eNSP-模仿为企业进行防火墙安全配置
按照以下要求模仿进行防火墙配置,使用工具,eNSPhttps://i-blog.csdnimg.cn/direct/436192401cca43f48a106a9d0a212895.png
一、操持拓扑图
并按要求进行设备IP所在,网关,子网掩码等底子配置。
https://i-blog.csdnimg.cn/direct/56242441d0b44800aa886fa77b87bfa3.png
二、开始将进行配置
第1步:配置防火墙的接口
如下图:但是配置前记得先输入sys,目的是从用户视图切换到系统视图 。
https://i-blog.csdnimg.cn/direct/b3c622b1572e4abbaf45a5f309163241.png
第2步:配置防火墙的安全域
这里先进行防火墙区域的简单解释(拓扑图中我只标出了trust,untrust,dmz三个区域):
[*] Trust(信任区域):
[*] 通常用于内部网络,如公司内部网络。被认为是最安全的区域,由于该区域内的用户和设备被认为可以信任。
[*] 内部用户所在的网络区域,通常将内网终端用户所在区域划分为trust区域。
[*] Untrust(不信任区域):
[*] 通常用于外部网络,如互联网。被认为是最不安全的区域,由于该区域内的流量可能包罗恶意活动。
[*] 通常将Internet等不安全的网络划分为untrust区域。
[*] DMZ(非军事化区域):
[*] 用于放置那些需要对外提供服务但又需要掩护的服务器,如Web服务器、邮件服务器等。
[*] 通常将内网服务器所在区域划分为DMZ区域,这些服务器答应外部访问,但与内部网络隔离,以增强安全性。
[*] DMZ可以理解为一个差别于外网或内网的特殊网络区域,DMZ内通常放置一些不含机密信息的公用服务器,好比Web、Mail、FTP等。如许来自外网的访问者可以访问DMZ中的服务,但不可能接触到存放在内网中的公司机密或私家信息等,纵然DMZ中服务器受到破坏,也不会对内网中的机密信息造成影响。
[*] Local(当地区域):
[*] 代表防火墙设备自己,包括设备的各接口自己。
[*] 由设备自动发出的报文均可认为是从Local区域中发出的;如果需要设备响应并处置惩罚的报文均可认为是由local区域吸收。
https://i-blog.csdnimg.cn/direct/32b4087cd9a34d9b8d32ea4bdca38e8f.png
第3步:配置防火墙的安全计谋
配置安全计谋是基于安全域来进行的
local(优先级100),trust(优先级85),dmz(优先级50),untrust(优先级5)。
高优先级向低优先级视为出:outbound;
低优先级向高优先级视为入:inbound。
https://i-blog.csdnimg.cn/direct/bde82f6962364eccb48f51fdd2090344.png
https://i-blog.csdnimg.cn/direct/ba55957bba544976b85c7aafbe0f7812.png
https://i-blog.csdnimg.cn/direct/aa8f7a99c51444efbe1f24814c8a9af0.png
https://i-blog.csdnimg.cn/direct/0b10d64eee3d45698a3f86bceb1bc905.png
1.先配置trust到dmz outbound 的出站规则
policy interzone trust dmz outbound
policy 2 #给规则编号为policy 2
policy source 192.168.2.0 0.0.0.255 #后面的0.0.0.255是反掩码,匹配IP地址的前24位
policy destination 172.16.1.1 0.0.0.0 #这里是0.0.0.0,匹配的IP地址更具体,具体到是172.16.1.1这台指定设备
policy service service-set http #指定http服务
action permit #执行“permit”操作,即允许 policy 2对应要求172.16.1.1服务器可以给企业内部网(192.168.2.0)提供web服务
policy 3对应要求172.16.1.2服务器可以给企业内部网(192.168.2.0)提供dns服务
policy 4对应要求内部网管部门(192.168.1.0)完全控制web服务器和dns服务器
policy 4
policy source 192.168.1.0 0.0.0.255
policy destination 172.16.1.0 0.0.0.255
action permit #因为是对两台服务器完全控制,直接action permit,默认所有服务都允许即可,不用再进行更细粒度的服务配置 https://i-blog.csdnimg.cn/direct/30aa0f195ee74ceea497baf0c958045d.png
2.再配置untrust到dmz inbound 的出站规则(配置下令跟上面给出的都大差不差,只是IP所在和安全域差别)
policy 1对应172.16.1.1服务器可以给外网(10.1.1.0)提供web服务
policy 2对应172.16.1.2服务器可以给外网(10.1.1.0)提供dns服务
https://i-blog.csdnimg.cn/direct/2f5fd268a82147359aa5ff75e2b422ba.png
3.防火墙规则都配置好之后,在对应的服务器上部署相应服务
https://i-blog.csdnimg.cn/direct/d6ac70c83c2141629f7326c8f5fc5243.png
--------------------------------------------
https://i-blog.csdnimg.cn/direct/4f04804c1ffe4f799745c32d76d7cea2.png
在企业内部网客户端进行测试能否成功获取相干服务
https://i-blog.csdnimg.cn/direct/694d80f974604d3d9bf7139d541ba4c3.png
https://i-blog.csdnimg.cn/direct/60804db4d7de46d2945c310b9464900e.png
测试结果成功,可以直接用IP获取服务也可以用域名来获取服务。
同理在untrust区域的客户端也一样可以,感兴趣的小伙伴可以自行测试测试,还挺有意思的。
三、总结
在配置防火墙规则时要把细粒度的规则配置在粗粒度规则之上,由于防火墙匹配规则是是按照规则序号先后来进行匹配,如果把粗粒度规则配置在细粒度规则之前,可能会使排在背面的细粒度规则无法生效。
本篇文章到结束,感谢看到末了的各位,如有错误,请尽情指点!
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]