本文描述了一个企业网络环境中的访问控制需求,包括生产区的工作时间限制、不同区域对HTTP/FTP服务器的访问权限、办公区的匿名认证和NAT设置,以及防火墙规则的详细配置,确保了各区域的安全与隔离。
需求:
1、生产区在工作时间(9:00---18:00)内可以访问服务区,仅可以访问http服务器;
2、办公区全天可以访问服务器区,其中,10.0.2.20可以访问FTP服务器和HTTP服务器,10.0.2.10仅可以ping通10.0.3.10 ;
3、办公区在访问服务器区时采用匿名认证的方式进行上网行为管理;
4、办公区设备可以访问公网,其他区域不行。
进行常规的二层交换机和防火墙的配置
进行ip address 和service-manage all permit等操作
创建两个安全区域,办公区和生产区
办公区:源地址办公区的10.0.3.20,目标地址是DMZ区的所有服务器
10.0.3.10仅可以ping通10.0.1.10,服务只允许icmp和icmpv6通过
所以:
生产区:源地址是整个生产区,目标地址是HTTP服务器地址
用户的认证选择匿名认证
办公区属于内网,是内网访问外网,所以要进行NAT地址转换。
ip配置好,转换模式选择仅转换源地址,区域选择BG to untrust,
源地址转换为出接口地址。
生产区只能访问HTTP服务器,不能访问FTP服务器
办公区全天可以访问服务器区,其中10.0.3.20可以访问FTP服务器和HTTP服务器,10.0.3.10仅可以ping通10.0.1.10
10.0.3.10仅可以ping通10.0.1.10
仅办公区可以访问公网
生产区访问公网失败
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
