CLI舉例：基于IP地址和端口的安全策略

1、cli舉例：基于ip地址和端口的安全策略通過配置安全策略，實現(xiàn)基于ip地址、時間段以及服務(wù)（端口）的訪問控制。組網(wǎng)需求如圖1所示,某企業(yè)部署兩臺業(yè)務(wù)服務(wù)器，其中serverl通過tcp 8888端口對外提供服 務(wù)，server2通過udp 6666端口對外提供服務(wù)。需要通過fw進(jìn)行訪問控制，8： 0017： 00的上班時間段內(nèi)禁止ip地址為、的兩臺pc使用這兩臺服務(wù)器對外提 供的服務(wù)。其他pc在任何時間都可以使用這兩臺服務(wù)器對外提供的服務(wù)。圖1基于ip地址和端口的安全策略組網(wǎng)圖pc/24gigabitethernet 1/0/1ip 地址：10.

2、 2.0. 1/24 安全區(qū)域：dmzgigabitethernet 1/0/2ip 地址:10. 1. 1. 1/24 安全區(qū)域：trustgigabitethernet 1/0/3ip 地址：10. 2. 1. 1/24 安全區(qū)域：trustserver 1ip 地址：10. 2. 0. 10/24 端口： tcp 8888server 2ip 地址:10. 2.0. 11/24項目數(shù)據(jù)通過非知名:通過非知名:說明項目數(shù)據(jù)說明端口： udp 6666配置思路本例的訪問控制涉及到限制源ip、目的ip及端口、時間段，需要提前配置好地址集、服務(wù) 集和吋間段，然后配置安全策略引用這些限制條件。1.

3、 配置源ip地址集，將兒個不允許訪問服務(wù)器的ip地址加入地址集。配置安全策略時可以直接指定多個ip地址或地址段，但是對于零散的、不連續(xù)的地 址建議配置為地址集，方便集中管理，而且也方便被其他策略復(fù)用。b說明：因為策略的目的地址是單一的地址，所以這里沒有配置目的ip的地址集，采用了配 置安全策略吋直接輸入目的地址的方式。2. 配置兩個自定義服務(wù)集，分別將兩臺服務(wù)器的非知名端口加入服務(wù)集。本例中服務(wù)器使用的是非知名端口，必須配置口定義服務(wù)集，然后在安全策略中引用。 如果服務(wù)器通過知名端口（例如http的80端口）提供的服務(wù)，可以在配置安全策 略時直接使用預(yù)定義服務(wù)集（例如http、ftp等）。3.

4、 配置一個范圍為上班時間（08:0017:00）的時間段。4. 配置兩條安全策略，分別限制ip地址為和1021.2的pc對兩臺服務(wù)器的 訪問。5. 配置允許trust到dmz的域間訪問安全策略。本例中除了兩臺特殊的pc外，整個trust區(qū)域的pc都可以訪問服務(wù)器，所以先配 置禁止兩臺pc訪問服務(wù)器的安全策略，然后再開放trust到dmz的域間訪問。說明：系統(tǒng)默認(rèn)存在一條缺省安全策略（條件均為any,動作默認(rèn)為禁止）。如果需要控制 只有某些ip可以訪問服務(wù)器，則需要保持缺省安全策略的禁止動作，然后配置允許 哪些ip訪問服務(wù)器的安全策略。另外安全策略是按照配置順序兀配的，注意先配置

5、細(xì)化的后配置寬泛的策略。例如需 要控制在/24網(wǎng)段中，除了某幾個ip不能訪問服務(wù)器外，其他的ip都可以 訪問。此時需要先配置拒絕特殊ip通過的安全策略，然后再配置允許整個網(wǎng)段通過 的安全策略。操作步驟1. 配置接i丨ip地址和安全區(qū)域，完成網(wǎng)絡(luò)基本參數(shù)配置。a配置gigabitethernet 1/0/1接口 ip地址，將接口加入dmz域。b <1?w> system-viewc. fw interface gigabitethernet 1/0/1d. fw-gigabitethernet 1/0/1 ip address 10. 2.0.1 24e. fw-gi

6、gabitethernet1/0/1 quitf. fw firewallzone dmzgfw-zonc-dmzadd interfacegigabitethernet 1/0/1hfw-zone-dmzquiti. 配置 gigabitethernet 1/0/2 接口 ip 地址，將接口加入 trust 域。j.fw interface gigabitethernet1/0/2k.fw-gigabitethernet1/0/2 ip address 24l. fw-gigabitethernet1/0/2 quitm.fw firewall zone trustn.fw

7、-zone-trust add interface gigabitethernet 1/0/2o.fw-zonc-trust quitp.配置 gigabitethernet 1/0/3 接i i ip 地址，將接口加入 trust 域。q.fw interface gigabitethernet 1/0/3r.fw-gigabitethernet1/0/3 ip address 10. 2.1.1 24s.fw-gigabitethernet1/0/3 quitt.fw firewall zone trustu.fw-zone-trust add interface gigabitether

