防火墙安全策略–精确策略(基础 HCL实验)
题目要求:
终端可以通过http /https 访问服务器,但不能访问其他服务,比如telnet;(注意理解此实验,是单向安全策略)
配置步骤:
1、防火墙基本配置,配置接口IP ,接口加入安全域
Press ENTER to get started. Login: admin Password: admin [H3C]sysname FW [FW][FW-GigabitEthernet1/0/1]int g1/0/0 [FW-GigabitEthernet1/0/0]ip address 200.1.1.1 24 [FW]int g 1/0/1 [FW-GigabitEthernet1/0/1]ip address 100.1.1.1 24 [FW]security-zone name Trust [FW-security-zone-Trust]import interface g1/0/1 //接口加入安全域 [FW]security-zone name Untrust [FW-security-zone-Untrust]import interface g1/0/0 //接口加入安全域
2、服务器配置(用AC模拟,因AC有网页访问功能)
[AC]sysname WEB [WEB]int g1/0/1 [WEB-GigabitEthernet1/0/1]port link-mode route [WEB-GigabitEthernet1/0/1]ip address 100.1.1.2 24 [WEB]ip http enable //开启设备HTTP服务功能 [WEB]ip https enable //开启设备HTTP服务功能 [WEB]local-user admin [WEB-luser-manage-admin]service-type http https //开启用户具备 http HTTP服务功能 [WEB] ip route-static 0.0.0.0 0 100.1.1.1
3、防火墙配置服务 地址组
[WEB]object-group ip address 1 //地址段 [WEB-obj-grp-ip-1]1 network subnet 100.1.1.0 24 [WEB]object-group ip address 2 [WEB-obj-grp-ip-2]network subnet 200.1.1.0 24 [WEB]object-group service 11 //服务 [WEB-obj-grp-service-11]1 service tcp destination eq 80 [WEB-obj-grp-service-11]2 service tcp destination eq 443
4、防火墙配置安全策略
[FW]security-policy ip [FW-security-policy-ip-1-u-t] rule 1 name u-t [FW-security-policy-ip-1-u-t] source-zone untrust [FW-security-policy-ip-1-u-t] destination-zone trust [FW-security-policy-ip-1-u-t] source-ip 2 //调用地址 [FW-security-policy-ip-1-u-t] destination-ip 1 [FW-security-policy-ip-1-u-t] service 11 //调用服务 [FW-security-policy-ip-1-u-t] act pass //一定要配置放行,默认拒绝