目录
- 策略概要
- 认证概要
- 实验
- 拓扑图
- 题目
- 要求一
- 要求二
- 要求三
- 要求四
- 要求五
- 要求六
策略概要
安全策略概要:
安全策略(Security Policy)在安全领域具有双重含义。宏观上,安全策略指的是一个组织为保证其信息安全而建立的一套安全需求、控制措施和流程要求。它不仅建立了信息安全的总体目标,定义了信息安全的管理结构,还提出了对组织成员的安全要求。这种安全策略通常以文档的形式存在,属于企业治理范畴。
具体到防火墙产品上,安全策略指的是用于保护网络的规则。它是由管理员在系统中配置,决定了哪些流量可以通过,哪些流量应该被阻断。安全策略是防火墙产品的一个基本概念和核心功能。防火墙通过安全策略来提供业务管控能力,以保证网络的安全。
认证概要
用户认证概要
华为防火墙用户认证是一种基于身份验证的网络安全解决方案,旨在确保仅授权用户能够访问受保护的网络资源。这项认证技术通过验证用户的身份,实现对网络访问权限的管理和控制,从而帮助用户建立一个安全的网络环境。内部网络中的访问者使用AD域账号和密码进行认证,认证通过后,AD服务器将域账号和IP地址发送至FW,FW记录访问者使用的用户和IP地址之间的对应关系。
为了更直观的熟悉和使用华为防火墙策略和用户认证用一个实验来学习。
实验
题目如下:
拓扑图
题目
首先观察该拓扑图,要实现防火墙对各个区域的流量控制访问就要保证流量都需要经过防火墙。在生产区和办公区两个区域内可配置两个vlan2 3实现区域划分隔离广播域,然后在防火墙的GE1/0/1口方向配置两个子接口,原理类似单臂路由,然后G1/0/0和G1/0/4口分别做游客区和DMZ区的网关,两个防火墙的G0/0/0口连接同一个交换机然后利用web对防火墙进行登录控制。
配置子接口:
1、接口名称尽量做到通俗易懂。
2、安全区域(要求一的第一点要求)
3、绑定到该接口的vlan编号
4、配置该虚拟接口的ip(办公区的网关)
要求一
实现以上的基本配置后开始对第一个要求进行配置,在防火墙内要实现一个区域对一个区域的精细控制首先需要对区域进行划分,在网络页面的安全区域模块进行配置,一个区域就对应的是防火墙的一个接口。
点开具体条目如上所示,因为后续需要具体对策略进行配置所以简单命名就行
然后进入策略界面:
安全策略界面的策略是重上之下逐一匹配,匹配到了就不会继续往下匹配,末尾是拒绝所有。
新建安全策略
1、名称,做到见名知意
2、对该策略的描述
3、可创建一个相关功能的一个组,能更方便管理
4、给这个策略贴上一个标签,可自己创建。
5、源安全区域,创建的安全区域的起点这里指的是生产区
6、目标安全区域,目标的安全区域这里指的是DMZ(服务器区)和untrust(互联网)
7、源地址,可创建一个快捷方式这里的SC_ad指(10.0.1.0/24)可指一个网段也可一个ip地址
8、目标地址
9、可控制访问用户的认证方式
10、可控制的各种服务例如:http、https、ftp、icmp等等
11、可控制的各种应用服务比如:访问互联网服务、社交文档、视频影音等等
12、可访问的时间,也是这里题目的要求
这里生产区的要求是全天访问所以这里的第12点可以配置any全天访问,办公区需要控制时间段那么可新建一个时间段如图所示
要求二
生产区不允许访问互联网,办公区和游客区可以
可以访问互联网任然在策略中进行配置,而互联网区域存在很多不稳定因素所以俗语不信任区域(untrust)
如图进行配置,游客区访问互联网,生产区不允许访问互联网就不用给生产区授权去互联网的策略,因为末尾是拒绝所有,办公区如游客区相同配置。
要求三
10.0.2.10不能访问dmz区域的http,ftp服务且仅能ping通service1http服务器,这需要在制定一条10.0.2.10为源地址的策略如下配置
可以单独设置10.0.2.10仅能够ping通http服务器,末尾隐含拒绝所有及满足条件。所以在服务那一栏仅写icmp服务允许通过,测试如下:
要求四
要求四需要设计认证,首先要在用户模块创建一个用户域,然后添加用户组,为了细化用户认证。
成树形结构
因为市场部需要使用免认证所以需要采用双向绑定。
游客仅能访问10.0.3.10的门户网站所以配置策略
因为研发部访问DMZ区域需要使用匿名认证,市场部访问DMZ需要免认证所以需要去配置用户认证策略
同样策略内需要配置两个区域的安全区域和地址,最重要的是认证动作,在市场部中使用的是免认证,在上面也提到了免认证的要求需要该区域的用户访问需要进行双向绑定及ip和MAC地址进行绑定才能够进行免认证。
要求五
首先在生产区下创建三个部门每个部门三个人,且控制时间为10天并不允许多人使用
要求六
首先新建一个自定义管理员角色
创建自定义管理员