使用版本

本举例是在F1000-AI-55的R8860版本上进行配置和验证的。

组网需求

如图-5所示，某公司内的各部门之间通过Device实现互连，公司内网中部署了域名为***.***的Web服务器用于公司财务管理，该域名已在内网DNS服务器中注册。通过配置安全策略，实现如下需求：

• 允许财务部通过HTTP协议访问财务管理Web服务器。

• 禁止市场部在任何时间通过HTTP协议访问财务管理Web服务器。

图-1 基于域名的安全策略典型配置组网图

配置步骤

1. 配置安全域

# 选择“网络 > 安全域”，进入安全域配置页面，依次配置如下内容。

• 创建名为web的安全域，并将接口GigabitEthernet1/0/1加入该安全域中

• 创建名为market的安全域，并将接口GigabitEthernet1/0/2加入该安全域中

• 创建名为finance的安全域，并将接口GigabitEthernet1/0/3加入该安全域中

• 创建名为dns的安全域，并将接口GigabitEthernet1/0/4加入该安全域中

2. 配置接口IP地址

# 单击接口GE1/0/1右侧的<编辑>按钮，配置如下。

• 选择“IPv4地址”页签，配置IP地址/掩码：10.0.0.1/24

• 其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址的配置。

# 按照同样的步骤配置接口GE1/0/2，配置如下。

• IP地址/掩码：10.0.12.1/24

• 其他配置项使用缺省值

# 按照同样的步骤配置接口GE1/0/3，配置如下。

• IP地址/掩码：10.0.11.1/24

• 其他配置项使用缺省值

# 按照同样的步骤配置接口GE1/0/4，配置如下。

• IP地址/掩码：10.0.10.1/24

• 其他配置项使用缺省值

3. 配置地址对象组

# 选择“对象> 对象组 > IPv4地址对象组”，进入IPv4地址对象组配置页面，创建名为web的IPv4地址对象组，并定义其主机名为***.***。

4. 配置DNS服务器地址

# 选择“网络 > DNS > DNS客户端”，进入DNS客户端配置页面。

# 输入域名服务器的IP地址为10.10.10.10，单击右侧<添加>按钮完成添加。

5. 创建源安全域local到目的安全域dns的安全策略，允许Device访问DNS服务器用于解析主机名

# 选择“策略 > 安全策略 > 安全策略”，进入安全策略配置页面。

# 单击<新建>按钮，选择新建策略，进入新建安全策略页面，配置如下。

图-2 配置安全策略

# 其他配置项保持默认情况即可。

# 单击<确定>按钮，完成安全策略local-dns的配置。

6. 创建源安全域market、finance到目的安全域dns的安全策略，允许内网主机访问DNS服务器用于解析主机名

# 选择“策略 > 安全策略 > 安全策略”，进入安全策略配置页面。

# 单击<新建>按钮，选择新建策略，进入新建安全策略页面，配置如下。

图-3 配置安全策略

# 其他配置项保持默认情况即可。

# 单击<确定>按钮，完成安全策略host-dns的配置。

7. 创建源安全域finance到目的安全域web的安全策略，允许财务部通过HTTP协议访问财务管理Web服务器

# 选择“策略 > 安全策略 > 安全策略”，进入安全策略配置页面。

# 单击<新建>按钮，选择新建策略，进入新建安全策略页面，配置如下。

图-4 配置安全策略

# 其他配置项保持默认情况即可。

# 单击<确定>按钮，完成安全策略finance-web的配置。

8. 创建源安全域market到目的安全域web的安全策略，禁止市场部在任何时间通过HTTP协议访问财务管理Web服务器

# 选择“策略 > 安全策略 > 安全策略”，选择新建策略，进入新建安全策略页面，进入安全策略配置页面。

# 单击<新建>按钮，配置如下。

图-5 配置安全策略

# 其他配置项保持默认情况即可。

# 单击<确定>按钮，完成安全策略market-web的配置。

9. 激活安全策略加速

# 选择“策略 > 安全策略 > 安全策略”，进入安全策略配置页面。

# 在安全策略页面，单击<立即加速>按钮，激活安全策略加速。

验证配置

配置完成后，财务部可以访问财务管理服务器的Web服务，市场部任何时间均不可以访问财务管理服务器的Web服务。