华为防火墙USG6000V:基于IP地址和端口的安全策略

2022年05月14日 阅读数:6
这篇文章主要向大家介绍华为防火墙USG6000V:基于IP地址和端口的安全策略,主要内容包括基础应用、实用技巧、原理机制等方面,希望对大家有所帮助。

实验要求安全

某企业部署两台业务服务器,其中Server1经过TCP 8888端口对外提供服务,Server2经过UDP 6666端口对外提供服务。须要经过FW进行访问控制,8:00~17:00的上班时间段内禁止IP地址为10.1.1.二、10.2.1.2的两台PC使用这两台服务器对外提供的服务。其余PC在任什么时候间均可以使用这两台服务器对外提供的服务。服务器

实验拓扑ide

华为防火墙USG6000V:基于IP地址和端口的安全策略_防火墙策略

配置思路ui

  1. 配置源IP地址集,将几个不容许访问服务器的IP地址加入地址集。
    配置安全策略时能够直接指定多个IP地址或地址段,可是对于零散的、不连续的地址建议配置为地址集,方便集中管理,并且也方便被其余策略复用。

注:由于策略的目的地址是单一的地址,因此这里没有配置目的IP的地址集,采用了配置安全策略时直接输入目的地址的方式。spa


  1. 配置两个自定义服务集,分别将两台服务器的非知名端口加入服务集
    本例中服务器使用的是非知名端口,必须配置自定义服务集,而后在安全策略中引用
    若是服务器经过知名端口(例如HTTP的80端口)提供的服务,能够在配置安全策略时直接使用预约义服务集(例如HTTP、FTP等)
  2. 配置一个范围为上班时间(08:00~17:00)的时间段
  3. 配置两条安全策略,分别限制IP地址为10.1.1.2和10.2.1.2的PC对两台服务器的访问。
  4. 配置容许trust到dmz的域间访问安全策略。
    本例中除了两台特殊的PC外,整个trust区域的PC均可以访问服务器,因此先配置禁止两台PC访问服务器的安全策略,而后再开放trust到dmz的域间访问。

注:系统默认存在一条缺省安全策略(条件均为any,动做默认为禁止)。若是须要控制只有某些IP能够访问服务器,则须要保持缺省安全策略的禁止动做,而后配置容许哪些IP访问服务器的安全策略。3d

另外安全策略是按照配置顺序匹配的,注意先配置细化的后配置宽泛的策略。例如须要控制在10.1.1.0/24网段中,除了某几个IP不能访问服务器外,其余的IP均可以访问。此时须要先配置拒绝特殊IP经过的安全策略,而后再配置容许整个网段经过的安全策略。code

配置步骤server

1.配置接口IP地址和安全区域blog

  1. 配置GigabitEthernet 1/0/1接口IP地址,并将接口加入dmz域
<FW> system-view
[FW] interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1] ip address 10.2.0.1 24
[FW-GigabitEthernet1/0/1] quit
[FW] firewall zone dmz
[FW-zone-dmz] add interface GigabitEthernet 1/0/1
[FW-zone-dmz] quit

 b.配置GigabitEthernet 1/0/2接口IP地址,并接口加入trust域接口

[FW] interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2] ip address 10.1.1.1 24
[FW-GigabitEthernet1/0/2] quit
[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet 1/0/2
[FW-zone-trust] quit

c.配置GigabitEthernet 1/0/3接口IP地址,将接口加入trust域

[FW] interface GigabitEthernet 1/0/3
[FW-GigabitEthernet1/0/3] ip address 10.2.1.1 24
[FW-GigabitEthernet1/0/3] quit
[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet 1/0/3
[FW-zone-trust] quit


2.配置名称为server_deny的地址集,将几个不容许访问服务器的IP地址加入地址集

[FW] ip address-set server_deny type object
[FW-object-address-set-server_deny] address 10.1.1.2 mask 32
[FW-object-address-set-server_deny] address 10.2.1.2 mask 32
[FW-object-address-set-server_deny] quit

3.配置名称为time_deny的时间段,指定PC不容许访问服务器的时间

[FW] time-range time_deny
[FW-time-range-time_deny] period-range 08:00:00 to 17:00:00 mon tue wed thu fri sat sun
[FW-time-range-time_deny] quit

4.分别为Server1和Server2配置自定义服务集server1_port和server2_port,将服务器的非知名端口加入服务集

[FW] ip service-set server1_port type object
[FW-object-service-set-server1_port] service protocol TCP source-port 0 to 65535 destination-port 8888
[FW-object-service-set-server1_port] quit
[FW] ip service-set server2_port type object
[FW-object-service-set-server2_port] service protocol UDP source-port 0 to 65535 destination-port 6666
[FW-object-service-set-server2_port] quit

5.配置安全策略规则,引用以前配置的地址集、时间段及服务集

注:未配置的匹配条件缺省值均为any

  1. 限制PC使用Server1对外提供的服务的安全策略
[FW] security-policy
[FW-policy-security] rule name policy_sec_deny1
[FW-policy-security-rule-policy_sec_deny1] source-zone trust
[FW-policy-security-rule-policy_sec_deny1] destination-zone dmz
[FW-policy-security-rule-policy_sec_deny1] source-address address-set server_deny
[FW-policy-security-rule-policy_sec_deny1] destination-address 10.2.0.10 32
[FW-policy-security-rule-policy_sec_deny1] service server1_port
[FW-policy-security-rule-policy_sec_deny1] time-range time_deny
[FW-policy-security-rule-policy_sec_deny1] action deny
[FW-policy-security-rule-policy_sec_deny1] quit
  1. 限制PC使用Server2对外提供的服务的安全策略
[FW-policy-security] rule name policy_sec_deny2
[FW-policy-security-rule-policy_sec_deny2] source-zone trust
[FW-policy-security-rule-policy_sec_deny2] destination-zone dmz
[FW-policy-security-rule-policy_sec_deny2] source-address address-set server_deny
[FW-policy-security-rule-policy_sec_deny2] destination-address 10.2.0.11 32
[FW-policy-security-rule-policy_sec_deny2] service server2_port
[FW-policy-security-rule-policy_sec_deny2] time-range time_deny
[FW-policy-security-rule-policy_sec_deny2] action deny
[FW-policy-security-rule-policy_sec_deny2] quit
  1. 容许PC使用Server1对外提供的服务的安全策略
[FW-policy-security] rule name policy_sec_permit3
[FW-policy-security-rule-policy_sec_permit3] source-zone trust
[FW-policy-security-rule-policy_sec_permit3] destination-zone dmz
[FW-policy-security-rule-policy_sec_permit3] service server1_port
[FW-policy-security-rule-policy_sec_permit3] action permit
[FW-policy-security-rule-policy_sec_permit3] quit
  1. 容许PC使用Server2对外提供的服务的安全策略
[FW-policy-security] rule name policy_sec_permit4
[FW-policy-security-rule-policy_sec_permit4] source-zone trust
[FW-policy-security-rule-policy_sec_permit4] destination-zone dmz
[FW-policy-security-rule-policy_sec_permit4] service server2_port
[FW-policy-security-rule-policy_sec_permit4] action permit
[FW-policy-security-rule-policy_sec_permit4] quit
[FW-policy-security] quit

验证结果

在08:00到17:00时间段内,IP地址为10.1.1.二、10.2.1.2的两台PC没法使用这两台服务器对外提供的服务,在其余时间段可使用。其余PC在任什么时候间均可以使用这两台服务器对外提供的服务