IT评测·应用市场-qidao123.com

标题: eNSP-模仿为企业进行防火墙安全配置 [打印本页]
作者: 自由的羽毛    时间: 2025-3-20 05:28
标题: eNSP-模仿为企业进行防火墙安全配置
按照以下要求模仿进行防火墙配置,使用工具,eNSP

一、操持拓扑图

并按要求进行设备IP所在,网关,子网掩码等底子配置。 

二、开始将进行配置 

第1步:配置防火墙的接口

如下图:但是配置前记得先输入sys,目的是从用户视图切换到系统视图 。

第2步:配置防火墙的安全域

这里先进行防火墙区域的简单解释(拓扑图中我只标出了trust,untrust,dmz三个区域): 

第3步:配置防火墙的安全计谋

配置安全计谋是基于安全域来进行的
local(优先级100),trust(优先级85),dmz(优先级50),untrust(优先级5)。

高优先级向低优先级视为出:outbound;

低优先级向高优先级视为入:inbound。





1.先配置trust到dmz outbound 的出站规则
  1. policy interzone trust dmz outbound
  2. policy 2                                #给规则编号为policy 2
  3. policy source 192.168.2.0 0.0.0.255     #后面的0.0.0.255是反掩码,匹配IP地址的前24位
  4. policy destination 172.16.1.1 0.0.0.0   #这里是0.0.0.0,匹配的IP地址更具体,具体到是172.16.1.1这台指定设备
  5. policy service service-set http         #指定http服务
  6. action permit                           #执行“permit”操作,即允许
复制代码
policy 2对应要求172.16.1.1服务器可以给企业内部网(192.168.2.0)提供web服务 
policy 3对应要求172.16.1.2服务器可以给企业内部网(192.168.2.0)提供dns服务
policy 4对应要求内部网管部门(192.168.1.0)完全控制web服务器和dns服务器
  1. policy 4
  2. policy source 192.168.1.0 0.0.0.255
  3. policy destination 172.16.1.0 0.0.0.255
  4. action permit    #因为是对两台服务器完全控制,直接action permit,默认所有服务都允许即可,不用再进行更细粒度的服务配置
复制代码

2.再配置untrust到dmz inbound 的出站规则(配置下令跟上面给出的都大差不差,只是IP所在和安全域差别)
policy 1对应172.16.1.1服务器可以给外网(10.1.1.0)提供web服务
policy 2对应172.16.1.2服务器可以给外网(10.1.1.0)提供dns服务

3.防火墙规则都配置好之后,在对应的服务器上部署相应服务

--------------------------------------------

在企业内部网客户端进行测试能否成功获取相干服务


测试结果成功,可以直接用IP获取服务也可以用域名来获取服务。
同理在untrust区域的客户端也一样可以,感兴趣的小伙伴可以自行测试测试,还挺有意思的。
三、总结

在配置防火墙规则时要把细粒度的规则配置在粗粒度规则之上,由于防火墙匹配规则是是按照规则序号先后来进行匹配,如果把粗粒度规则配置在细粒度规则之前,可能会使排在背面的细粒度规则无法生效。
本篇文章到结束,感谢看到末了的各位,如有错误,请尽情指点!
 

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。



欢迎光临 IT评测·应用市场-qidao123.com (https://dis.qidao123.com/) Powered by Discuz! X3.4