8、net 1/0/3v. fw-zone-trust quit2. 配置名稱為server_deny的地址集,將幾個不允許訪問服務(wù)器的ip地址加入地址集。3. fw ip address-set server deny type object4. l；w-object一address一set一server deny address 10. 1. 1. 2 mask 325. fw-object一address-set一server_deny address 10 2. 1. 2 mask 32 fw-object-address-set-server_deny quit6. 配置名稱為time_

9、deny的時間段，指定pc不允許訪問服務(wù)器的時間。7. fw time-range time_deny& fw-tinie-tdnge-tiitie_deny period-range 08:00:00 to 17:00:00 mon tue wed thu fri sat sun9. fw-time-：range-tinie_deny quit10. 分別為serverl和server2配置自定義服務(wù)集server1_port和server2_port,將服務(wù) 器的非知名端口加入服務(wù)集。11. fw ip service set serverl_port type object12f

10、w-object-service-set-serverl_port service protocol tcp source-port 0 to 65535 destination-port 888813. fw-object-service-set-serverl port quit14fw ip service-set server2_port type object15. fw-objcct-service-sct-scrverport service protocol udp source-port 0 to 65535 destination-port 666616. fw objec

11、t service set scrvcr2_port quit17配置安全策略規(guī)則，引用之前配置的地址集、時間段及服務(wù)集。未配置的匹配條件缺省值均為anyo#限制pc使用serverl對外提供的服務(wù)的安全策略fw security-policyfw-policy-security rule name policy_sec_denylfw-policy-security-rule-policy_sec_dcnyljew-policy-securi ty-rule-policy sec denylsource-zone trustdestination-zone dmzfw policy secu

12、rity rule policy_scc_deny1 server_denysource-address address： setfw-policy-sccuri ty-rule-policy_sec_deny1jfw policy security rule-policy sec deny 1jdestination-address 10.2. 0. 10 32service serverl_portfw-policy-security-rule-policy_sec_denyltime-range time_denyfw-policy-sccuri ty-rule-policy_sec_d

13、eny1j ew-policy-security-rule-policy sec denylaction denyquit#限制pc使用server2對外提供的服務(wù)的安全策略fw-policy-security rule name policy_sec_deny2fw-policy-security-rule-policy sec_ deny2source-zone trustl；w-policy-security-rule-policy sec deny2destination-zono dmzfw-policy-security-rule-policy_sec_dcny2 serverde

14、nyl；w-policy-security-rule-policy sec deny2source-address addrcss：-sctdes ti nation-addross 1 32fw-policy-security-rule-policy_sec_deny2service server2_portfw-policy-security-rule-policy_sec_deny2fw-policy-security-rule-policy sec deny2time-range time_denyaction denyfw-policy-security-rule-p

15、olicy_sec_deny2 quit#允許pc使用serverl對外提供的服務(wù)的安全策略fw-policy-security rule name policy_sec_permit3fw-policy-sccurity-rule-policy_secjpermit3fw-policy-security-rule-policy_sec_permit3fw-policy-security-：rule-policy sec permit3source-zone trustdestination-zone dmzservice serverl_portfw-policy-sccurity-rule

16、-policy_secjpermit3action permitfw-policy-security-rule-policy_secjpermit3 quit#允許pc使用server2對外提供的服務(wù)的安全策略fw-policy-security rule name policy_sec_permit4fw-pol icy-secur i ty-rule-pol icy_sec_perini t4fw-policy-securi ty-rule-policy _sec_ permit4source-zone trustdestination一zone dmzfw-policy-security

17、-rule-policy_sec_permit4service server2_portfw-policy-sccurity-rule-policy_secjpermit4fw-policy-securi ty-rule-policy _sec_ permit4action permitquitfw-policy-security quit結(jié)果驗證在08:00到17:00時間段內(nèi)，ip地址為、的兩臺pc無法使用這兩臺服務(wù) 器對外提供的服務(wù)，在其他時間段可以使用。其他pc在任何時間都可以使用這兩臺服務(wù)器 對外提供的服務(wù)。配置腳本以下只給出與本例有關(guān)的腳本。ip a

18、ddress-set server deny type objectaddress 0 10. 1. 1. 2 mask 32address 1 10. 2. 1. 2 mask 32ip service-set serverl_port type objectservice 0 protocol tcp source-port 0 to 65535 destination-port 8888ip service-set server2_port type objectservice 0 protocol udp source-port 0 to 65535 destination-port

19、6666time-range time denyperiod-range 08:00:00 to 17:00:00 daily#interface gigabitethernet 1/0/1undo shutdownip address 10. 2. 0. 1 255. 255. 255. 0interface gigabitethernet 1/0/2undo shutdownip address 10. 1. 1. 1 255. 255. 255. 0interface gigabitethernet 1/0/3undo shutdownip address 10. 2. 1. 1 firewall zone trustset priority 85add interface gigabitethernet 1/0/2add interface gigabitethernet 1/0/3f i rewali zone dmzset pr