实战案例(4)如果想限制某些终端能上网,哪些不能上网有什么方法呢?

最新推荐文章于 2024-10-04 20:38:10 发布
最新推荐文章于 2024-10-04 20:38:10 发布
阅读量313 收藏 2
点赞数 3
分类专栏: 华为防火墙实战 文章标签: 网络 华为防火墙 华为USG防火墙 华为交换机 防火墙控制终端上网 防火墙安全策略 华三防火墙
文章原创网络之路Blog(其他平台同名,公众号:网络之路博客),用心分享技术的IT人,主要精通思科、华为、H3C路由交换、防火墙、无线、安全系列,希望分享的技术对大家有帮助,原创不易,大家多多支持!
本文链接:https://blog.csdn.net/weixin_46948473/article/details/142152795
版权

案例四:如果想限制某些终端能上网,哪些不能上网有什么方法呢?

图片

实际中有这样的需求,客户那边希望某些区域只能boss上网或者boss随时都可以上,但是员工需要休息时间才能上,针对这样的需求我们来看看怎么去实现!

采用正常配置模式的步骤与思路

(1)防火墙确定好内外网接口,配置对应的对接方式以及加入安全区域,开启DHCP

(2)关于只让某一个能够上网或者不上网,在防火墙里面控制有两个办法,第一个是控制IP,第二个是控制MAC,如果我们要控制IP的话 就需要在DHCP静态绑定,这样保证每次获取的IP是同一个,MAC的话直接安全策略输入即可。

(3)根据需求跟规划配置对应的安全策略与NAT策略

(4)如果涉及到基于时间的策略,那么一定要确保防火墙的时间是正确的。

整体配置

#dhcp enable##interfaceGigabitEthernet1/0/0undo shutdownip address 192.168.101.254 255.255.255.0service-manage http permitservice-manage https permitservice-manage ping permitservice-manage ssh permitdhcp select interfacedhcp server ip-range 192.168.101.1 192.168.101.254dhcp server gateway-list 192.168.101.254dhcp server dns-list 223.5.5.5 114.114.114.114#                                        interfaceGigabitEthernet1/0/1undo shutdownip address 192.168.102.254 255.255.255.0service-manage http permitservice-manage https permitservice-manage ping permitservice-manage ssh permitservice-manage telnet permitdhcp select interfacedhcp server ip-range 192.168.102.1 192.168.102.254dhcp server gateway-list 192.168.102.254dhcp serverstatic-bind ip-address 192.168.102.250 mac-address 5489-9843-18afdhcp server dns-list 223.5.5.5 114.114.114.114#interfaceGigabitEthernet1/0/2undo shutdownip address dhcp-alloc##firewall zone trustset priority 85add interface GigabitEthernet0/0/0add interface GigabitEthernet1/0/0add interface GigabitEthernet1/0/1#firewall zone untrustset priority 5add interface GigabitEthernet1/0/2##ip address-set 不允许上网type objectaddress 0 192.168.102.250 mask 32#ip address-set 102允许上网type objectaddress 0 192.168.102.0 mask 24#ip address-setBOSS_server type objectaddress 0 5489-9864-0d2caddress 1 192.168.101.249 mask 32#ip address-set 101网段type objectaddress 0 192.168.101.0 mask 24#time-range 休息时间 period-range 12:00:00 to 13:30:00 working-day#security-policyrule name PC4_deny_internet source-zone trust destination-zone untrust source-address address-set 不允许上网 action denyrule name 允许102其他上网 source-zone trust destination-zone untrust source-address address-set 102允许上网 action permitrule name Local_any source-zone local action permitrule name BOSS source-zone trust destination-zone untrust source-address address-set BOSS_server action permitrule name 休息时间允许上网 source-zone trust destination-zone untrust source-address address-set 101网段 time-range 休息时间                     action permit#nat-policyrule name 允许上网 source-zone trust destination-zone untrust action source-nat easy-ip

