防火墙图形化界面策略和用户认证(华为)

目录

    • 策略概要
    • 认证概要
    • 实验
      • 拓扑图
      • 题目
      • 要求一
      • 要求二
      • 要求三
      • 要求四
      • 要求五
      • 要求六

策略概要

安全策略概要:
安全策略(Security Policy)在安全领域具有双重含义。宏观上,安全策略指的是一个组织为保证其信息安全而建立的一套安全需求、控制措施和流程要求。它不仅建立了信息安全的总体目标,定义了信息安全的管理结构,还提出了对组织成员的安全要求。这种安全策略通常以文档的形式存在,属于企业治理范畴。
具体到防火墙产品上,安全策略指的是用于保护网络的规则。它是由管理员在系统中配置,决定了哪些流量可以通过,哪些流量应该被阻断。安全策略是防火墙产品的一个基本概念和核心功能。防火墙通过安全策略来提供业务管控能力,以保证网络的安全。

认证概要

用户认证概要
华为防火墙用户认证是一种基于身份验证的网络安全解决方案,旨在确保仅授权用户能够访问受保护的网络资源。这项认证技术通过验证用户的身份,实现对网络访问权限的管理和控制,从而帮助用户建立一个安全的网络环境。内部网络中的访问者使用AD域账号和密码进行认证,认证通过后,AD服务器将域账号和IP地址发送至FW,FW记录访问者使用的用户和IP地址之间的对应关系。
为了更直观的熟悉和使用华为防火墙策略和用户认证用一个实验来学习。

实验

题目如下:

拓扑图

在这里插入图片描述

题目

在这里插入图片描述
首先观察该拓扑图,要实现防火墙对各个区域的流量控制访问就要保证流量都需要经过防火墙。在生产区和办公区两个区域内可配置两个vlan2 3实现区域划分隔离广播域,然后在防火墙的GE1/0/1口方向配置两个子接口,原理类似单臂路由,然后G1/0/0和G1/0/4口分别做游客区和DMZ区的网关,两个防火墙的G0/0/0口连接同一个交换机然后利用web对防火墙进行登录控制。
配置子接口:
1、接口名称尽量做到通俗易懂。
2、安全区域(要求一的第一点要求)
3、绑定到该接口的vlan编号
4、配置该虚拟接口的ip(办公区的网关)
在这里插入图片描述

要求一

实现以上的基本配置后开始对第一个要求进行配置,在防火墙内要实现一个区域对一个区域的精细控制首先需要对区域进行划分,在网络页面的安全区域模块进行配置,一个区域就对应的是防火墙的一个接口。
在这里插入图片描述
在这里插入图片描述
点开具体条目如上所示,因为后续需要具体对策略进行配置所以简单命名就行
然后进入策略界面:
安全策略界面的策略是重上之下逐一匹配,匹配到了就不会继续往下匹配,末尾是拒绝所有。
新建安全策略
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
1、名称,做到见名知意
2、对该策略的描述
3、可创建一个相关功能的一个组,能更方便管理
4、给这个策略贴上一个标签,可自己创建。
5、源安全区域,创建的安全区域的起点这里指的是生产区
6、目标安全区域,目标的安全区域这里指的是DMZ(服务器区)和untrust(互联网)
7、源地址,可创建一个快捷方式这里的SC_ad指(10.0.1.0/24)可指一个网段也可一个ip地址
8、目标地址
9、可控制访问用户的认证方式
10、可控制的各种服务例如:http、https、ftp、icmp等等
11、可控制的各种应用服务比如:访问互联网服务、社交文档、视频影音等等
12、可访问的时间,也是这里题目的要求

这里生产区的要求是全天访问所以这里的第12点可以配置any全天访问,办公区需要控制时间段那么可新建一个时间段如图所示
在这里插入图片描述

要求二

生产区不允许访问互联网,办公区和游客区可以
可以访问互联网任然在策略中进行配置,而互联网区域存在很多不稳定因素所以俗语不信任区域(untrust)
在这里插入图片描述
如图进行配置,游客区访问互联网,生产区不允许访问互联网就不用给生产区授权去互联网的策略,因为末尾是拒绝所有,办公区如游客区相同配置。

要求三

10.0.2.10不能访问dmz区域的http,ftp服务且仅能ping通service1http服务器,这需要在制定一条10.0.2.10为源地址的策略如下配置
加粗样式
可以单独设置10.0.2.10仅能够ping通http服务器,末尾隐含拒绝所有及满足条件。所以在服务那一栏仅写icmp服务允许通过,测试如下:
在这里插入图片描述
在这里插入图片描述

