網絡運維|防火墻基于用戶的轉發策略

2020-05-29 17:12 作者：艾銻無限 瀏覽量：

大家好，我是一枚從事IT外包的網絡安全運維工程師，今天和大家分享的是網絡安全設備維護相關的內容，想要學習防火墻必須會配置轉發策略。簡單網絡安全設備維護，從防火墻學起,一步一步學成網絡安全設備維護大神。

網絡維護是一種日常維護，包括網絡設備管理(如計算機，服務器)、操作系統維護(系統打補丁，系統升級)、網絡安全(病毒防范)等。+

北京艾銻無限科技發展有限公司為您免費提供給您大量真實有效的北京網絡維護服務，北京網絡維護信息查詢，同時您可以免費資訊北京網絡維護，北京網絡維護服務，北京網絡維護信息。專業的北京網絡維護信息就在北京艾銻無限+
+

北京網絡維護全北京朝陽豐臺北京周邊海淀、大興、昌平、門頭溝、通州、西城區、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網絡維護信息

基于用戶的轉發策略

介紹根據用戶帳號控制企業上網權限的舉例。

組網需求

某企業內網地址為192.168.5.0/24網段，只允許市場部的員工訪問Internet，通過用戶帳號對權限進行控制，如圖7-23所示。

而且要求對上網員工的IM應用進行限制，避免浪費網絡資源。

圖  基于用戶的轉發策略 

項目	數據	說明
（1）	接口號：GigabitEthernet 0/0/2 IP地址：192.168.5.1/24	與內網連接的設備接口。
（2）	接口號：GigabitEthernet 0/0/3 IP地址：1.1.1.1/24	與外網連接的設備接口。
內網IP地址范圍	192.168.5.0/24	–
市場部用戶組	組名：sales 認證方式：本地密碼認證	–

配置思路

1. 確保用戶可以正常認證。

用戶認證通過才能匹配轉發策略，本例以本地密碼認證為例。關于用戶認證的詳細介紹請參見用戶管理部分。

用戶配置的菜單路徑為：“用戶 > 上網用戶”。

2. 配置應用控制策略，阻斷IM應用。

應用控制策略配置的菜單路徑為：“UTM > 應用控制 > 策略”。

3. 配置轉發策略，并引用應用控制策略。

轉發策略配置的菜單路徑為：“防火墻 > 安全策略 > 轉發策略”。

說明：

· 本例只給出轉發策略的配置步驟，實際內網訪問Internet還需要配置NAT，注意配置轉發策略時指定的源IP地址是NAT轉換前的實際內網IP地址。

· 內網PC上需要配置網關，本例中網關為接口(1)，即GigabitEthernet 0/0/2的接口IP地址。

· USG上需要在“路由 > 靜態 > 靜態路由”中配置缺省路由。

· 如果局域網使用二層接口卡的LAN口接入，需要將物理口加入VLAN并配置Vlanif。此時需要將Vlanif接口加入Trust域并配置轉發策略。

操作步驟

1. 配置接口基本參數。

a. 選擇“網絡 > 接口 > 接口”。

b. 在“接口列表”中單擊GE0/0/2對應的。

c. 配置接口GigabitEthernet 0/0/2。

配置參數如下：

· 安全區域：trust

· 模式：路由

· 連接類型：靜態IP

· IP地址：192.168.5.1

· 子網掩碼：255.255.255.0

d. 單擊“應用”。

e. 重復上述步驟配置接口GigabitEthernet 0/0/3。

配置參數如下：

· 安全區域：untrust

· 模式：路由

· 連接類型：靜態IP

· IP地址：1.1.1.1

· 子網掩碼：255.255.255.0

2. 配置用戶及認證功能。

a. 創建市場部用戶組。

. 選擇“用戶 > 上網用戶 > 組/用戶”。

i. 在“成員管理”中單擊，選擇“新建組”。

ii. 在“組名”中輸入sales，“所屬組”選擇root。

iii. 單擊“應用”。

a. 在sales組中新建用戶，以user_a為例。

i. 在“組織結構”中選擇“sales”。

ii. 在“成員管理”中單擊，選擇“新建單個用戶”。

iii. 配置user_a的相關參數如圖7-24所示。

圖7-24  在sales組中創建用戶user_a 


iv. 單擊“應用”。

b. 配置192.168.5.0/24網段的認證策略為本地密碼認證。

i. 選擇“用戶 > 上網用戶 > 認證策略”。

ii. 在“認證策略列表”中單擊。

iii. 認證策略的相關參數配置如圖7-25所示。

圖7-25  配置192.168.5.0/24網段采用本地密碼認證 


iv. 單擊“應用”。

1. 配置阻斷上網員工IM應用的應用控制策略im_block。

a. 選擇“UTM > 應用控制 > 策略”。

b. 在“基本配置”中選中“應用控制功能”的“啟用”復選框。

c. 單擊“應用”。

d. 在“應用控制策略列表”單擊。

e. 在“名稱”中輸入im_block。

f. 單擊“應用”。

g. 在“應用控制列表”中單擊。

h. 配置應用控制的相關參數，如圖7-26所示。

圖7-26  配置阻斷IM應用 


i. 單擊“確定”。

j. 單擊“應用”。

2. 配置允許市場部員工上網，并阻斷IM應用的轉發策略。

a. 選擇“防火墻 > 安全策略 > 轉發策略”。

b. 選擇“轉發策略”頁簽。

c. 在“轉發策略列表”中單擊。

該轉發策略的具體參數配置如圖7-27所示。

圖7-27  配置允許市場部員工上網的轉發策略 


d. 單擊“應用”。

3. （可選）配置Trust-Untrust域間出方向的缺省包過濾策略為deny。

 說明：

缺省情況下，Trust-Untrust域間出方向的缺省包過濾策略為deny，如果之前已經配置了permit請注意配置此步驟。

a. 選擇“防火墻 > 安全策略 > 轉發策略”。

b. 選擇“轉發策略”頁簽。

c. 在“轉發策略列表”中單擊“trust->untrust”下面“默認”對應的。

“trust->untrust”默認轉發策略的配置如圖7-28所示。

圖7-28  配置“trust->untrust”默認轉發策略為deny 


d. 單擊“應用”。

結果驗證

驗證市場部員工user_a通過認證后是否可以正常上網，并且不能使用QQ、MSN等即時通信軟件。如發現異常請檢查配置。
 
以上文章由北京艾銻無限科技發展有限公司整理