网络运维|防火墙基于用户的转发策略

| 2020-05-29 14:32:25    标签:

大家好,我是一枚从事IT外包网络安全运维工程师,今天和大家分享的是网络安全设备维护相关的内容,想要学习防火墙必须会配置转发策略。简单网络安全运维,从防火墙学起,一步一步学成网络安全运维大神。


网络维护是一种日常维护,包括网络设备管理(如计算机,服务器)、操作系统维护(系统打补丁,系统升级)、网络安全(病毒防范)等。+
北京艾锑无限科技发展有限公司为您免费提供给您大量真实有效的北京网络维护服务,北京网络维修信息查询,同时您可以免费资讯北京网络维护,北京网络维护服务,北京网络维修信息。专业的北京网络维护信息就在北京艾锑无限

北京网络维护全北京朝阳丰台北京周边海淀、大兴、昌平、门头沟、通州、西城区、燕郊、石景山、崇文、房山、宣武、顺义、平谷、延庆全北京网络维护信息


基于用户的转发策略

   介绍根据用户帐号控制企业上网权限的举例。


组网需求

   某企业内网地址为192.168.5.0/24网段,只允许市场部的员工访问Internet,通过用户帐号对权限进行控制,如图7-23所示。

   而且要求对上网员工的IM应用进行限制,避免浪费网络资源。


图7-23  基于用户的转发策略 

项目

数据

说明

(1)

接口号:GigabitEthernet 0/0/2

IP地址:192.168.5.1/24

与内网连接的设备接口。

(2)

接口号:GigabitEthernet 0/0/3

IP地址:1.1.1.1/24

与外网连接的设备接口。

内网IP地址范围

192.168.5.0/24

市场部用户组

组名:sales

认证方式:本地密码认证


配置思路

  1.确保用户可以正常认证。

    用户认证通过才能匹配转发策略,本例以本地密码认证为例。关于用户认证的详细介绍请参见用户管理部分。

    用户配置的菜单路径为:“用户 > 上网用户”。


  2.配置应用控制策略,阻断IM应用。

    应用控制策略配置的菜单路径为:“UTM > 应用控制 > 策略”。


  3.配置转发策略,并引用应用控制策略。

    转发策略配置的菜单路径为:“防火墙 > 安全策略 > 转发策略”。

    说明:

      ·本例只给出转发策略的配置步骤,实际内网访问Internet还需要配置NAT,注意配置转发策略时指定的源IP地址是NAT转换前的实际内网IP地址。

      ·内网PC上需要配置网关,本例中网关为接口(1),即GigabitEthernet 0/0/2的接口IP地址。

      ·USG上需要在“路由 > 静态 > 静态路由”中配置缺省路由。

      ·如果局域网使用二层接口卡的LAN口接入,需要将物理口加入VLAN并配置Vlanif。此时需要将Vlanif接口加入Trust域并配置转发策略。


操作步骤

  1.配置接口基本参数。

    a.选择“网络 > 接口 > 接口”。

    b.在“接口列表”中单击GE0/0/2对应的

    c.配置接口GigabitEthernet 0/0/2。

      配置参数如下:

        ·安全区域:trust

        ·模式:路由

        ·连接类型:静态IP

        ·IP地址:192.168.5.1

        ·子网掩码:255.255.255.0

    d.单击“应用”。

    e.重复上述步骤配置接口GigabitEthernet 0/0/3。

      配置参数如下:

        ·安全区域:untrust

        ·模式:路由

        ·连接类型:静态IP

        ·IP地址:1.1.1.1

        ·子网掩码:255.255.255.0


  2.配置用户及认证功能。

    a.创建市场部用户组。

      i.选择“用户 > 上网用户 > 组/用户”。

          在“成员管理”中单击,选择“新建组”。

          在“组名”中输入sales,“所属组”选择root。

          单击“应用”。

    b.在sales组中新建用户,以user_a为例。

       .在“组织结构”中选择“sales”。

         在“成员管理”中单击,选择“新建单个用户”。

         配置user_a的相关参数如图7-24所示。


图7-24  在sales组中创建用户user_a 


       iii.单击“应用”。

    c.配置192.168.5.0/24网段的认证策略为本地密码认证。

      .选择“用户 > 上网用户 > 认证策略”。

        在“认证策略列表”中单击

        认证策略的相关参数配置如图7-25所示。


图7-25  配置192.168.5.0/24网段采用本地密码认证 


       iii.单击“应用”。


  3.配置阻断上网员工IM应用的应用控制策略im_block。

     a.选择“UTM > 应用控制 > 策略”。

     b.在“基本配置”中选中“应用控制功能”的“启用”复选框。

     c.单击“应用”。

     d.在“应用控制策略列表”单击

     e.在“名称”中输入im_block。

     f.单击“应用”。

     g.在“应用控制列表”中单击

     h.配置应用控制的相关参数,如图7-26所示。


图7-26  配置阻断IM应用 


     i.单击“确定”。

     j.单击“应用”。


  4.配置允许市场部员工上网,并阻断IM应用的转发策略。

     a.选择“防火墙 > 安全策略 > 转发策略”。

     b.选择“转发策略”页签。

     c.在“转发策略列表”中单击


该转发策略的具体参数配置如图7-27所示。


图7-27  配置允许市场部员工上网的转发策略 


     d.单击“应用”。


  5.(可选)配置Trust-Untrust域间出方向的缺省包过滤策略为deny。

     说明:

        缺省情况下,Trust-Untrust域间出方向的缺省包过滤策略为deny,如果之前已经配置了permit请注意配置此步骤。

     a.选择“防火墙 > 安全策略 > 转发策略”。

     b.选择“转发策略”页签。

     c.在“转发策略列表”中单击“trust->untrust”下面“默认”对应的


“trust->untrust”默认转发策略的配置如图7-28所示。


图7-28  配置“trust->untrust”默认转发策略为deny 

     

     d.单击“应用”。


结果验证

验证市场部员工user_a通过认证后是否可以正常上网,并且不能使用QQ、MSN等即时通信软件。如发现异常请检查配置。

 

以上文章由北京艾锑无限科技发展有限公司整理