您當(dāng)前位置: 主頁 > IT服務(wù) > 網(wǎng)絡(luò)服務(wù) >
網(wǎng)絡(luò)運(yùn)維|防火墻基于MAC的轉(zhuǎn)發(fā)策略
2020-05-26 17:11 作者:艾銻無限 瀏覽量:
大家好,我是一枚從事IT外包的網(wǎng)絡(luò)安全運(yùn)維工程師,今天和大家分享的是網(wǎng)絡(luò)安全設(shè)備維護(hù)相關(guān)的內(nèi)容,想要學(xué)習(xí)防火墻必須會配置轉(zhuǎn)發(fā)策略。簡單網(wǎng)絡(luò)安全運(yùn)維,從防火墻學(xué)起,一步一步學(xué)成網(wǎng)絡(luò)安全運(yùn)維大神。網(wǎng)絡(luò)維護(hù)是一種日常維護(hù),包括網(wǎng)絡(luò)設(shè)備管理(如計算機(jī),服務(wù)器)、操作系統(tǒng)維護(hù)(系統(tǒng)打補(bǔ)丁,系統(tǒng)升級)、網(wǎng)絡(luò)安全(病毒防范)等。+
北京艾銻無限科技發(fā)展有限公司為您免費(fèi)提供給您大量真實有效的北京網(wǎng)絡(luò)維護(hù)服務(wù),北京網(wǎng)絡(luò)維護(hù)信息查詢,同時您可以免費(fèi)資訊北京網(wǎng)絡(luò)維護(hù),北京網(wǎng)絡(luò)維護(hù)服務(wù),北京網(wǎng)絡(luò)維護(hù)信息。專業(yè)的北京網(wǎng)絡(luò)維護(hù)信息就在北京艾銻無限+
+
北京網(wǎng)絡(luò)維護(hù)全北京朝陽豐臺北京周邊海淀、大興、昌平、門頭溝、通州、西城區(qū)、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網(wǎng)絡(luò)維護(hù)信息
基于MAC地址的轉(zhuǎn)發(fā)策略
介紹最基本的通過MAC地址控制訪問權(quán)限的舉例。組網(wǎng)需求
如圖7-8所示,某企業(yè)經(jīng)三層交換機(jī)通過USG接入Internet,三層交換機(jī)可獲取到企業(yè)內(nèi)網(wǎng)PC的ARP表項。企業(yè)員工通過基于全局地址池的DHCP方式分配到動態(tài)的IP地址,全局地址池的IP地址范圍是192.168.5.0/24。其中,有三臺PC的MAC地址分別為0025-1185-8C21、0021-97cf-2238以及00e0-4c86-58eb。該企業(yè)要求,除這三臺對安全性有較高要求的PC外,其他PC均可訪問Internet。圖7-8 基于IP地址的域間轉(zhuǎn)發(fā)策略
1. 轉(zhuǎn)發(fā)策略規(guī)劃。配置思路
需求中要求允許192.168.5.0/24這個IP網(wǎng)段通過防火墻訪問Internet,并拒絕幾個特殊MAC所對應(yīng)PC訪問Internet。這樣需要配置2條轉(zhuǎn)發(fā)策略,先配置拒絕特殊MAC對應(yīng)PC發(fā)送的數(shù)據(jù)流通過的轉(zhuǎn)發(fā)策略,再配置允許整個IP網(wǎng)段這個大范圍的數(shù)據(jù)流通過的轉(zhuǎn)發(fā)策略。如果配置順序相反,指定的幾個特殊MAC地址所對應(yīng)PC發(fā)送的數(shù)據(jù)流就會先匹配上針對整個IP網(wǎng)段數(shù)據(jù)流的策略而通過防火墻,不會再繼續(xù)匹配后配置的針對特殊MAC地址的轉(zhuǎn)發(fā)策略。2. 地址組規(guī)劃和配置。
需求中是通過MAC地址控制訪問權(quán)限,那么需要在轉(zhuǎn)發(fā)策略中指定MAC地址作為匹配條件。建議將零散的MAC地址配置為一個地址組,可實現(xiàn)對零散MAC地址的統(tǒng)一控制,也方便被其他策略復(fù)用。所以在本例中可以將幾個特殊的MAC地址0025-1185-8C21、0021-97cf-2238和00e0-4c86-58eb配置成一個名為mac_deny的地址組。
地址組配置的菜單路徑為:“防火墻 > 地址 > 地址組”。
3. 轉(zhuǎn)發(fā)策略配置。
轉(zhuǎn)發(fā)策略配置的菜單路徑為:“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。
說明:
· 本例只給出轉(zhuǎn)發(fā)策略的配置步驟,實際內(nèi)網(wǎng)訪問Internet還需要配置NAT,注意配置轉(zhuǎn)發(fā)策略時指定的源IP地址是NAT轉(zhuǎn)換前的實際內(nèi)網(wǎng)IP地址。
· 內(nèi)網(wǎng)PC上需要配置網(wǎng)關(guān),本例中是接口(4),即三層交換機(jī)GigabitEthernet 0/0/2接口的IP地址。
· USG上需要在“路由 > 靜態(tài) > 靜態(tài)路由”中配置缺省路由,下一跳為172.168.1.5/24。
操作步驟
1. 配置三層交換機(jī)的SNMP選項,包括開啟SNMP Agent服務(wù)以及配置團(tuán)體名等。說明:
三層交換機(jī)需要支持SNMP協(xié)議的v2c版本,否則不支持跨三層MAC地址識別。
此步操作需要在三層交換機(jī)上執(zhí)行。如果三層交換機(jī)本身已經(jīng)支持并完成了SNMP選項的配置,請直接在USG上進(jìn)行如下配置。
2. 配置接口基本參數(shù)。
a. 選擇“網(wǎng)絡(luò) > 接口 > 接口”。