要求四

要求四需要设计认证,首先要在用户模块创建一个用户域,然后添加用户组,为了细化用户认证。
在这里插入图片描述
在这里插入图片描述

成树形结构
在这里插入图片描述

因为市场部需要使用免认证所以需要采用双向绑定。
在这里插入图片描述

游客仅能访问10.0.3.10的门户网站所以配置策略
在这里插入图片描述

在这里插入图片描述
因为研发部访问DMZ区域需要使用匿名认证,市场部访问DMZ需要免认证所以需要去配置用户认证策略

在这里插入图片描述

同样策略内需要配置两个区域的安全区域和地址,最重要的是认证动作,在市场部中使用的是免认证,在上面也提到了免认证的要求需要该区域的用户访问需要进行双向绑定及ip和MAC地址进行绑定才能够进行免认证。

要求五

首先在生产区下创建三个部门每个部门三个人,且控制时间为10天并不允许多人使用

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

要求六

首先新建一个自定义管理员角色
在这里插入图片描述
创建自定义管理员
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/791519.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

PDF 中图表的解析探究

PDF 中图表的解析探究 0. 引言1. 开源方案探究 0. 引言 一直以来,对文档中的图片和表格处理都非常有挑战性。这篇文章记录一下最近工作上在这块的探究。图表分为图片和表格,这篇文章主要记录了对表格的探究。还有,我个人主要做日本项目&…

最优化(10):牛顿类、拟牛顿类算法

4.4 牛顿类算法——介绍了经典牛顿法及其收敛性,并介绍了修正牛顿法和非精确牛顿法; 4.5 拟牛顿类算法——引入割线方程,介绍拟牛顿算法以及拟牛顿矩阵更新方式,然后给出了拟牛顿法的全局收敛性,最后介绍了有限内存BFG…

如何抓取和处理天气网站数据

目的 在进行气象研究时,获取准确的历史天气数据是至关重要的。本文将分享如何从天气网站收集数据并将其转化为表格形式,以便于后续分析。然而,在直接抓取数据时,可能会遇到API接口保护的问题。本文将详细解释解决这些问题的步骤&…

LLM - 绝对与相对位置编码 与 RoPE 旋转位置编码 源码

欢迎关注我的CSDN:https://spike.blog.csdn.net/ 本文地址:https://spike.blog.csdn.net/article/details/140281680 免责声明:本文来源于个人知识与公开资料,仅用于学术交流,欢迎讨论,不支持转载。 Transformer 是基于 MHSA (多头自注意力),然而,MHSA 对于位置是不敏感…

ONLYOFFICE 8.1版本版本桌面编辑器测评

ONLYOFFICE官网链接:ONLYOFFICE - 企业在线办公应用软件 | ONLYOFFICE ONLYOFFICE在线办公套件:在线办公套件 | ONLYOFFICE ONLYOFFICE在线PDF编辑器、阅读器和转换器:在线PDF查看器和转换器 | ONLYOFFICE ONLYOFFICE 8.1版本桌面编辑器是…

Linux文件:EXT2文件系统工作原理 软硬链接

Linux文件:文件系统究竟是什么?如何管理文件? 前言一、磁盘结构、存储策略1.1 磁盘存储结构1.2 磁盘存储策略1.3 磁盘的逻辑存储结构 二、如何管理磁盘文件三、如何管理组3.1 每个组保存的数据种类3.2 如何管理数据1、节点表(inod…

推荐算法——MRR

定义: MRR计算的是第一个正确答案的排名的倒数,并对所有查询取平均值。它衡量了模型在排序结果中快速找到正确答案的能力。 其中: Q 是查询的总数。ranki​ 是第 i 个查询中第一个正确答案的排名(位置)。如果第一个正…

设计模式8-桥模式

设计模式8-Bridge 桥模式 由来与目的模式定义结构代码推导1. 类和接口的定义2. 平台实现3. 业务抽象4. 使用示例总结1. 类数量过多,复杂度高2. 代码重复3. 不符合单一职责原则4. 缺乏扩展性改进后的设计1. 抽象和实现分离(桥接模式)2. 抽象类…

