【实验目的】配置防火墙二层透明部署实现不同区域间业务访问并且管理员可通过防火墙安全策略配置对现有服务访问进行限定控制。【知识点】安全域桥地址绑定安全策略。【场景描述】针对企业网络现有办公区域网络规划配置部门A和部门B使用三层网络进行通信访问由于部门C员工涉及安全要求较高因此现要规划部门C使用二层网络进行通信并且针对能够访问的二层网络作出访问控制以达到内网安全的目的。具体实现需求如下部门C用户可以通过桥连接方式建立二层网络访问OA服务器。为避免恶意攻击防火墙可以基于网络协议或应用服务配置限制网络访问。如果你是运维工程师为了满足以上技术需求该如何实现【实验原理】1.接口安全域防火墙的安全域功能是为了对接口进行区域划分实现基于安全域的访问控制及应用安全等功能。防火墙默认包含 5 个安全域3 个三层区域trustuntrustdmz2 个二层区域l2trustl2untrust关键词加粗安全域 逻辑分区 网络区域标签防火墙里的“安全域”不是指图中的某个物理设备比如路由器、交换机而是防火墙对接口的一种逻辑分组方式用于区分网络信任级别。你可以在防火墙上把某个物理接口如 GE4划入某个安全域比如 “trust” 或 “l2trust”。 默认5个安全域说明安全域名称类型用途说明trust三层内部可信网络如办公区、部门A/Buntrust三层外部不可信网络如互联网电信/联通出口dmz三层半可信区如对外服务器网站、邮件、DNSl2trust二层用于透明模式下内部可信二层网络如本实验的部门Cl2untrust二层用于透明模式下外部或隔离的二层网络较少用重点记住“三层” 接口要配IP走路由“二层” 接口不配IP走桥接/透传类似交换机“trust / untrust / dmz” 是经典三层分区“l2trust / l2untrust” 是专门给透明模式网桥模式准备的二层分区。默认提供的五个安全域名称不允许修改但是用户可以编辑安全域的接口成员。用户还可以创建新的安全域。不同的安全域之间是相互独立的通过在同一个安全域内或者不同的安全域直接配置不同的安全策略实现不同的网络访问控制。使用限制和注意事项(1) 默认安全域可以设置绑定接口成员但不可以删除不可以修改名称和类型。(2) 新创建的安全域可以设置绑定接口成员也可以删除不可以修改名称和类型。(3) 自定义安全域引用了功能模块时不能被删除。2.网桥防火墙作为网桥时工作在数据链路层。一个桥类似一个vlan对接同一桥的设备只能在该桥内进行二层转发不开启虚拟线路桥的桥可以绑定桥接口作为一个三层接口管理防火墙。开启虚拟线路桥后一个桥只能绑定两个物理接口。虚拟线路桥不能绑定桥接口。从绑定虚拟线路桥的一个物理接口进入的流量只能被转发到该虚拟线路桥对的另一个接口其他接口流量不能被转发到虚拟线路桥中。“防火墙作为网桥时工作在数据链路层” —— 通俗版解释关键词加粗网桥模式 透明部署 不改IP像交换机一样透传流量想象一下你把防火墙插在“部门C交换机”和“数据中心OA服务器”之间防火墙此时不配IP地址也不做路由就像一块“智能玻璃” —— 数据包从左边进来它看一眼是不是允许的允许就透过去不允许就丢掉它不改包的源/目的IP工作在OSI第二层数据链路层只看MAC地址和VLAN标签如果有的话。 “一个桥类似一个VLAN” 怎么理解你创建一个“桥”Bridge相当于创建一个“虚拟交换机”把两个物理接口比如 GE4 和 GE3绑到这个桥上 → 它们就在同一个广播域里这两个口之间转发的是二层帧不能跨桥通信除非你再配别的桥或路由类似VLAN同一VLAN内的主机能互相通不同VLAN不通 —— 桥也是这样桥内互通桥外不通。 类比记忆VLAN 用软件划分的广播域Bridge 用防火墙模拟的“二层交换机”l2trust 这个桥里放的是“可信的二层设备”如部门C和OA服务器“不开启虚拟线路桥的桥可以绑定桥接口作为一个三层接口管理防火墙” —— 有点绕拆开讲这句话其实是说两种模式 模式A传统桥不开启虚拟线路桥你可以创建一个桥绑定多个接口比如3个、4个这些口都在同一个二层域里同时你可以给这个“桥”配一个IP → 用来管理防火墙比如通过浏览器登录防火墙Web界面这时候这个“桥”就相当于一个“带管理IP的二层交换机” 模式B开启“虚拟线路桥”Virtual Wire Bridge这是更严格的透明模式一个桥只能绑定两个物理接口流量只能在这两个口之间透传不能进其他口不能给这个桥配IP → 所以你要另外开个管理口比如GE1来登录防火墙更适合“串接在关键链路上做纯安全控制”的场景。 