絡維護服務,北京網絡維護信息查詢,同時您可以免費資訊北京網絡維護,北京網絡維護服務,北京網絡維護信息。專業的北京網絡維護信息就在北京艾銻無限+
+
北京網絡維護全北京朝陽豐臺北京周邊海淀、大興、昌平、門頭溝、通州、西城區、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網絡維護信息
用于設備訪問控制的本地策略
介紹用戶對設備本身的訪問權限配置舉例。組網需求
為防止對設備本身的攻擊,需要嚴格限制用戶對設備本身的訪問,只允許特定的IP、特定的協議對設備進行管理操作。如圖7-29所示,只允許192.168.5.2/24這個IP地址通過Telnet或Web方式登錄設備;另外網管需要與設備進行交互,網管接收設備上報日志告警、向設備下發配置等。
圖 設備訪問控制本地策略
| 項目 | 數據 | 說明 |
| (1) |
接口號:GigabitEthernet 0/0/2 IP地址:192.168.5.1/24 |
與Telnet/Web終端連接的設備接口。 |
| (2) |
接口號:GigabitEthernet 0/0/3 IP地址:10.1.1.1/24 |
與網管連接的設備接口。 |
| Telnet/Web終端 | IP地址:192.168.5.2/24 | – |
| 網管服務器 | IP地址:10.1.1.2/24 | – |
配置思路
通過配置限制IP地址、協議等的嚴格本地策略,對設備訪問權限進行控制。1. 配置Telnet/Web終端所在安全區域到Local域的本地策略,只允許192.168.5.2訪問,且只能通過Telnet和HTTP協議訪問。
2. 配置網管所在安全區域與Local域間的本地策略,允許設備和網管的互訪。
本地策略配置的菜單路徑為:“防火墻 > 安全策略 > 本地策略”。
說明:
· 配置登錄用戶的過程不在本例介紹,只介紹配置本地策略的過程。
· Local到其他安全區域之間的缺省包過濾為permit,Web界面上無需配置,如在命令行配置中已將其配置為deny,請在命令行中修改。
操作步驟
1. 配置接口基本參數。a. 選擇“網絡 > 接口 > 接口”。
b. 在“接口列表”中單擊GE0/0/2對應的
。c. 配置接口GigabitEthernet 0/0/2。
配置參數如下:
· 安全區域:trust
· 模式:路由
· 連接類型:靜態IP
· IP地址:192.168.5.1
· 子網掩碼:255.255.255.0
d. 單擊“應用”。
e. 重復上述步驟配置接口GigabitEthernet 0/0/3。
配置參數如下:
· 安全區域:dmz
· 模式:路由
· 連接類型:靜態IP
· IP地址:10.1.1.1
· 子網掩碼:255.255.255.0
2. 配置允許Telnet/Web終端訪問設備本身的本地策略。
a. 選擇“防火墻 > 安全策略 > 本地策略”。
b. 在“對設備訪問控制列表”中單擊
。c. 單擊“服務”對應的“多選”。
d. 選擇telnet和http協議,如圖7-30所示。
圖7-30 服務中選擇telnet和http協議
允許Telnet/Web終端訪問設備本身的本地策略具體參數配置如圖7-31所示。
圖7-31 配置允許Telnet/Web終端訪問設備本身的本地策略
說明:
本例中配置了最嚴格的本地策略,限制了源/目的IP和登錄協議,可以根據實際需要放寬限制,比如只限制IP地址段,方便后續其他終端訪問設備。
3. 配置允許網管與設備進行交互的本地策略。
a. 選擇“防火墻 > 安全策略 > 本地策略”。
b. 在“對設備訪問控制列表”中單擊
。允許網管與設備進行交互的本地策略具體參數配置如圖7-32所示。
圖7-32 配置允許網管與設備進行交互的本地策略
c. 單擊“應用”。
4. (可選)配置Trust-Local域間和DMZ-Local域間的缺省包過濾策略為deny。
說明:
缺省情況下,Trust-Local域間和DMZ-Local域間的缺省包過濾策略為deny,如果之前已經配置了permit請注意配置此步驟。
a. 選擇“防火墻 > 安全策略 > 轉發策略”。
b. 在“對設備訪問控制列表”中單擊“trust”下面“默認”對應的
。源安全區域trust的本地策略缺省包過濾配置如圖7-33所示。
圖7-33 配置源安全區域trust的本地策略缺省包過濾為deny
d. 在“對設備訪問控制列表”中單擊“dmz”下面“默認”對應的
。源安全區域dmz的本地策略缺省包過濾配置如圖7-34所示。
圖7-34 配置源安全區域dmz的本地策略缺省包過濾為deny
結果驗證
1. 檢查Telnet/Web終端是否可以通過Telnet方式和Web方式登錄設備,如果不能訪問說明配置錯誤,檢查配置過程。Telnet/Web終端可以登錄設備,但是ping不通設備接口IP地址是正常的,因為策略中只配置了允許Telnet和HTTP協議通過,未配置允許ICMP協議通過。2. 設備可以正常與網管通信。
以上文章由北京艾銻無限科技發展有限公司整理
相關文章
IT電腦維護外包
關閉