容易忽略的点

(1)内网根据客户的需求是划分在同一个网段还是不同网段,如果是同一个网段要把接口切换成二层,然后配置VLANIF,在开DHCP(上面案例演示的是不同网段)

(2)在DHCP静态绑定里面,如果这个绑定的主机MAC已经分配到了一个IP,必须先清空该数据,在进行绑定(用命令行reset  ip pool interface GigabitEthernet1/0/1 192.168.101.250释放掉该MAC绑定的IP )

图片

3)安全策略的顺序,一定要从精细到粗犷的顺序来规划配置。

网络之路Blog
关注
专栏目录
shell 编程 入门到实战详解
互联网老辛
09-30 2865
一. shell变量、循环 概述 Shell是一种具备特殊功能的程序,它提供了用户与内核进行交互操作的一种接口。它接收用户输入的命令,并把它送入内核去执行。内核是Linux系统的心脏,从开机自检就驻留在计算机的内存中,直到计算机关闭为止,而用户的应用程序存储在计算机的硬盘上,仅当需要时才被调入内存。Shell是一种应用程序,当用户登录Linux系统时,Shell就会被调入内存去执行。Shell独...
零基础,做一名网络安全工程师,我可以去哪里学,或者有什么建议?
zkaqlaoniao的博客
10-08 324
这些网站其实就可能存在前端展现的问题,后端逻辑的问题,数据存储的安全问题,如何找出这些网站的漏洞原理,如何去修复和完善这些网站的问题,就是这个方向要研究的。内容(比如改大学教务系统的考试成绩),留一下一个网站的webshell等等其实都属于网络渗透的内容,由于互联网与信息化的普及网站系统对外的业务较多,且由于程序员的水平层次不齐与运维人员的一些配置失误,网络渗透需要掌握的内容较多。你可能无法很快的及时的得到一个积极的有趣的反馈和奖励,所以说很有可能在你学编程的这个阶段,你就把自己给劝退了。
Linux性能优化实战案例篇-为什么应用容器化后,启动慢了很多?(46)
weixin_30235225的博客
09-23 907
一、上节回顾 不知不觉,我们已经学完了整个专栏的四大基础模块,即 CPU、内存、文件系统和磁盘 I/O、以及网络的性能分析和优化。相信你已经掌握了这些基础模块的基本分析、定位思路,并熟悉了相关的优化方法。 接下来,我们将进入最后一个重要模块—— 综合实战篇。这部分实战内容,也将是我们对前面所学知识的复习和深化。 我们都知道,随着 Kubernetes、Docker 等技术的普及,越...
上网行为安全之深信服用户认证技术和用户、组管理
✍千里之行,始于足下 ^,^
05-21 9289
文章目录认证技术框架1.不需要认证技术1.1数据包特征信息1.2不需要认证配置思路1.3不需要认证效果显示2.IP/MAC地址绑定技术2.1工作原理2.2配置思路2.3 配置结果显示2.4总结(1)设备无法获取交换机的ARP表的排查思路(2)如果以设备网桥模式部署在30位掩码的网络环境中如何获取交换机的 ARP表?(3)IP/MAC绑定失败3.密码认证技术3.1需求3.2密码认证实战分析3.3配置...
要的宏基因组-微生物组知识全在这(2022.4)
刘永鑫的博客——宏基因组公众号
04-01 4362
欢迎点击上方蓝色”宏基因组”关注我们!宏基因组/微生物组是当今世界科研最热门的研究领域之一,为加强宏基因组学技术和成果交流传播,推动全球华人微生物组领域发展,中科院青年科研人员创立“宏基因组”公众号,联合海内外同行共同打造本领域纯干货技术及思交流平台。公众号每日推送,工作日分享宏基因组领域最新成果、科研思路、实验和分析技术,理论过硬实战强;周末科普和生活专栏,轻松读文看...
等保2.0.第十一章.等保2.0实战(下)
老毛的博客
05-21 3075
