总部的人想要远程我这里查看防火墙配置的策略等,说让开防火墙untrust权限,提供远程账号
需要哪些步骤,不懂防火墙
(0)
最佳答案
您好,参考
防火墙基于安全域进行访问控制,将从接口的访问控制上升到基于安全域的访问控制。防火墙从体系结构上抛弃了传统防火墙的内外概念,各个域间的默认安全级别是一样的,之间的安全差异由用户来定制,具有极大的灵活性。防火墙可以根据企业的安全需求将不同网段划分成独立的安全域,通过在这些安全域间加载独立的访问控制策略来限制不同信任度网络之间的相互访问,也就是说,防火墙提供了更加细粒度的安全控制,这样即使某个低安全等级的区域出现了安全裂缝,但由于受到防火墙的控制,其它安全域也不会受其影响。
防火墙默认分为5个安全区域:untrust、dmz、trust、local、management,安全域名称不同对应的功能也有区别:
untrust(不信任域):
通常用来定义Internet等不安全的网络,用于网络入口线的接入。
dmz(隔离区):
通常用来定义内部服务器所在网络,作用是把WEB,E-mail,等允许外部访问的服务器单独接在该区端口,使整个需要保护的内部网络接在信任区端口后,不允许任何访问,实现内外网分离,达到用户需求。DMZ可以理解为一个不同于外网或内网的特殊网络区域,DMZ内通常放置一些不含机密信息的公用服务器,比如Web、Mail、FTP等。这样来自外网的访问者可以访问DMZ中的服务,但不可能接触到存放在内网中的公司机密或私人信息等,即使DMZ中服务器受到破坏,也不会对内网中的机密信息造成影响。
trust(信任域):通常用来定义内部用户所在的网络,也可以理解为应该是防护最严密的地区。
local(本地):local就是防火墙本身的区域,比如ping指令等网际控制协议的回复,需要local域的权限,总结为以下两点:
1、凡是由防火墙主动发出的报文均可认为是从Local区域中发出
2、凡是需要防火墙响应并处理(而不是转发)的报文均可认为是由Local区域接收
management(管理):除了console控制接口对设备进行配置,如果防火墙设备可以通过web界面配置的话,需要一根双绞线连接到管理接口,键入用户名和密码进行配置。
缺省情况下(除management区域)所有安全域之间均不能互访、同安全区域间终端也无法互访,安全域之间互访必须使用安全策略来实现。
举例:现场设备已经放通了Any域到Any域的安全策略后发现trust域内用户无法互访?
zone-pair security source Any destination Any
packet-filter 3000
#
acl advanced 3000
rule 0 permit ip
.#
答案是Any域到Any域不包括trust域到trust域、trust域到local域、local域到trust域,因此需要放通同安全域间安全策略,放通同安全域安全策略有两种方法:
1、通过“security-zone intra-zone default permit”命令放通同安全域间的数据互访。
<H3C>system-view
[H3C]security-zone intra-zone default permit
2、配置同安全域间安全策略。
zone-pair security source trust destination trust
packet-filter 3000
#
acl advanced 3000
rule 0 permit ip
#
(0)
防火墙web界面能不能做这个?
防火墙web界面能不能做这个?
您好,请知:
放通untrust到LOCAL的安全策略就可以了,动作为允许。
(0)
根据现场需求来
需要写具体的源目的IP吗?
根据现场需求来
增加安全策略:放通UNtrust 到local 策略即可;
UNtrust到本地local
_____
rule 100 name untrust_local
action pass
source-zone untrust
destination-zone local
service https
service ssh
service telnet
service http
(0)
security-policy ip {不需要x.x.x.x吧,我?是cr} rule 100 name untrust_local action pass source-zone untrust destination-zone local service https service ssh service telnet service http
需要把这些写在ACL里面吗?
写到安全策略里、直接系统模式下复制即可、新增策略,最好将此rule id 移到最前;
没有配置过安全策略,第一行怎么写?得写对应IP什么的吗
security-policy ip {不需要x.x.x.x吧,我?是cr} rule 100 name untrust_local action pass source-zone untrust destination-zone local service https service ssh service telnet service http
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明