中國(guó)專(zhuān)業(yè)IT外包服務(wù)

加入收藏??

公司微博

網(wǎng)站地圖??

IT外包價(jià)格計(jì)算器

您當(dāng)前位置：主頁(yè) > IT服務(wù) > 網(wǎng)絡(luò)服務(wù) >

網(wǎng)絡(luò)運(yùn)維|防火墻基于MAC的轉(zhuǎn)發(fā)策略

2020-05-26 17:11 作者：艾銻無(wú)限瀏覽量：

大家好，我是一枚從事IT外包的網(wǎng)絡(luò)安全運(yùn)維工程師，今天和大家分享的是網(wǎng)絡(luò)安全設(shè)備維護(hù)相關(guān)的內(nèi)容，想要學(xué)習(xí)防火墻必須會(huì)配置轉(zhuǎn)發(fā)策略。簡(jiǎn)單網(wǎng)絡(luò)安全運(yùn)維，從防火墻學(xué)起,一步一步學(xué)成網(wǎng)絡(luò)安全運(yùn)維大神。

網(wǎng)絡(luò)維護(hù)是一種日常維護(hù)，包括網(wǎng)絡(luò)設(shè)備管理(如計(jì)算機(jī)，服務(wù)器)、操作系統(tǒng)維護(hù)(系統(tǒng)打補(bǔ)丁，系統(tǒng)升級(jí))、網(wǎng)絡(luò)安全(病毒防范)等。+

北京艾銻無(wú)限科技發(fā)展有限公司為您免費(fèi)提供給您大量真實(shí)有效的北京網(wǎng)絡(luò)維護(hù)服務(wù)，北京網(wǎng)絡(luò)維護(hù)信息查詢，同時(shí)您可以免費(fèi)資訊北京網(wǎng)絡(luò)維護(hù)，北京網(wǎng)絡(luò)維護(hù)服務(wù)，北京網(wǎng)絡(luò)維護(hù)信息。專(zhuān)業(yè)的北京網(wǎng)絡(luò)維護(hù)信息就在北京艾銻無(wú)限+
+

北京網(wǎng)絡(luò)維護(hù)全北京朝陽(yáng)豐臺(tái)北京周邊海淀、大興、昌平、門(mén)頭溝、通州、西城區(qū)、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網(wǎng)絡(luò)維護(hù)信息

基于MAC地址的轉(zhuǎn)發(fā)策略

介紹最基本的通過(guò)MAC地址控制訪問(wèn)權(quán)限的舉例。

組網(wǎng)需求

如圖7-8所示，某企業(yè)經(jīng)三層交換機(jī)通過(guò)USG接入Internet，三層交換機(jī)可獲取到企業(yè)內(nèi)網(wǎng)PC的ARP表項(xiàng)。企業(yè)員工通過(guò)基于全局地址池的DHCP方式分配到動(dòng)態(tài)的IP地址，全局地址池的IP地址范圍是192.168.5.0/24。其中，有三臺(tái)PC的MAC地址分別為0025-1185-8C21、0021-97cf-2238以及00e0-4c86-58eb。該企業(yè)要求，除這三臺(tái)對(duì)安全性有較高要求的PC外，其他PC均可訪問(wèn)Internet。

圖7-8 基于IP地址的域間轉(zhuǎn)發(fā)策略

1. 轉(zhuǎn)發(fā)策略規(guī)劃。配置思路

需求中要求允許192.168.5.0/24這個(gè)IP網(wǎng)段通過(guò)防火墻訪問(wèn)Internet，并拒絕幾個(gè)特殊MAC所對(duì)應(yīng)PC訪問(wèn)Internet。這樣需要配置2條轉(zhuǎn)發(fā)策略，先配置拒絕特殊MAC對(duì)應(yīng)PC發(fā)送的數(shù)據(jù)流通過(guò)的轉(zhuǎn)發(fā)策略，再配置允許整個(gè)IP網(wǎng)段這個(gè)大范圍的數(shù)據(jù)流通過(guò)的轉(zhuǎn)發(fā)策略。如果配置順序相反，指定的幾個(gè)特殊MAC地址所對(duì)應(yīng)PC發(fā)送的數(shù)據(jù)流就會(huì)先匹配上針對(duì)整個(gè)IP網(wǎng)段數(shù)據(jù)流的策略而通過(guò)防火墻，不會(huì)再繼續(xù)匹配后配置的針對(duì)特殊MAC地址的轉(zhuǎn)發(fā)策略。