文章目录XX公共资源交易中心信息化项目某政府委办等保建设项目医院安全等保解决方案XX交警等级保护(三级)建设方案目录1项目概述2等级保护建设流程方案参照标准(略)4信息系统定级备案4.1信息系统定级4.1.1定级结果4.2信息系统备案5系统安全需求分析6安全风险与差距分析6.1物理安全风险与差距分析·6.4通信网络安全风险与差距分析7技术体系方案设计7.1方案设计目标7.2方案设计框架。7.3安全域的划分7.3.1安全域划分的依据7.4安全技术体系设计7.4.1机房与配套设备安全设计7.4.2计算环境安全设
2024考研408-计算机网络 第三章-数据链路层学习笔记
每个人都是独一无二的,把握好自己的节奏,跟着自己的心走。
08-03 5394
过程:主机A向主机B发送数据,发送方会在对应的数据在每一层会加上相应的控制信息进行封装,之后传输出去,经过中间系统时也会经历解封、封装过程,最终传输到主机B通过解封来取得其中的数据。上图的话可以看到数据是自上而下先封装之后自下而上再解封,当专门只研究数据链路层问题时,我们只关心协议栈的水平方向的各个数据链路层,如下图的箭头所示,这就是这一张研究链路层的一个研究思。功能概述:数据链路层在物理层提高服务的基础上向网络层提供服务,其最基本的服务是将源自网络层来的数据可靠地传输到相邻节点的目标机的网络层。
软考A计划-电子商务设计师-模拟试题卷一
空名先生
06-06 2223
有什么需要欢迎文章底部卡片私我,获取更多支持,交流让学习不再孤单
【渗透测试】—如何利用文件包含的方式进行攻击
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
02-20 3511
目录 4.9. 文件包含 4.9.1. 基础 4.9.2. 触发Sink 4.9.3. 绕过技巧 4.9.3.1. url编码绕过 4.9.3.2. 特殊字符绕过 4.9.3.3. %00截断 4.9.3.4. 长度截断 4.9.3.5. 伪协议绕过 4.9.3.6. 协议绕过 4.9. 文件包含 4.9.1. 基础 常见的文件包含漏洞的形式为 <?php include("inc/" . $_GET['file']); ?> 考虑常用的几种包含方式为 同目录包
智能浪潮:增强时代来临
热门推荐
GitChat
04-12 1万+
内容介绍 继互联网和智能手机出现之后,人工智能、基因工程、纳米制造、无人驾驶、机器人、可穿戴设备等各类技术风起云涌。我们的生活和工作,我们的交互和行为方式已经发生了彻底的改变: 语音可以控制家电; 网站会按照用户喜好推送内容; 运动手环记录下了身体数据,每日反馈健康报告; 机器人替代人工,准确无误分拣包裹; 无人机可以配送快递…… 作者布雷特·金认为我们已经踏入一个崭新的历史阶段的大门,走向...
【HCIA-Datacom V1.0培训教材】园区网典型组网架构及案例实践
QQ317693347的博客
07-30 5610
•园区网络的规模可大可小,小到一个SOHO(SmallOfficeHomeOffice,家居办公室),Acc为Access的缩写,表示接入层设备。•中小型园区网络的路由设计包括园区内部的路由设计及园区出口与Internet/广域设备之间。•园区出口的路由设计出口路由设计主要满足园区内部用户访问Internet和广域网的需求。•园区内部的路由设计主要满足园区内部设备/终端的互通需求,并且可以与外部路由交互。•网络的规划与设计是一个项目的起点,完善细致的规划工作将为后续的项目具体工作打下。...
红队攻防渗透技术实战流程:红队目标信息收集之基础资产信息收集
HACKONE的博客
03-23 1097
在红队渗透测试中,客户的合作至关重要,他们会提供目标资产的基本信息作为初始攻击面。红队的行动范围通常是由客户明确授权界定的,这其中包括但不限于对主域名、下属子公司以及整个供应链体系中的相关资产进行安全测试。红队需严格按照约定的边界执行任务,可能涵盖但不限于对主域名下的各个子域名进行深度侦查,探究子公司间的网络互联情况,以及深入分析供应链各环节的软硬件设施、业务流程和数据交换点,以全方位评估和模拟真实攻击场景下的安全风险。在执行过程中,红队始终保持专业操守,确保所有行动均在合法、合规的前提下进行,并以增强客户