本地部署,GFPGAN: 实用的面部修复算法

目录 什么是 GFPGAN? 技术原理 主要功能 应用场景 本地安装 运行结果 结语 Tip: 在图像处理和计算机视觉领域,面部修复是一个重要且具有挑战性的研究方向。随着深度学习技术的不断进步,许多新的算法被提出,用于…

基于JavaSpringBoot+Vue+uniapp微信小程序校园宿舍管理系统设计与实现(7000字论文参考+源码+LW+部署讲解)

博主介绍:硕士研究生,专注于信息化技术领域开发与管理,会使用java、标准c/c等开发语言,以及毕业项目实战✌ 从事基于java BS架构、CS架构、c/c 编程工作近16年,拥有近12年的管理工作经验,拥有较丰富的技术架…

打包时提示:Missing Gradle Project Information.或者在加载gradle时出错

1.Android打包弹出错误提示框:missing gradle project information. please check if the IDE successfully synchronized its state with the Gradble project model. 2.加载gradle出错:修复报错后 File -> Sync Project with Gradle Files

【DevOps】在云原生时代的角色与重要性探索

🐇明明跟你说过:个人主页 🏅个人专栏:《未来已来:云原生之旅》🏅 🔖行路有良友,便是天堂🔖 目录 一、引言 1、什么是云原生 2、云原生的核心特性 3、什么是DevOps…

【2024最新华为OD-C/D卷试题汇总】[支持在线评测] 找单词(200分) - 三语言AC题解(Python/Java/Cpp)

🍭 大家好这里是清隆学长 ,一枚热爱算法的程序员 ✨ 本系列打算持续跟新华为OD-C/D卷的三语言AC题解 💻 ACM银牌🥈| 多次AK大厂笔试 | 编程一对一辅导 👏 感谢大家的订阅➕ 和 喜欢💗 &#x1f…

javaweb图书商城系统带万字文档网上书城java项目java课程设计java毕业设计

文章目录 图书商城系统一、项目演示二、项目介绍三、万字项目文档四、部分功能截图五、部分代码展示六、底部获取项目源码带万字文档(9.9¥带走) 图书商城系统 一、项目演示 网上书城 二、项目介绍 语言:java 数据库:…

vue2+Dexie.js基本使用——前端大容量存储IndexedDB 的包装库

文章目录 IndexedDB存储IndexedDB常用概念Dexie.js操作流程获取一个数据库实例定义对象存储空间和索引等数据库结构_基本增删查改 IndexedDB 是一个事务型数据库系统,类似于基于 SQL 的 RDBMS。然而,不像 RDBMS 使用固定列表,IndexedDB 是一个…

数据结构 —— BellmanFord算法

数据结构 —— BellmanFord算法 BellmanFord算法检测负权值环BellmanFord和Dijkstra思想上的区别Dijkstra算法的思想Bellman-Ford算法的思想思想上的对比 我们今天来看一个算法BellmanFord算法,我们之前的Dijkstra算法只能用来解决正权图的单源最短路径问题。 Bell…

linux_进程概念——理解冯诺依曼体系结构

前言: 本篇内容是为了让友友们较好地理解进程的概念, 而在真正了解进行概念之前, 要先了解一下冯诺依曼体系结构。 所以博主会先对冯诺伊曼体系结构进行解释, 然后再讲解进程的概念。 ps: 本篇内容适合了解一些linux指…

新兴市场游戏产业爆发 传音以技术抢抓机遇 ​

随着年轻人口的增加以及互联网的普及,非洲、中东等新兴市场正迎来游戏产业的大爆发,吸引着全球游戏企业玩家在此开疆辟土。中国出海企业代表传音以新兴市场需求为中心,秉持本地化创新理念不断加强游戏等关键领域技术攻关凭借移动终端设备为全球玩家带来极致游戏体验,收获了消费…

变位齿轮的齿高好像不变

通过这个软件的计算,变位尺寸的大小径都会同时变化,从而整个齿高好像没有变化。 下面百度答案

文章解读与仿真程序复现思路——电网技术EI\CSCD\北大核心《计及负荷时空特性的高速公路链式微网光-储-充容量优化配置方法》

本专栏栏目提供文章与程序复现思路,具体已有的论文与论文源程序可翻阅本博主免费的专栏栏目《论文与完整程序》 论文与完整源程序_电网论文源程序的博客-CSDN博客https://blog.csdn.net/liang674027206/category_12531414.html 电网论文源程序-CSDN博客电网论文源…