防火墙安全策略课堂实验报告
一、拓扑
本实验拓扑包含预启动设备、DMZ区域(含OA Server和Web Server)、防火墙(FW1)、Trust区域(含办公区PC和生产区PC)等。具体IP地址及连接关系如给定拓扑图所示,办公区对应VLAN 2,生产区对应VLAN 3,各设备通过不同接口与防火墙相连。
二、需求
- VLAN 2属于办公区,VLAN 3属于生产区。
- 办公区PC在工作日(周一至周五,早8到晚6)可以正常访问OA Server,其他时间不允许。
- 办公区PC可以在任意时刻访问Web Server。
- 生产区PC可以在任意时刻访问OA Server,但是不能访问Web Server。
- 特例:生产区PC3可以在每周一早10到早11访问Web Server,用来更新企业最新产品信息。
三、需求分析
(一)时间策略分析
- 对于办公区PC访问OA Server,需要设置时间策略,限定在工作日(周一至周五)的早8到晚6时间段。
- 生产区PC3访问Web Server的特例,需要设置每周一的早10到早11时间策略。
(二)区域访问策略分析
- 需配置办公区(VLAN 2)到DMZ区域(OA Server和Web Server)的访问策略,区分不同的访问时间和服务器。
- 生产区(VLAN 3)到DMZ区域的访问策略,允许访问OA Server但禁止访问Web Server,同时处理PC3的特例访问。
四、配置详细信息
(一)Web界面配置
- 登录防火墙:打开浏览器,输入防火墙IP地址,使用用户名admin和密码admin@123登录。
- 配置区域:进入“区域”配置界面,将接口分别加入Trust区域和DMZ区域。
- 配置时间策略:
- 在“时间”配置模块,创建“工作日8 - 18”时间对象,设置周一至周五的早8到晚6时间段。
- 创建“周一10 - 11”时间对象,设置每周一的早10到早11时间段。
- 配置安全策略:
- 办公区PC访问OA Server策略:源区域为Trust(办公区VLAN 2),目的区域为DMZ(OA Server),服务为any,时间为“工作日8 - 18”,动作为允许;其他时间配置一条拒绝策略。(截图展示策略配置界面及参数设置)
- 办公区PC访问Web Server策略:源区域为Trust(办公区VLAN 2),目的区域为DMZ(Web Server),服务为any,时间为any,动作为允许。
- 生产区PC访问OA Server策略:源区域为Trust(生产区VLAN 3),目的区域为DMZ(OA Server),服务为any,时间为any,动作为允许。
- 生产区PC访问Web Server策略:源区域为Trust(生产区VLAN 3),目的区域为DMZ(Web Server),服务为any,时间为any,动作为拒绝。
- 生产区PC3访问Web Server特例策略:源IP为PC3的IP(192.168.1.130),源区域为Trust,目的区域为DMZ(Web Server),服务为any,时间为“周一10 - 11”,动作为允许。
(二)命令行配置
- 进入系统视图:
system - view
- 配置区域:
firewall zone trust
add interface GigabitEthernet 0/0/1
quit
firewall zone dmz
add interface GigabitEthernet 0/0/0
quit
- 配置时间策略:
time - range workday_8 - 18 08:00 to 18:00 working - days
time - range monday_10 - 11 10:00 to 11:00 monday
- 配置安全策略:
rule name office_to_oa_allow
source - zone trust
destination - zone dmz
source - address 192.168.1.0 255.255.255.0
destination - address 10.0.0.1 255.255.255.0
service any
time - range workday_8 - 18
action permit
rule name office_to_oa_deny
source - zone trust
destination - zone dmz
source - address 192.168.1.0 255.255.255.0
destination - address 10.0.0.1 255.255.255.0
service any
action deny
rule name office_to_web_allow
source - zone trust
destination - zone dmz
source - address 192.168.1.0 255.255.255.0
destination - address 10.0.0.2 255.255.255.0
service any
action permit
rule name production_to_oa_allow
source - zone trust
destination - zone dmz
source - address 192.168.1.129 0.0.0.0
destination - address 10.0.0.1 255.255.255.0
service any
action permit
rule name production_to_web_deny
source - zone trust
destination - zone dmz
source - address 192.168.1.129 0.0.0.0
destination - address 10.0.0.2 255.255.255.0
service any
action deny
rule name pc3_to_web_allow
source - zone trust
destination - zone dmz
source - address 192.168.1.130 0.0.0.0
destination - address 10.0.0.2 255.255.255.0
service any
time - range monday_10 - 11
action permit
五、测试
(一)通信结果测试
- 在工作日早8到晚6,使用办公区PC访问OA Server,能正常访问;在非工作日或非此时间段,访问失败。
- 办公区PC在任意时刻均可访问Web Server。
- 生产区PC在任意时刻均可访问OA Server,访问Web Server失败。
- 在每周一早10到早11,生产区PC3可以访问Web Server,其他时间访问失败。
(二)会话表测试
在防火墙的Web界面或通过命令行查看会话表,在办公区PC访问OA Server(符合策略时间)时,会话表中会显示相应的会话记录,包含源IP、目的IP、服务等信息;不符合策略时,无对应会话记录。其他策略访问情况同理。
(三)server - map表测试
通过命令行查看server - map表,验证各服务器映射相关信息是否正确,如DMZ区域服务器的地址映射等。
