防火墙策略配置
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
路漫漫其悠远
时间对象定义
路漫漫其悠远
时间对象的设置特点
• 时间对象=日期+时钟段 • 对于时钟段元素,每个时间对象可以最多设置6个 • 对于日期元素,每个时间对象可以设置周期性日期和
特定日期 • 在web配置界面,设置日期元素时,可以用“空”或“*”
表示任意 • 时间定义精细度到秒 • 时间对象与时间组对象的总和不能超过16个
路漫漫其悠远
Web界面新增时间对象
• 新增时间对象:
路漫漫其悠远
▪周期性日期设置
Web界面新增时间对象
• 新增时间对象:时间->新增
▪指 定 日 期 设 置
路漫漫其悠远
时间对象分组
• 时间对象分组:时间->分组
▪如果想定义主机对象,一定要将掩码设成255.255.255.255
▪如果想定义网络对象,但将掩码设成了255.255.255.255,系统也会当作 主机对象处理
Web界面网络对象分组
• 浏览网络对象分组:
路漫漫其悠远
Web界面网络对象分组
• 新增网络分组:
▪将有共性的对象 ▪用一个组来表示 ▪,以达到简化策 ▪略的目的
– 主机对象:主机,工作站,服务器等具有单个IP的 网络设备
– 网络对象:用地址/掩码表示的一个子网内的全部IP 地址
– 组对象:一个或多个主机对象、网络对象或两者的 混合组合
路漫漫其悠远
网络配置
内网地址
if1
if0
if2
外网地址
Internet
DMZ地址
• 所有的网络对象按照物理位置来划分
– 如果物理位置在防火墙内网口一端,则属于内网对象 – 如果物理位置在防火墙DMZ网口一端,则属于DMZ对象 – 如果物理位置在防火墙外网口一端,则属于外网对象
Web界面新增服务组
• 新增服务组:
▪将有共性的服务 ▪对象用一个组来 ▪表示,以达到简 ▪化策略的目的
路漫漫其悠远
命令行服务对象配置
• 服务配置常用命令
– # svcobj list: 查看所有服务对象 – #svcobj add <name> ip <ipprotocolno> <comment> : 新增IP标准服务 – #svcobj add <name> tcp|udp <port1> <port2> <comment>:新增TCP/UDP标准
服务 – #svcobj add <name> icmp <type> <code> <comment>:新增ICMP标准服务 – #svcgrp list:查看所有服务分组 – #svcgrp gadd <name> <comment>:增加服务组 – #svcgrp oadd <gname> <oname>:增加服务组中的成员
防火墙策略配置
路漫漫其悠远 2021/4/11
目标
• 配置网络对象(主机、网络与对象分组) • 理解预先定义的服务,配置自定义服务,服务分
组 • 时间对象定义 • 合理设置访问控制规则
路漫漫其悠远
访问控制策略
Intranet Web 10.1.10.5
Corp Mail 10.1.10.6
Intranet DNS 10.1.10.7
PC1 10.1.10.13
PC2 10.1.10.18
PC3 10.1.10.33
if1 10.1.10.1
if0 2.2.2.10
if2 2.2.100.1
Internet router
2.2.2.254
10.1.10.2
Interne t
Corp Web Mail Relay DMZ DNS 2.2.100.2 2.2.100.3 2.2.100.4
路漫漫其悠远
Web界面网络对象浏览
• 按防火墙n个网口分为n个区域 • 兰色的为缺省网络对象,不可删除和修改。在定义了网口地址后
,在相应的网络区域就会出现该缺省对象
路漫漫其悠远
Web界面新增网络对象
• 新增网络对象:网络->新增
▪根据物理位 ▪置选择网络
▪接口卡
路漫漫其悠远
▪支持可变长子网掩码(VLSM)
Sales
Tech Marketing
10.1.20.0 10.1.30.0 10.1.40.0
▪防火墙通过访问控制策略来限制各网络设备通过防火墙的访问
路漫漫其悠远
策略的基本结构
▪源
▪目的
▪服务
▪动作
▪时间
▪网络或主机 ▪网络或主机
路漫漫其悠远
▪网络服务
▪怎样控制?