Linux 再入门整理:详解 /etc/fstab 文件
一只奋斗的猪
10-01 1178
`/etc/fstab` 文件是 Linux 系统中用于定义和管理文件系统的挂载信息的配置文件。它的作用是告诉系统在启动时,应该如何自动挂载各种文件系统。挂载是 Linux 操作系统中一种将存储设备与目录树关联的操作。通过挂载,存储设备中的文件可以通过目录访问。
组播基础-1
DC_BLOG的博客
09-27 885
信息的发送者为:组播源 接受相同信息的接收者构成一个组播组,并且每个接收者都是组播组成员 提供组播功能的路由器成为:组播组路由器 组播路由器不仅提供组播路由功能,也提供组成员管理功能,也可以是组播组成员
毕业设计——springboot+netty+websocket实现一个简单的ChatGpt机器人聊天
【CSDN】
09-29 790
WebSocket是html5开始浏览器和服务端进行全双工通信的网络技术。在该协议下,与服务端只需要一次握手,之后建立一条快速通道,开始互相传输数据,实际是基于TCP双向全双工,比http半双工提高了很大的性能,常用于网络在线聊天室等。申请key的教程在项目resources目录readme.md文件中。1、接入了chatGpt接口,只需要替换成自己的key就行。2、实现了与机器人的聊天,可以优化做成智能客服。
项目管理-信息技术发展
GAVIN
10-04 354
对称加密:DES 3DES AES RC5 IEDA SM1 SM4。2)分类:PAN LAN MAN WAN 公用网 专用网。4)数据结构模型 层次模型 网状模型 关系模型。1)存储 分类:DAS FAS NAS SAN。物联网(IoT) 感知层 网络层 应用层。8) 5G 高速率 低时延 大连接。设备安全 数据安全 内容安全 行为安全。4.信息安全 保密性 完整性 可用性。3)网络协议 语法 语义 时许。5)IEEE 802 规范。6)TCP/IP 协议。4)网络标准协议 7层。
使用socket编程来实现一个简单的C/S模型(TCP协议)
caiji0169的博客
10-02 1688
下图是基于TCP协议的客户端/服务器程序的一般流程:服务器调用socket()、bind()、listen()完成初始化后,调用accept()阻塞等待,处于监听端口的状态,客户端调用socket()初始化后,调用connect()发出SYN段并阻塞等待服务器应答,服务器应答一个SYN-ACK段,客户端收到后从connect()返回,同时应答一个ACK段,服务器收到后从accept()返回。数据传输的过程:建立连接后,TCP协议提供全双工的通信服务,但是一般的客户端/服务器程序的流程是由客户端主动发起请求,
Mac ToDesk 无法连接网络
最新发布
Primer5
10-04 157
检查登录项,看到后台运行项目是关闭状态,允许后台运行之后返回查看立马显示网络连接正常。网络连接的是 Wi-Fi,打开浏览器能跟正常浏览内容,说明 Wi-Fi 是正常的。检查防火墙是没有阻止ToDesk 的任何连接,说明防火墙也是正常的。
Shell编程入门:实战案例与五彩终端演示
每个例子都具有不同的功能,既能锻炼编程逻辑,又带有一定的趣味性,适合新手逐步熟悉Shell环境。 第一个例子是"绘制特殊图形",通过`#!/bin/bash`声明使用bash shell,然后定义变量`MAX_NO`获取用户输入(在5到9...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值