CLI举例:基于用户和应用的安全策略
通过配置安全策略,实现基于用户、时间段以及应用的访问控制。
组网需求
如图1所示,某企业在网络边界处部署了FW作为安全网关。
企业根据员工级别和职能不同划分了三种用户:高层管理者、市场员工、研发员工,三个用户能够访问Internet的权限不同。具体如下:
- 高层管理者可以自由访问Internet。
- 市场员工能够访问Internet,但不能玩游戏,观看网络视频。
- 研发员工只能使用TortoiseSVN应用,不允许访问其他Internet应用。
数据规划
本举例的用户已经存在于FW中,并且已经完成了认证的配置。
| 项目 | 数据 | 说明 |
|---|---|---|
| 高层管理者的安全策略 |
| 安全策略policy_sec_management的作用是允许高层管理者自由访问Internet。 |
| 市场员工的安全策略1 |
| 安全策略policy_sec_marketing_1的作用是禁止市场员工玩游戏,观看网络视频。 游戏代表游戏类应用,媒体共享代表网络视频类应用。 |
| 市场员工的安全策略2 |
| 安全策略policy_sec_marketing_2的作用是允许市场员工访问Internet。 |
| 研发员工的安全策略1 |
| 安全策略policy_sec_research_1的作用是允许研发员工使用TortoiseSVN版本控制应用。 |
| 研发员工的安全策略2 |
| 安全策略policy_sec_research_2的作用是禁止研发员工访问其他Internet应用。 |
操作步骤
- 配置接口IP地址和安全区域,完成网络基本参数配置。
-
配置GigabitEthernet 1/0/1接口IP地址,将接口加入untrust域。 <FW> system-view [FW] interface GigabitEthernet 1/0/1 [FW-GigabitEthernet1/0/1] ip address 1.1.1.1 24 [FW-GigabitEthernet1/0/1] quit [FW] firewall zone untrust [FW-zone-untrust] add interface GigabitEthernet 1/0/1 [FW-zone-untrust] quit - 配置GigabitEthernet 1/0/3接口IP地址,将接口加入trust域。
[FW] interface GigabitEthernet 1/0/3 [FW-GigabitEthernet1/0/3] ip address 10.3.0.1 24 [FW-GigabitEthernet1/0/3] quit [FW] firewall zone trust [FW-zone-trust] add interface GigabitEthernet 1/0/3 [FW-zone-trust] quit
-
- 配置高层管理者的安全策略。
[FW] security-policy [FW-policy-security] rule name policy_sec_management [FW-policy-security-rule-policy_sec_management] source-zone trust [FW-policy-security-rule-policy_sec_management] destination-zone untrust [FW-policy-security-rule-policy_sec_management] user user-group /default/management [FW-policy-security-rule-policy_sec_management] action permit [FW-policy-security-rule-policy_sec_management] quit - 配置市场员工的安全策略。
# 配置市场员工的安全策略1。 [FW-policy-security] rule name policy_sec_marketing_1 [FW-policy-security-rule-policy_sec_marketing_1] source-zone trust [FW-policy-security-rule-policy_sec_marketing_1] destination-zone untrust [FW-policy-security-rule-policy_sec_marketing_1] application category Entertainment sub-category Media_Sharing [FW-policy-security-rule-policy_sec_marketing_1] application category Entertainment sub-category Game [FW-policy-security-rule-policy_sec_marketing_1] user user-group /default/marketing [FW-policy-security-rule-policy_sec_marketing_1] action deny [FW-policy-security-rule-policy_sec_marketing_1] quit # 配置市场员工的安全策略2。 [FW-policy-security] rule name policy_sec_marketing_2 [FW-policy-security-rule-policy_sec_marketing_2] source-zone trust [FW-policy-security-rule-policy_sec_marketing_2] destination-zone untrust [FW-policy-security-rule-policy_sec_marketing_2] user user-group /default/marketing [FW-policy-security-rule-policy_sec_marketing_2] action permit [FW-policy-security-rule-policy_sec_marketing_2] quit - 配置研发员工的安全策略。
# 配置研发员工的安全策略1。 [FW-policy-security] rule name policy_sec_research_1 [FW-policy-security-rule-policy_sec_research_1] source-zone trust [FW-policy-security-rule-policy_sec_research_1] destination-zone untrust [FW-policy-security-rule-policy_sec_research_1] user user-group /default/research [FW-policy-security-rule-policy_sec_research_1] application app TortoiseSVN [FW-policy-security-rule-policy_sec_research_1] action permit [FW-policy-security-rule-policy_sec_research_1] quit # 配置研发员工的安全策略2。 [FW-policy-security] rule name policy_sec_research_2 [FW-policy-security-rule-policy_sec_research_2] source-zone trust [FW-policy-security-rule-policy_sec_research_2] destination-zone untrust [FW-policy-security-rule-policy_sec_research_2] user user-group /default/research [FW-policy-security-rule-policy_sec_research_2] action deny [FW-policy-security-rule-policy_sec_research_2] quit
结果验证
- 验证高层管理者是否能够不受限制的访问Internet,如果是则证明高层管理者的安全策略配置成功。
- 验证市场员工的用户能够访问Internet,而且访问Internet时不能使用FW定义的游戏和媒体共享应用。如果是则证明市场员工的安全策略配置成功。
- 验证研发员工用户正常使用TortoiseSVN应用,但是不能访问Internet其他应用。如果是则证明研发员工的安全策略配置成功。
- 选择“监控 > 日志 > 策略命中日志”,分别查看高层管理者、市场员工、研发员工是否命中正确的安全策略。
配置脚本
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 1.1.1.1 255.255.255.0
#
interface GigabitEthernet1/0/3
undo shutdown
ip address 10.3.0.1 255.255.255.0
#
firewall zone trust
add interface GigabitEthernet1/0/3
#
firewall zone untrust
add interface GigabitEthernet1/0/1
#
security-policy
rule name policy_sec_management
source-zone trust
destination-zone untrust
user user-group /default/management
action permit
rule name policy_sec_marketing_1
source-zone trust
destination-zone untrust
user user-group /default/marketing
application category Entertainment sub-category Game
application category Entertainment sub-category Media_Sharing
action deny
rule name policy_sec_marketing_2
source-zone trust
destination-zone untrust
user user-group /default/marketing
action permit
rule name policy_sec_research_1
source-zone trust
destination-zone untrust
user user-group /default/research
application app TortoiseSVN
action permit
rule name policy_sec_research_2
source-zone trust
destination-zone untrust
user user-group /default/research
action deny 