实验中用的是“虚拟线路桥”模式因为你要严格控制“部门C ↔ OA服务器”的二层通路不允许绕行。3.安全策略安全策略是防火墙的核心功能它提供了多种维度比如源IP、目的IP、源安全域、目的安全域、服务、应用、时间、地域、用户等多种过滤功能可以根据自身的需要设置相应的安全策略对经过防火墙的数据进行过滤。通常情况下防火墙会从上到下按照顺序匹配安全策略一旦有一条安全策略匹配后将不再向下匹配而在企业业务繁多的情况下安全策略的条目会随着企业的业务丰富而增多容易产生重复配置、配置错误、规则顺序错误、冲突的安全策略这类型安全策略称为“冗余策略”防火墙平台会检测到冗余策略管理员可以根据实际情况及防火墙的建议进行调整或删除冗余策略。【实验设备】本次实验并不会用到所有资源仅启用拓扑中蓝色高亮图标设备。【实验思路】【实验预期】服务器Ubuntu14 1台安全设备防火墙 1台网络设备交换机 1台终端设备Windows 10 1台Windows 7 1台。【实验拓扑】拓扑说明本拓扑模拟的一个完整的企业网网络功能受资源限制不能完全仿真仅对关键功能和区域进行模拟。企业网络总共分为9个安全区域互联网电信、互联网联通、运维区、DMZ区域、部门A、部门B、部门C、数据中心、DNS服务器。其中互联网电信、互联网联通属于企业互联网边界拓扑模拟了两条运营商链路一条来自电信一条来自联通。运维区属于运维人员对设备进行管理和运维的区域包括设备巡检、日志分析、设备升级等工作DMZ区域也叫隔离区或者非军事化管理区。企业中对互联网开放的服务和应用如门户网站、邮件系统都部署在DMZ区域。部门A、部门B、部门C模拟的是企业内部各个部门。由于部门之间的业务不尽相同通常他们的网络也是有区别管理的如销售部、财务部、研发部其权限是不同的。数据中心属于企业中最核心最有价值的区域所有核心数据如研发数据、生成材料、财务数据、企业管理数据都存于此处仅向有权限的人或部门开放。DNS服务器用于模拟内、外网DNS服务器主要用于内、外网域名服务解析使用。透明模式部署网桥模式透明模式下访问控制。部门C终端能够通过ping和加载url的方式访问数据中心OA系统服务器。部门C不能访问数据中心OA系统的ssh服务。【实验步骤】1.透明模式部署网桥模式这一部分的目标是将防火墙“伪装”成一根网线或一个交换机串接在部门C和数据中心之间不改变原有的网络IP规划。1在管理终端中打开浏览器在地址栏中输入防火墙设备IP地址https://10.0.0.1以实际设备IP地址为准进入防火墙的登录界面。输入管理员用户名admin和密码!1fw2soc#3vpn登录防火墙2为提高防火墙系统的安全性如果用户用默认密码登录防火墙防火墙会提示用户修改初始密码本实验无需修改密码单击【取消】按钮关闭对话框3成功登录防火墙设备后进入防火墙【首页】菜单4首先要为部门C和数据中心通过防火墙的网桥部署模式创建连接。单击【网络配置】–【桥】进入桥界面点击【添加】按钮完成桥连接的添加5在弹出的添加桥对话框中【桥ID】选择1【HA组】选择0【虚拟线路桥】勾选启用点击【确定】按钮完成桥的建立6点击【确定】按钮后即可在桥列表中查看到相关信息核心概念解析桥 (Bridge)在防火墙上创建一个逻辑的“二层交换通道”。虚拟线路桥文档中强调的模式。这意味着这个桥只能绑定两个物理接口一对一映射。数据包从一个接口进必须从另一个接口出不能乱窜。这非常适合做点对点的透明串联。目的建立了一个名为br1的逻辑通道准备把部门C和数据中心“连接”起来。7接下来为防火墙相关的接口配置桥接口。单击【网络配置】→【接口】菜单来到接口界面。本实验中防火墙的Ge3和Ge4分别对应的部门C和数据中心区域单击ge3口的编辑8在弹出的“编辑物理接口”界面【工作模式】选择“交换模式”【模式】选择“bridge”【桥】选择“br1”点击【确定】按钮完成接口编辑9第一次做模式切换的时候会弹出提示继续点击【确定】按钮即可全部完成10同样操作为ge4口配置交换模式。单击ge4口进行编辑。