2. 地址組規(guī)劃和配置。

需求中是通過(guò)MAC地址控制訪問(wèn)權(quán)限，那么需要在轉(zhuǎn)發(fā)策略中指定MAC地址作為匹配條件。建議將零散的MAC地址配置為一個(gè)地址組，可實(shí)現(xiàn)對(duì)零散MAC地址的統(tǒng)一控制，也方便被其他策略復(fù)用。所以在本例中可以將幾個(gè)特殊的MAC地址0025-1185-8C21、0021-97cf-2238和00e0-4c86-58eb配置成一個(gè)名為mac_deny的地址組。

地址組配置的菜單路徑為：“防火墻 > 地址 > 地址組”。

3. 轉(zhuǎn)發(fā)策略配置。

轉(zhuǎn)發(fā)策略配置的菜單路徑為：“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。

說(shuō)明：

· 本例只給出轉(zhuǎn)發(fā)策略的配置步驟，實(shí)際內(nèi)網(wǎng)訪問(wèn)Internet還需要配置NAT，注意配置轉(zhuǎn)發(fā)策略時(shí)指定的源IP地址是NAT轉(zhuǎn)換前的實(shí)際內(nèi)網(wǎng)IP地址。

· 內(nèi)網(wǎng)PC上需要配置網(wǎng)關(guān)，本例中是接口（4），即三層交換機(jī)GigabitEthernet 0/0/2接口的IP地址。

· USG上需要在“路由 > 靜態(tài) > 靜態(tài)路由”中配置缺省路由，下一跳為172.168.1.5/24。

操作步驟

1. 配置三層交換機(jī)的SNMP選項(xiàng)，包括開(kāi)啟SNMP Agent服務(wù)以及配置團(tuán)體名等。

說(shuō)明：

三層交換機(jī)需要支持SNMP協(xié)議的v2c版本，否則不支持跨三層MAC地址識(shí)別。

此步操作需要在三層交換機(jī)上執(zhí)行。如果三層交換機(jī)本身已經(jīng)支持并完成了SNMP選項(xiàng)的配置，請(qǐng)直接在USG上進(jìn)行如下配置。

2. 配置接口基本參數(shù)。

a. 選擇“網(wǎng)絡(luò) > 接口 > 接口”。

b. 在“接口列表”中單擊GE0/0/2對(duì)應(yīng)的

。

c. 配置接口GigabitEthernet 0/0/2。

配置參數(shù)如下：

· 安全區(qū)域：trust

· 模式：路由

· 連接類(lèi)型：靜態(tài)IP

· IP地址：172.168.1.2

· 子網(wǎng)掩碼：255.255.255.0

d. 單擊“應(yīng)用”。

e. 重復(fù)上述步驟配置接口GigabitEthernet 0/0/3。

配置參數(shù)如下：

· 安全區(qū)域：untrust

· 模式：路由

· 連接類(lèi)型：靜態(tài)IP

· IP地址：1.1.1.1

· 子網(wǎng)掩碼：255.255.255.0

3. 開(kāi)啟跨三層MAC地址識(shí)別功能，并指定目標(biāo)三層交換機(jī)的IP地址為172.168.1.5/24，團(tuán)體名為public。

