防火墙安全策略及应用
配置需求
配置安全策略,完成以下需求:
Trust区域在工作时间(周一~周五9:00-21:00)禁止访问【娱乐】类应用。
允许Trust区域(10.1.1.0/24~10.1.4.0/24地址列表)访问其他任意区域。
允许Untrust区域访问DMZ区域的http、https、ftp服务(使用服务组。
)
security-policy
default action permit
time-range 工作时间
period-range 09:00 to 21:00 working-day
ip address-set trust_network type object
adress 0 10.1.1.0 mask 24
adress 1 10.1.2.0 mask 24
adress 2 10.1.3.0 mask 24
adress 3 10.1.4.0 mask 24
ip service-set service_groub type object
service 0 service-set http
service 1 service-set https
service 2 service-set ftp
security-policy
rule name trust_untrust
source-zone trust
destination-zone untrust
application category Entertainment
time-range 工作时间
action deny
display security-policy all
19:50:40 2022/07/09
Total:2
RULE ID RULE NAME STATE ACTION
---------------------------------------------------------
0 default enable deny
---------------------------------------------------------
防火墙Web备注界面步骤
第一步:创建时间段
第二步:创建地址
第三步:新建服务组
第四步:新建安全策略,并调用创建的时间段、地址对象。
第五步:trust-any 策略放行
第六步:untrust-dmz策略放行
测试结果:
测试防火墙的安全接口,需要执行以下命令,才能够ping 通
interface GigabitEthernet0/0/1
ip address 202.100.1.10 24
service-manage ping permit
总结:
安全策略配置思路
第一步:基本配置
IP 、地址、 zone、 路由
第二步:定义各种对象
定义时间段 :
time-range 上班时间
period-range 09:00:00 to 21:00:00 working day
定义地址集:
ip address-set trust_network type object
adress 0 10.1.1.0 mask 24
adress 1 10.1.2.0 mask 24
adress 2 10.1.3.0 mask 24
adress 3 10.1.4.0 mask 24
定义服务集:
ip service-set service_group type object
service 0 service-set http
service 1 service-set https
service 2 service-set ftp
第三步:配置安全策略
security-policy
rule name trust_untrust ----------- #不允许trust到untrust上班时间访问娱乐服务
source-zone trust
destination-zone untrust
application category Entertainment------------#应用可以直接调用
time-range 上班时间-------------直接调用定义的对象
action deny
rule name trus_any
source-zone trust
source-adress adress-set trust_network
action permit
rule name untrust_dmz
source-zone untrust
destination-zone dmz
service service_group
action permit
第四步:检查
[FW1]display security-policy all
20:05:17 2019/09/17
Total:4
RULE ID RULE NAME STATE ACTION HITTED
0 default enable deny 2089
1 truist_untrust enable deny 23
2 trust_any enable permit 124
3 untrust_dmz enable permit 2
[FW1]display security-policy rule truist_untrust
20:06:20 2019/09/17
(23 times matched)
rule name trust_untrust
source-zone trust
destination-zone untrust
application category Entertainment
time-range 上班时间
action deny