▪策略何时 ▪有效?
配置策略前需定义的对象
服务对象定义
路漫漫其悠远
服务配置
• 用于配置各种网络协议对象,配置的服务分为 标准服务与代理服务两种,在配置安全策略前 ,应首先定义策略中所包含的服务对象
– 标准服务: – TCP, UDP, ICMP和其它所有IP协议 – 代理服务: – HTTP代理,TELNET代理,SMTP代理, POP3
代理,FTP代理
路漫漫其悠远
Web界面服务对象浏览
• 浏览服务配置:
路漫漫其悠远
▪蓝色显示部分 ▪为防火墙缺省 ▪定义的服务, ▪不能修改和删 ▪除(缺省服务 ▪中只有TELNET ▪代理服务可以 ▪修改)
Web界面新增服务对象
• 新增服务对象:
路漫漫其悠远
▪TELNET代理服务不能新增,只能在“浏览”界面中修改缺省定义
路漫漫其悠远
命令行网络对象配置
Hale Waihona Puke Baidu
• 与网络配置相关的命令
– # netobj list: 查看所有网络对象
– #netobj add <name> <interface> <ip/maskbits> <comment>: 新增网络对 象
路漫漫其悠远
– #netobj del <name>:删除网络对象 – #netgrp list:查看所有组对象 – #netgrp gadd <name> <comment>:新增组对象 – #netgrp odd <gname> <oname>:增加组对象成员 – #arp add <ip> <mac>:新增一个地址绑定主机
▪源
▪目的
▪服务
▪动作
▪时间
▪网络或主机
▪网络或主机
▪网络服务
▪怎样控制?
▪策略何时 ▪有效?
▪需定义 ▪网络或主机
▪对象
▪需定义 ▪网络或主机
▪对象
▪需定义 ▪网络服务
▪对象
▪如果是授权 ▪控制,需定 ▪义用户对象
▪需定义 ▪时间 ▪对象
路漫漫其悠远
网络对象定义
路漫漫其悠远
网络配置
• 网络配置用于定义网络中的各种对象,在配置 安全策略前,应首先定义策略中所包含的源和 目的对象
时间对象定义
路漫漫其悠远
时间对象的设置特点
• 时间对象=日期+时钟段 • 对于时钟段元素,每个时间对象可以最多设置6个 • 对于日期元素,每个时间对象可以设置周期性日期和
特定日期 • 在web配置界面,设置日期元素时,可以用“空”或“*”
表示任意 • 时间定义精细度到秒 • 时间对象与时间组对象的总和不能超过16个
路漫漫其悠远
Web界面新增时间对象
• 新增时间对象:
路漫漫其悠远
▪周期性日期设置
Web界面新增时间对象
• 新增时间对象:时间->新增
▪指 定 日 期 设 置
路漫漫其悠远
时间对象分组
• 时间对象分组:时间->分组
▪如果想定义主机对象,一定要将掩码设成255.255.255.255
▪如果想定义网络对象,但将掩码设成了255.255.255.255,系统也会当作 主机对象处理
Web界面网络对象分组
• 浏览网络对象分组:
路漫漫其悠远
Web界面网络对象分组
• 新增网络分组:
▪将有共性的对象 ▪用一个组来表示 ▪,以达到简化策 ▪略的目的
– 主机对象:主机,工作站,服务器等具有单个IP的 网络设备
– 网络对象:用地址/掩码表示的一个子网内的全部IP 地址
– 组对象:一个或多个主机对象、网络对象或两者的 混合组合
路漫漫其悠远
网络配置
内网地址
if1
if0
if2
外网地址
Internet
DMZ地址
• 所有的网络对象按照物理位置来划分
– 如果物理位置在防火墙内网口一端,则属于内网对象 – 如果物理位置在防火墙DMZ网口一端,则属于DMZ对象 – 如果物理位置在防火墙外网口一端,则属于外网对象
Web界面新增服务组
• 新增服务组:
▪将有共性的服务 ▪对象用一个组来 ▪表示,以达到简 ▪化策略的目的
路漫漫其悠远
命令行服务对象配置
• 服务配置常用命令
– # svcobj list: 查看所有服务对象 – #svcobj add <name> ip <ipprotocolno> <comment> : 新增IP标准服务 – #svcobj add <name> tcp|udp <port1> <port2> <comment>:新增TCP/UDP标准