a. 選擇“系統(tǒng) > 配置 > 跨三層MAC識(shí)別”。

b. 勾選“跨三層MAC識(shí)別”右側(cè)的“啟用”。

按照如圖7-9所示的具體參數(shù)，配置跨三層MAC識(shí)別功能。

圖7-9 配置跨三層MAC識(shí)別

4. 配置名稱為mac_deny的地址組，將幾個(gè)不允許上網(wǎng)的MAC地址配置為地址對(duì)象。

a. 選擇“防火墻 > 地址 > 地址”。

b. 在“地址列表”中單擊，進(jìn)入“新建地址”界面。

c. 配置地址的名稱和描述信息。

配置參數(shù)如下：

· 名稱：mac_deny

· 描述：特殊內(nèi)網(wǎng)用戶的MAC地址集合，對(duì)安全性要求較高，不允許訪問(wèn)Internet。

d. 在“子網(wǎng)、IP范圍或MAC地址”中添加MAC地址0025-1185-8C21、0021-97cf-2238以及00e0-4c86-58eb。單擊“應(yīng)用”。

5. 配置拒絕特殊地址組mac_deny內(nèi)所有MA址所對(duì)應(yīng)的PC訪問(wèn)Internet的轉(zhuǎn)發(fā)策略。

a. 選擇“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。

b. 在“轉(zhuǎn)發(fā)策略列表”中單擊。

該轉(zhuǎn)發(fā)策略的具體參數(shù)配置如圖7-10所示。

圖7-10 配置阻止特殊MAC地址集合mac_deny訪問(wèn)Internet的轉(zhuǎn)發(fā)策略

c. 單擊“應(yīng)用”。

6. 配置允許192.168.5.0/24網(wǎng)段訪問(wèn)Internet的轉(zhuǎn)發(fā)策略。

a. 選擇“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。

b. 在“轉(zhuǎn)發(fā)策略列表”中單擊。

該轉(zhuǎn)發(fā)策略的具體參數(shù)配置如圖7-11所示。

圖7-11 配置允許192.168.5.0/24網(wǎng)段訪問(wèn)Internet的轉(zhuǎn)發(fā)策略

7. （可選）配置Trust-Untrust域間出方向的缺省包過(guò)濾策略為deny。

說(shuō)明：

缺省情況下，Trust-Untrust域間出方向的缺省包過(guò)濾策略為deny，如果之前已經(jīng)配置了permit請(qǐng)注意配置此步驟。

a. 選擇“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。

b. 在“轉(zhuǎn)發(fā)策略列表”中單擊“trust->untrust”下面“默認(rèn)”對(duì)應(yīng)的

。

“trust->untrust”默認(rèn)轉(zhuǎn)發(fā)策略的配置如圖7-12所示。

圖7-12 配置“trust->untrust”默認(rèn)轉(zhuǎn)發(fā)策略為deny

c. 單擊“應(yīng)用”。

結(jié)果驗(yàn)證

1. 驗(yàn)證0025-1185-8C21、0021-97cf-2238以及00e0-4c86-58eb這3臺(tái)PC訪問(wèn)Internet是否被拒絕。如果能訪問(wèn)說(shuō)明配置錯(cuò)誤，請(qǐng)檢查轉(zhuǎn)發(fā)策略地址匹配條件是否配置正確、策略配置順序是否正確。如果先配置了允許整個(gè)網(wǎng)段訪問(wèn)Internet的轉(zhuǎn)發(fā)策略，這幾個(gè)MAC地址對(duì)應(yīng)的PC發(fā)送的數(shù)據(jù)流就不會(huì)匹配到拒絕其訪問(wèn)Internet的策略了。

2. 驗(yàn)證192.168.5.0/24中的其他IP地址是否可以正常訪問(wèn)Internet，如果不能請(qǐng)檢查配置。

以上文章由北京艾銻無(wú)限科技發(fā)展有限公司整理

分享到:

上一篇：網(wǎng)絡(luò)運(yùn)維|防火墻基于IP的轉(zhuǎn)發(fā)策略

下一篇：網(wǎng)絡(luò)運(yùn)維|防火墻基于時(shí)間段的轉(zhuǎn)發(fā)策略

相關(guān)文章