【工作模式】选择交换模式【模式】选择bridge【桥】选择br1点击【确定】按钮完成操作11返回到接口主界面确认ge3口和ge4口的配置核心概念解析交换模式意味着该接口不再作为三层路由接口不配IP而是作为二层交换接口工作。接口绑定把物理接口“塞进”刚才创建的桥里。GE3和GE4现在成了br1的两个端点。目的物理连线完成。现在部门C的流量从GE3进直接从GE4出到数据中心反之亦然。防火墙此时像一根透明的网线。12至此防火墙透明模式部署完成。2.透明模式下访问控制1首先为部门C和数据中心创建安全域。单击【网络配置】→【安全域】菜单进入安全域配置界面点击【添加】按键进行安全域的添加2在所弹出的“添加安全域”对话框中【名称】填写“部门C安全域”【类型】选择“二层安全域”【接口绑定】ge3为已选单击【确定】按钮完成添加3继续点击【添加】按钮添加数据中心安全域。其中【名称】填写“数据中心安全域”【类型】选择“二层安全域”【接口绑定】将ge4口选为已选列表点击【确定】按钮完成添加4完成接口绑定后即可在安全域列表中查看到相关信息目的在透明模式下接口没有IP无法像三层那样基于“区域”路由。二层安全域的作用是将物理接口归类作为安全策略匹配的“锚点”。策略可以写“从部门C安全域来的流量不允许去数据中心安全域”。创建地址对象步骤5-7操作创建一个地址对象部门C和数据中心地址段IP为172.16.0.0/24。目的简化策略配置。后续写策略时不需要每次都输入网段直接选这个对象即可。5接下来为部门C和数据中心的ip地址创建地址对象。具体操作单击【对象配置】→【地址】菜单进入地址配置界面点击页面左上角的【添加】按键进行地址对象添加6在所弹出的“添加地址”对话框中填入相关信息其中【名称】填写“部门C和数据中心地址段”【IP地址】填写172.16.0.0/24单击【确定】按钮完成地址对象添加7完成地址对象添加后即可在地址列表中查看到相关信息8接下来为部门C和数据中心创建安全访问策略先创建ssh的拒绝策略。单击【策略配置】→【安全策略】菜单点击【添加】按钮添加安全策略配置安全策略核心步骤步骤8-11这是实现“能访问OA但不能SSH”的关键。策略匹配遵循从上到下的顺序。策略一拒绝SSH高危服务拦截服务ssh(TCP 22端口)逻辑先卡死。只要是部门C发往数据中心、且试图使用SSH协议的流量一律丢弃。策略二允许其他所有业务放行逻辑后放行。除了上面那条策略拒绝掉的SSH其他所有流量如HTTP/HTTPS用于访问OA网页ICMP用于Ping都允许通过。9在所弹出的“添加安全策略”对话框中填入配置信息其中【名称】填写“部门C-数据中心-ssh-拒绝”【动作】选择“拒绝”【源安全域】选择“部门C安全域”【目的安全域】选择“数据中心安全域”【源地址/地区】和【目的地址/地区】均选择“部门C用户和数据中心地址段”【服务】选择ssh其他的均默认即可最后点击【确定】按钮进行保存10继续添加部门C和数据中心其他协议放行的策略。点击【添加】按钮添加安全策略在弹出的【添加安全策略】对话框中填入配置信息其中【名称】填写“部门C-数据中心”【动作】选择“允许”【源安全域】选择“部门C安全域”【目的安全域】选择“数据中心安全域”【源地址/地区】和【目的地址/地区】均选择“部门C用户和数据中心地址段”【服务】和应用均选择any即可最后点击【确定】按钮进行保存11完成添加后即可在安全策略列表中查看到相关信息【实验结论】配置逻辑梳理搭架子用“桥”把两个接口连起来实现二层透传。贴标签用“二层安全域”给这两个接口归类。定规矩用“安全策略”规定哪些协议SSH不让过哪些HTTP/ICMP让过。1.部门C终端能够通过ping和加载url的方式访问数据中心OA系统服务器。1登录实验拓扑中部门C终端虚拟机打开CMD窗口执行ping 172.16.0.3指令发现可以正常通信如图所示。2桌面上的谷歌浏览器并在地址栏中输入地址http://172.16.0.3进行访问可以看到部门C终端可以通过桥接的方式进行访问通信如图所示。3综上所述部门C终端可以通过ping和url的方式访问数据中心OA服务器满足实验预期1。2.部门C不能访问数据中心OA系统的ssh服务。1在部门C终端桌面上的打开putty软件在地址栏输入172.16.0.3 端口选择22链接方式为ssh点击【Open】按钮进行连接如图所示。2连接等待数秒后弹出错误告警弹窗连接被阻断如图所示。3再次切换到管理终端单击【数据中心】→【日志】→【流量日志】菜单在流量日志列表中发现存在ssh访问拒绝的相关条目如图所示。4综上所述部门C终端不能通过SSH方式访问数据中心OA系统满足实验预期2。