服务 – #svcobj add <name> icmp <type> <code> <comment>:新增ICMP标准服务 – #svcgrp list:查看所有服务分组 – #svcgrp gadd <name> <comment>:增加服务组 – #svcgrp oadd <gname> <oname>:增加服务组中的成员
防火墙策略配置
路漫漫其悠远 2021/4/11
目标
• 配置网络对象(主机、网络与对象分组) • 理解预先定义的服务,配置自定义服务,服务分
组 • 时间对象定义 • 合理设置访问控制规则
路漫漫其悠远
访问控制策略
Intranet Web 10.1.10.5
Corp Mail 10.1.10.6
Intranet DNS 10.1.10.7
PC1 10.1.10.13
PC2 10.1.10.18
PC3 10.1.10.33
if1 10.1.10.1
if0 2.2.2.10
if2 2.2.100.1
Internet router
2.2.2.254
10.1.10.2
Interne t
Corp Web Mail Relay DMZ DNS 2.2.100.2 2.2.100.3 2.2.100.4
路漫漫其悠远
Web界面网络对象浏览
• 按防火墙n个网口分为n个区域 • 兰色的为缺省网络对象,不可删除和修改。在定义了网口地址后
,在相应的网络区域就会出现该缺省对象
路漫漫其悠远
Web界面新增网络对象
• 新增网络对象:网络->新增
▪根据物理位 ▪置选择网络
▪接口卡
路漫漫其悠远
▪支持可变长子网掩码(VLSM)
Sales
Tech Marketing
10.1.20.0 10.1.30.0 10.1.40.0
▪防火墙通过访问控制策略来限制各网络设备通过防火墙的访问
路漫漫其悠远
策略的基本结构
▪源
▪目的
▪服务
▪动作
▪时间
▪网络或主机 ▪网络或主机
路漫漫其悠远
▪网络服务
▪怎样控制?
▪策略何时 ▪有效?
配置策略前需定义的对象
服务对象定义
路漫漫其悠远
服务配置
• 用于配置各种网络协议对象,配置的服务分为 标准服务与代理服务两种,在配置安全策略前 ,应首先定义策略中所包含的服务对象
– 标准服务: – TCP, UDP, ICMP和其它所有IP协议 – 代理服务: – HTTP代理,TELNET代理,SMTP代理, POP3
代理,FTP代理
路漫漫其悠远
Web界面服务对象浏览
• 浏览服务配置:
路漫漫其悠远
▪蓝色显示部分 ▪为防火墙缺省 ▪定义的服务, ▪不能修改和删 ▪除(缺省服务 ▪中只有TELNET ▪代理服务可以 ▪修改)
Web界面新增服务对象
• 新增服务对象:
路漫漫其悠远
▪TELNET代理服务不能新增,只能在“浏览”界面中修改缺省定义
路漫漫其悠远
命令行网络对象配置
Hale Waihona Puke Baidu
• 与网络配置相关的命令
– # netobj list: 查看所有网络对象
– #netobj add <name> <interface> <ip/maskbits> <comment>: 新增网络对 象
路漫漫其悠远
– #netobj del <name>:删除网络对象 – #netgrp list:查看所有组对象 – #netgrp gadd <name> <comment>:新增组对象 – #netgrp odd <gname> <oname>:增加组对象成员 – #arp add <ip> <mac>:新增一个地址绑定主机
▪源
▪目的
▪服务
▪动作
▪时间
▪网络或主机
▪网络或主机
▪网络服务
▪怎样控制?
▪策略何时 ▪有效?
▪需定义 ▪网络或主机
▪对象
▪需定义 ▪网络或主机
▪对象
▪需定义 ▪网络服务
▪对象
▪如果是授权 ▪控制,需定 ▪义用户对象
▪需定义 ▪时间 ▪对象
路漫漫其悠远
网络对象定义
路漫漫其悠远
网络配置
• 网络配置用于定义网络中的各种对象,在配置 安全策略前,应首先定义策略中所包含的源和 目的对象