目录
一.拓扑信息
二.需求分析
三.命令行详细配置信息
1.配置IP
2.交换机配置
3.修改安全区域
4.安全策略
四.web界面详细配置
1.配置IP和设置安全区域
2.交换机配置
3.安全策略
五.测试
一.拓扑信息
二.需求分析
1.VLAN 2属于办公区域;VLAN 3属于生产区。
· 将防火墙看成路由器,配置子接口IP并划分VLAN区域
· 交换机上面创建VLAN,交换机上各个接口划分到对应的vlan中,与防火墙连接的线路配置trunk干道放通VLAN2和VLAN3
· PC配置IP和网关,并测试ping网关
2.办公区PC在工作日时间(周一至周五,早八到晚六)可以正常访问OA Server,其他时间不允许。
3.办公区PC在任意时刻可以正常访问Web Server。
4.生产区PC可以在任意时刻访问OA Server,但是不能访问Web Server。
5.特例:生产区PC3可以在每周一早10到早11访问Web Server,用来更新企业最新产品信息。
· 2-5都是做策略。可以在命令行做策略,也可以在web页面做策略。
· 注意:4和5是相互冲突的,所以需要将策略5放在4之前
说明:掩码为32是有且仅有一个IP地址;服务器不需要有很多IP,所以掩码为32。
如果出现的是网段,说明不只有一个;就拿PC来说,在企业里面不可能只有一台PC。
三.命令行详细配置信息
1.配置IP
防火墙:
配置防火墙的虚拟子接口
[FW]interface g1/0/1.1
[FW-GigabitEthernet1/0/1.1]ip address 192.168.1.126 25
[FW-GigabitEthernet1/0/1.1]vlan-type dot1q 2
[FW]interface g1/0/1.2
[FW-GigabitEthernet1/0/1.2]ip address 192.168.1.254 25
[FW-GigabitEthernet1/0/1.2]vlan-type dot1q 3
配置连接服务器的交换机的接口:
[FW]interface g1/0/0
[FW-GigabitEthernet1/0/0]ip address 10.0.0.254 24
PC1:
PC2:
PC3:
OA Server:
Web Server:
2.交换机配置
[Huawei]vlan 2
[Huawei]vlan 3[Huawei]interface g0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 2[Huawei]interface g0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type access
[Huawei-GigabitEthernet0/0/3]port default vlan 3[Huawei]interface g0/0/4
[Huawei-GigabitEthernet0/0/4]port link-type access
[Huawei-GigabitEthernet0/0/4]port default vlan 3[Huawei]interface g0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type trunk
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 to 33.修改安全区域
[FW]firewall zone trust
[FW-zone-trust]add interface GigabitEthernet 1/0/1.1
[FW-zone-trust]add interface GigabitEthernet 1/0/1.2[FW]firewall zone dmz
[FW-zone-dmz]add interface g1/0/04.安全策略
办公区PC在工作日时间(周一至周五,早八到晚六)可以正常访问OA Server,其他时间不允许。
[FW]ip address-set BG type object
[FW-object-address-set-BG]address 192.168.1.0 mask 25
[FW]ip address-set OA type object
[FW-object-address-set-OA]address 10.0.0.1 mask 32[FW]time-range worktime
[FW-time-range-worktime]period-range 08:00:00 to 18:00:00 working-day [FW]security-policy
[FW-policy-security]rule name policy_1
[FW-policy-security-rule-policy_1]description BG_to_OA
[FW-policy-security-rule-policy_1]source-zone trust
[FW-policy-security-rule-policy_1]destination-zone dmz
[FW-policy-security-rule-policy_1]source-address address-set BG
[FW-policy-security-rule-policy_1]destination-address address-set OA
[FW-policy-security-rule-policy_1]action permit
办公区PC在任意时刻可以正常访问Web Server。
[FW]ip address-set web type object
[FW-object-address-set-web]address 10.0.0.2 mask 32[FW]security-policy
[FW-policy-security]rule name policy_2
[FW-policy-security-rule-policy_2]description BG_to_Web
[FW-policy-security-rule-policy_2]source-zone trust
[FW-policy-security-rule-policy_2]destination-zone dmz
[FW-policy-security-rule-policy_2]source-address address-set BG
[FW-policy-security-rule-policy_2]destination-address address-set web
[FW-policy-security-rule-policy_2]action permit
生产区PC可以在任意时刻访问OA Server,但是不能访问Web Server。
[FW]ip address-set SC type object
[FW-object-address-set-SC]address 192.168.1.128 mask 25[FW]security-policy
[FW-policy-security]rule name policy_3
[FW-policy-security-rule-policy_3]description SC_to_OA
[FW-policy-security-rule-policy_3]source-zone trust
[FW-policy-security-rule-policy_3]destination-zone dmz
[FW-policy-security-rule-policy_3]source-address address-set SC
[FW-policy-security-rule-policy_3]destination-address address-set OA
[FW-policy-security-rule-policy_3]action permit [FW]security-policy
[FW-policy-security]rule name policy_4
[FW-policy-security-rule-policy_4]description SC_notvisit_Web
[FW-policy-security-rule-policy_4]source-zone trust
[FW-policy-security-rule-policy_4]destination-zone dmz
[FW-policy-security-rule-policy_4]source-address address-set SC
[FW-policy-security-rule-policy_4]destination-address address-set web
[FW-policy-security-rule-policy_4]action deny 特例:生产区PC3可以在每周一早10到早11访问Web Server,用来更新企业最新产品信息。
[FW]ip address-set PC_3 type object
[FW-object-address-set-PC_3]address 192.168.1.130 mask 32[FW]time-range visitime
[FW-time-range-visitime]period-range 10:00:00 to 11:00:00 Mon [FW]security-policy
[FW-policy-security]rule name policy_5
[FW-policy-security-rule-policy_5]description PC_visit_Web
[FW-policy-security-rule-policy_5]source-zone trust
[FW-policy-security-rule-policy_5]destination-zone dmz
[FW-policy-security-rule-policy_5]source-address address-set PC_3
[FW-policy-security-rule-policy_5]destination-address address-set web
[FW-policy-security-rule-policy_5]time-range visitime
[FW-policy-security-rule-policy_5]action permit 注意:4和5是相互冲突的,所以需要将策略5放在4之前
[FW-policy-security]rule move policy_5 before policy_4四.web界面详细配置
1.配置IP和设置安全区域
PC和服务器的IP同上
防火墙两个子接口IP
配置连接服务器的交换机的接口:
2.交换机配置
配置同上
3.安全策略
办公区PC在工作日时间(周一至周五,早八到晚六)可以正常访问OA Server,其他时间不允许。
办公区PC在任意时刻可以正常访问Web Server。
生产区PC可以在任意时刻访问OA Server,但是不能访问Web Server。
特例:生产区PC3可以在每周一早10到早11访问Web Server,用来更新企业最新产品信息。
新建时间段:
注意:4和5是相互冲突的,所以需要将策略5放在4之前
最终web页面策略:
五.测试
办公区PC 访问 OA Server结果:
为了测试方便,我们修改时间在19点去访问OA Server结果:
办公区PC去访问Web Server
办公区PC访问OA Server
办公区PC不能访问Web Server
为了测试方便,我们修改时间在星期一10点PC3去访问Web Server结果:
会话表:
server-map表:
