求助SecPath F1000-S-AI如何配置域间策略
- 0关注
- 1收藏,1484浏览
问题描述:
如题,现在防火墙就缺配置域和域间策略了,由于防火墙版本比较老,官网文档搜不到了,请大神指示。增加域,和设置遇见策略的命令,就是内网和外网,流量全放通。Version 5.20, Release 3721P01
组网及组网描述:
- 2021-10-20提问
- 举报
-
(0)
最佳答案
按F1060配置就可以了啊
3 基本域间策略配置举例
3.1 组网需求
如图1所示,公司内部网络通过Firewall与Internet互连。要求:
· 正确配置域间策略,允许内部主机Public(IP地址为10.1.1.12/24)在任何时候访问外部网络;
· 禁止内部其他主机在上班时间(星期一~星期五的8:00~18:00)访问外部网络。
· 管理主机连接防火墙端口GigabitEthernet0/0,对设备进行Web管理。
3.2 配置思路
· 为了使域间策略在规定的时间内生效,要在配置域间策略前按组网要求配置好时间段。
· 为了对网络访问行为进行监控,需开启日志功能。
· 为了对设备进行Web管理,需要配置管理口所在安全域到Local域的域间策略,这里管理口为GigabitEthernet0/0。
3.3 使用版本
本举例是在SecPath F1000-E Release 3734P06版本上进行配置和验证的。
3.4 配置注意事项
此举例的所有配置都是在缺省VD下配置的。
3.5 配置步骤
3.5.1 通过命令行设置管理口,实现对设备的Web管理
# 通过Console口登录设备。
# 系统默认将管理口加入到Management域。如果未加入,则需要手动配置。
<Firewall> system-view
[Firewall] zone name management
[Firewall-zone-management] import interface gigabitethernet 0/0
[Firewall-zone-management] quit
# 配置管理口GigabitEthernet 0/0的IP地址。
[Firewall] interface gigabitethernet 0/0
[Firewall-GigabitEthernet0/0] ip address 192.168.2.1 24
[Firewall-GigabitEthernet0/0] quit
# 配置地址对象,管理主机的IP地址为192.168.2.2。
[Firewall] object network host manage-pc
[Firewall-object-network-manage-pc] host address 192.168.2.2
[Firewall-object-network-manage-pc] quit
# 配置Management域到Local域之间的域间策略。
[Firewall] interzone source management destination local
[Firewall-interzone-management-local] rule 0 permit
[Firewall-interzone-management-local-rule-0] source-ip manage-pc
[Firewall-interzone-management-local-rule-0] destination-ip any_address
[Firewall-interzone-management-local-rule-0] service http
[Firewall-interzone-management-local-rule-0] rule enable
[Firewall-interzone-management-local-rule-0] quit
# 如果系统无用户名,需要设置相应的用户名,并开启相应服务,用于Web登录。
3.5.2 通过Web方式配置Firewall
(1) 配置接口IP地址
# 在左侧导航栏中选择“设备管理 > 接口管理”,配置接口GigabitEthernet0/1的地址,进入如下界面。
图2 接口管理
# 点击GigabitEthernet0/1栏中的
按钮,进入“接口编辑”界面。按照下图设置接口GigabitEthernet0/1,点击<确定>按钮,返回“接口管理”界面。
图3 接口编辑
# 采用相同方法配置接口GigabitEthernet0/2的地址,详细配置略。
(2) 修改安全域
图4 安全域
# 点击“Untrust”后面的按钮,进入“修改安全域”界面,将接口GigabitEthernet0/1加入Untrust域,点击<确定>按钮完成配置。
图5 修改安全域
# 点击Trust栏中的按钮,进入“修改安全域”界面。按照下图将接口GigabitEthernet0/2加入Trust域,点击<确定>按钮完成配置。
图6 修改安全域
# 配置时间段(星期一~星期五的8:00~18:00)。
a. 在左侧导航栏中选择 “资源管理 > 时间段”,单击<新建>按钮,进行如图7所示配置。
b. 输入名称为“worktime”。
c. 选中“周期时间段”前的复选框。
d. 设置开始时间为“8:0”。
e. 设置结束时间为“18:0”。
f. 选中“星期一”~“星期五”前的复选框。
g. 单击<确定>按钮完成操作。
# 配置主机地址资源对象。
a. 在左侧导航栏中选择“资源管理 > 地址 > IP 地址”,默认进入“主机地址”页签的页面,单击<新建>按钮,进行如下配置,如图8所示。
图8 配置主机地址资源public
b. 选中“IP地址”前的单选按钮。
c. 输入名称为“public”。
d. 输入IP地址为“10.1.1.12”,单击<添加>按钮将其添加到IP地址列表框中。
e. 单击<确定>按钮完成操作。
# 配置允许主机Public在任何时候访问外部网络的域间策略规则。
a. 在左侧导航栏中选择“防火墙 > 安全策略 > 域间策略”,单击<新建>按钮,进行如下配置,如图9所示。
图9 配置允许主机Public在任何时候访问外部网络的域间策略规则
b. 选择源域为“Trust”。
c. 选择目的域为“Untrust”。
d. 选择源IP地址为“public”。
e. 选择过滤动作为“Permit”。
f. 选中“开启Syslog日志功能”复选框。
g. 选中“启用规则”复选框。
h. 选中“确定后续添加下一条规则”复选框。
i. 单击<确定>按钮完成操作。
# 配置禁止其他主机在上班时间访问外部网络的域间策略规则。
a. 在左侧导航栏中选择“防火墙 > 安全策略 > 域间策略”,单击<新建>按钮,进行如下配置,如图10所示。
图10 配置禁止其他主机在上班时间访问外部网络的域间策略规则
b. 选择过滤动作为“Deny”。
c. 选择时间段为“worktime”。
d. 选中“开启Syslog日志功能”复选框。
e. 选中“启用规则”复选框。
f. 单击<确定>按钮完成操作。
# 配置允许其他主机在非上班时间访问外部网络的域间策略规则。
a. 在左侧导航栏中选择“防火墙 > 安全策略 > 域间策略”,单击<新建>按钮,进行如下配置,如图11所示。
图11 配置允许其他主机在非上班时间访问外部网络的域间策略规则
b. 选择过滤动作为“Permit”。
c. 选中“开启Syslog日志功能”复选框。
d. 选中“启用规则”复选框。
e. 去勾选“确定后续添加下一条规则”复选框。
f. 单击<确定>按钮完成操作。
3.5.3 通过命令行方式配置Firewall
# 配置接口GigabitEthernet0/1的地址。
<Firewall> system-view
[Firewall] interface gigabitethernet 0/1
[Firewall-GigabitEthernet0/1] ip address 20.1.1.1 24
[Firewall-GigabitEthernet0/1] quit
# 配置接口GigabitEthernet0/2的地址。
[Firewall] interface gigabitethernet 0/2
[Firewall-GigabitEthernet0/2] ip address 10.1.1.1 24
[Firewall-GigabitEthernet0/2] quit
# 将接口GigabitEthernet0/1加入Untrust域。
[Firewall] zone name untrust
[Firewall-zone-untrust] import interface gigabitethernet 0/1
[Firewall-zone-untrust] quit
# 将接口GigabitEthernet0/2加入Trust域。
[Firewall] zone name trust
[Firewall-zone-trust] import interface gigabitethernet 0/2
[Firewall-zone-trust] quit
# 配置时间段(星期一~星期五的8:00~18:00)。
[Firewall] time-range worktime 08:00 to 18:00 working-day
# 配置主机地址资源对象public。
[Firewall] object network host public
[Firewall-object-network-public] host address 10.1.1.12
[Firewall-object-network-public] quit
# 配置允许主机Public在任何时候访问外部网络的域间策略规则。
[Firewall] interzone source trust destination untrust
[Firewall-interzone-trust-untrust] rule permit logging
[Firewall-interzone-trust-untrust-rule-0] source-ip public
[Firewall-interzone-trust-untrust-rule-0] destination-ip any_address
[Firewall-interzone-trust-untrust-rule-0] service any_service
[Firewall-interzone-trust-untrust-rule-0] rule enable
[Firewall-interzone-trust-untrust-rule-0] quit
# 配置禁止其他主机在上班时间访问外部网络的域间策略规则。
[Firewall] interzone source trust destination untrust
[Firewall-interzone-trust-untrust] rule 1 deny logging time-range worktime
[Firewall-interzone-trust-untrust-rule-1] source-ip any_address
[Firewall-interzone-trust-untrust-rule-1] destination-ip any_address
[Firewall-interzone-trust-untrust-rule-1] service any_service
[Firewall-interzone-trust-untrust-rule-1] rule enable
[Firewall-interzone-trust-untrust-rule-1] quit
# 配置允许其他主机在非上班时间访问外部网络的域间策略规则。
[Firewall] interzone source trust destination untrust
[Firewall-interzone-trust-untrust] rule 2 permit logging
[Firewall-interzone-trust-untrust-rule-1] source-ip any_address
[Firewall-interzone-trust-untrust-rule-1] destination-ip any_address
[Firewall-interzone-trust-untrust-rule-1] service any_service
[Firewall-interzone-trust-untrust-rule-1] rule enable
[Firewall-interzone-trust-untrust-rule-1] quit
3.6 验证配置
# 内部主机Public在上班时间访问外部网络,允许访问。在导航栏中选择“日志管理 > 日志报表 > 域间策略日志”,可以看到域间策略日志 ,动作为允许。
图12 域间策略日志
# 其他内部主机如IP地址为10.1.1.13/24的主机,在上班时间访问外部网络时,访问被拒绝。在导航栏中选择“日志管理 > 日志报表 > 域间策略日志”,可以看到域间策略日志,动作为拒绝。
图13 域间策略日志
3.7 配置文件
#
time-range worktime 08:00 to 18:00 working-day
#
interface GigabitEthernet0/0
port link-mode route
ip address 192.168.2.1 24
#
interface GigabitEthernet0/1
port link-mode route
ip address 20.1.1.1 24
#
interface GigabitEthernet0/2
port link-mode route
ip address 10.1.1.1 24
#
zone name Management id 0
priority 100
import interface GigabitEthernet0/0
#
zone name Trust id 2
priority 85
import interface GigabitEthernet0/2
zone name Untrust id 4
priority 5
import interface GigabitEthernet0/1
switchto vd Root
object network host manage-pc
host address 192.168.2.2
object network host public
host address 10.1.1.12
interzone source Management destination Local
rule 0 permit
source-ip manage-pc
destination-ip any_address
service http
rule enable
interzone source Trust destination Untrust
rule 0 permit logging
source-ip public
destination-ip any_address
service any_service
rule enable
rule 1 deny logging time-range worktime
source-ip any_address
destination-ip any_address
service any_service
rule enable
rule 2 permit logging
source-ip any_address
destination-ip any_address
service any_service
rule enable
- 2021-10-20回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论