b. 在“接口列表”中單擊GE0/0/2對應(yīng)的
。c. 配置接口GigabitEthernet 0/0/2。
配置參數(shù)如下:
· 安全區(qū)域:trust
· 模式:路由
· 連接類型:靜態(tài)IP
· IP地址:172.168.1.2
· 子網(wǎng)掩碼:255.255.255.0
d. 單擊“應(yīng)用”。
e. 重復(fù)上述步驟配置接口GigabitEthernet 0/0/3。
配置參數(shù)如下:
· 安全區(qū)域:untrust
· 模式:路由
· 連接類型:靜態(tài)IP
· IP地址:1.1.1.1
· 子網(wǎng)掩碼:255.255.255.0
3. 開啟跨三層MAC地址識別功能,并指定目標(biāo)三層交換機(jī)的IP地址為172.168.1.5/24,團(tuán)體名為public。
a. 選擇“系統(tǒng) > 配置 > 跨三層MAC識別”。
b. 勾選“跨三層MAC識別”右側(cè)的“啟用”。
按照如圖7-9所示的具體參數(shù),配置跨三層MAC識別功能。
圖7-9 配置跨三層MAC識別
a. 選擇“防火墻 > 地址 > 地址”。
b. 在“地址列表”中單擊,進(jìn)入“新建地址”界面。
c. 配置地址的名稱和描述信息。
配置參數(shù)如下:
· 名稱:mac_deny
· 描述:特殊內(nèi)網(wǎng)用戶的MAC地址集合,對安全性要求較高,不允許訪問Internet。
d. 在“子網(wǎng)、IP范圍或MAC地址”中添加MAC地址0025-1185-8C21、0021-97cf-2238以及00e0-4c86-58eb。單擊“應(yīng)用”。
5. 配置拒絕特殊地址組mac_deny內(nèi)所有MA址所對應(yīng)的PC訪問Internet的轉(zhuǎn)發(fā)策略。
a. 選擇“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。
b. 在“轉(zhuǎn)發(fā)策略列表”中單擊。
該轉(zhuǎn)發(fā)策略的具體參數(shù)配置如圖7-10所示。
圖7-10 配置阻止特殊MAC地址集合mac_deny訪問Internet的轉(zhuǎn)發(fā)策略
6. 配置允許192.168.5.0/24網(wǎng)段訪問Internet的轉(zhuǎn)發(fā)策略。
a. 選擇“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。
b. 在“轉(zhuǎn)發(fā)策略列表”中單擊。
該轉(zhuǎn)發(fā)策略的具體參數(shù)配置如圖7-11所示。
圖7-11 配置允許192.168.5.0/24網(wǎng)段訪問Internet的轉(zhuǎn)發(fā)策略
說明:
缺省情況下,Trust-Untrust域間出方向的缺省包過濾策略為deny,如果之前已經(jīng)配置了permit請注意配置此步驟。
a. 選擇“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。
b. 在“轉(zhuǎn)發(fā)策略列表”中單擊“trust->untrust”下面“默認(rèn)”對應(yīng)的
。“trust->untrust”默認(rèn)轉(zhuǎn)發(fā)策略的配置如圖7-12所示。
圖7-12 配置“trust->untrust”默認(rèn)轉(zhuǎn)發(fā)策略為deny
結(jié)果驗證
1. 驗證0025-1185-8C21、0021-97cf-2238以及00e0-4c86-58eb這3臺PC訪問Internet是否被拒絕。如果能訪問說明配置錯誤,請檢查轉(zhuǎn)發(fā)策略地址匹配條件是否配置正確、策略配置順序是否正確。如果先配置了允許整個網(wǎng)段訪問Internet的轉(zhuǎn)發(fā)策略,這幾個MAC地址對應(yīng)的PC發(fā)送的數(shù)據(jù)流就不會匹配到拒絕其訪問Internet的策略了。2. 驗證192.168.5.0/24中的其他IP地址是否可以正常訪問Internet,如果不能請檢查配置。
以上文章由北京艾銻無限科技發(fā)展有限公司整理
相關(guān)文章
- [網(wǎng)絡(luò)服務(wù)]保護(hù)無線網(wǎng)絡(luò)安全的十大
- [網(wǎng)絡(luò)服務(wù)]無線覆蓋 | 無線天線對信
- [網(wǎng)絡(luò)服務(wù)]綜合布線 | 綜合布線發(fā)展
- [數(shù)據(jù)恢復(fù)服務(wù)]電腦運(yùn)維技術(shù)文章:win1
- [服務(wù)器服務(wù)]串口服務(wù)器工作模式-服務(wù)
- [服務(wù)器服務(wù)]串口服務(wù)器的作用-服務(wù)維
- [服務(wù)器服務(wù)]moxa串口服務(wù)器通訊設(shè)置參
- [網(wǎng)絡(luò)服務(wù)]網(wǎng)絡(luò)運(yùn)維|如何臨時關(guān)閉
- [網(wǎng)絡(luò)服務(wù)]網(wǎng)絡(luò)運(yùn)維|如何重置IE瀏覽
- [網(wǎng)絡(luò)服務(wù)]網(wǎng)絡(luò)運(yùn)維|win10系統(tǒng)升級后
- [辦公設(shè)備服務(wù)]辦公設(shè)備:VPN簡介
- [辦公設(shè)備服務(wù)]辦公設(shè)備:VPN技術(shù)的要求
IT電腦維護(hù)外包
關(guān)閉