13、华为 华三中小型企业网络架构搭建 【防火墙篇之安全策略部署】(2)
时间:2018-04-19 13:37 来源:网络整理 作者:墨客科技 点击:次
1、部署NTP 2、定义时间策略我们希望除了Boss以外的部门都是在下班时间可以访问公网,而Boss的话则没任何限制。【需求可以根据实际情况来决定。】[USG-GW]time-range access-internet-control-1 12:00 to 13:30 working-day[USG-GW]time-range access-internet-control-1 17:00 to 23:59 working-day[USG-GW]time-range access-internet-control-1 00:00 to 8:50 working-day[USG-GW]time-range access-internet-control-1 00:00 to 23:59 off-day说明:总共定义了4条,在工作日的时候,除了中午休息时间,与下班时间可以对于Internet的访问,而上班时间则不可以,但是在双休日的时候是全部开放的。这个可以根据自己需求来决定。 3、定制策略说明:这次的部署中有2个ISP,而且之前是自定义的Zone,所以这里不在是Untrust了,而是ISP_dx ,ISP_lT内网到电信ISP的策略[USG-GW]policy interzone trust isp_dx outbound[USG-GW-policy-interzone-trust-isp_dx-outbound]policy 1[USG-GW-policy-interzone-trust-isp_dx-outbound-1]policy source 192.168.20.0 mask 24[USG-GW-policy-interzone-trust-isp_dx-outbound-1]action permit[USG-GW-policy-interzone-trust-isp_dx-outbound]policy 2[USG-GW-policy-interzone-trust-isp_dx-outbound-2]policy source 192.168.0.0 mask 16[USG-GW-policy-interzone-trust-isp_dx-outbound-2]policy time-range access-internet-control-1[USG-GW-policy-interzone-trust-isp_dx-outbound-2]action permit说明:这里定义了一个Trust去往ISP-dx的Outbound的流量,也就是高优先级到低优先级的流量,定了2个Policy,一个是当匹配源为192.168.20.0的时候,直接放行【该网段为BOSS网段】,另外下面一个则是直接匹配了内网所有网段然后调用了时间策略,在放行,这样做的效果就是,BOSS的是永远不受时间限制的,因为策略是从上往下依次匹配,当匹配成功了一个后,则不继续往下匹配,所以这里BOSS的流量直接从POlicy 1出去了,而不会受到Policy 2的影响。 6 验证策略 说明:这里还没部署Nat,所以不能实际操作,但是可以通过查看来看策略是否生效 可以看到有2个策略,现在没任何匹配。 可以看到现在是inactive的,也就是不生效的。 因为现在是星期四的早上10点,不在策略的范围内。 7 内网到联通ISP的策略【这里只给出配置,跟上面一致】 未完,下一篇继续更新,如果大家在实际工作中有思科 华为 H3C的无线 路由器 交换机 防火墙需要远程协助,技术支持的话,可以找我们帮忙哈,价钱公道,包您满意,可长期合作。 实战系列,每个星期一跟星期五更新,30篇左右,整理跟排版都需要时间,博主也只是业余时间写写技术文档,请大家见谅,大家觉得不错的话,可以推荐给朋友哦,博主会努力推出更好的系列文档的,谢谢大家支持!! 博客地址 不懂如何下载参考地址 : ?p=46 |
- 上一篇:网络信息安全保障策略
- 下一篇:想要变得优秀,你得先知道「优秀」是什么样的