实验三:防火墙透明部署与访问控制实验
【实验目的】配置防火墙二层透明部署实现不同区域间业务访问并且管理员可通过防火墙安全策略配置对现有服务访问进行限定控制。【知识点】安全域桥地址绑定安全策略。【场景描述】针对企业网络现有办公区域网络规划配置部门A和部门B使用三层网络进行通信访问由于部门C员工涉及安全要求较高因此现要规划部门C使用二层网络进行通信并且针对能够访问的二层网络作出访问控制以达到内网安全的目的。具体实现需求如下部门C用户可以通过桥连接方式建立二层网络访问OA服务器。为避免恶意攻击防火墙可以基于网络协议或应用服务配置限制网络访问。如果你是运维工程师为了满足以上技术需求该如何实现【实验原理】1.接口安全域防火墙的安全域功能是为了对接口进行区域划分实现基于安全域的访问控制及应用安全等功能。防火墙默认包含 5 个安全域3 个三层区域trustuntrustdmz2 个二层区域l2trustl2untrust关键词加粗安全域 逻辑分区 网络区域标签防火墙里的“安全域”不是指图中的某个物理设备比如路由器、交换机而是防火墙对接口的一种逻辑分组方式用于区分网络信任级别。你可以在防火墙上把某个物理接口如 GE4划入某个安全域比如 “trust” 或 “l2trust”。 默认5个安全域说明安全域名称类型用途说明trust三层内部可信网络如办公区、部门A/Buntrust三层外部不可信网络如互联网电信/联通出口dmz三层半可信区如对外服务器网站、邮件、DNSl2trust二层用于透明模式下内部可信二层网络如本实验的部门Cl2untrust二层用于透明模式下外部或隔离的二层网络较少用重点记住“三层” 接口要配IP走路由“二层” 接口不配IP走桥接/透传类似交换机“trust / untrust / dmz” 是经典三层分区“l2trust / l2untrust” 是专门给透明模式网桥模式准备的二层分区。默认提供的五个安全域名称不允许修改但是用户可以编辑安全域的接口成员。用户还可以创建新的安全域。不同的安全域之间是相互独立的通过在同一个安全域内或者不同的安全域直接配置不同的安全策略实现不同的网络访问控制。使用限制和注意事项(1) 默认安全域可以设置绑定接口成员但不可以删除不可以修改名称和类型。(2) 新创建的安全域可以设置绑定接口成员也可以删除不可以修改名称和类型。(3) 自定义安全域引用了功能模块时不能被删除。2.网桥防火墙作为网桥时工作在数据链路层。一个桥类似一个vlan对接同一桥的设备只能在该桥内进行二层转发不开启虚拟线路桥的桥可以绑定桥接口作为一个三层接口管理防火墙。开启虚拟线路桥后一个桥只能绑定两个物理接口。虚拟线路桥不能绑定桥接口。从绑定虚拟线路桥的一个物理接口进入的流量只能被转发到该虚拟线路桥对的另一个接口其他接口流量不能被转发到虚拟线路桥中。“防火墙作为网桥时工作在数据链路层” —— 通俗版解释关键词加粗网桥模式 透明部署 不改IP像交换机一样透传流量想象一下你把防火墙插在“部门C交换机”和“数据中心OA服务器”之间防火墙此时不配IP地址也不做路由就像一块“智能玻璃” —— 数据包从左边进来它看一眼是不是允许的允许就透过去不允许就丢掉它不改包的源/目的IP工作在OSI第二层数据链路层只看MAC地址和VLAN标签如果有的话。 “一个桥类似一个VLAN” 怎么理解你创建一个“桥”Bridge相当于创建一个“虚拟交换机”把两个物理接口比如 GE4 和 GE3绑到这个桥上 → 它们就在同一个广播域里这两个口之间转发的是二层帧不能跨桥通信除非你再配别的桥或路由类似VLAN同一VLAN内的主机能互相通不同VLAN不通 —— 桥也是这样桥内互通桥外不通。 类比记忆VLAN 用软件划分的广播域Bridge 用防火墙模拟的“二层交换机”l2trust 这个桥里放的是“可信的二层设备”如部门C和OA服务器“不开启虚拟线路桥的桥可以绑定桥接口作为一个三层接口管理防火墙” —— 有点绕拆开讲这句话其实是说两种模式 模式A传统桥不开启虚拟线路桥你可以创建一个桥绑定多个接口比如3个、4个这些口都在同一个二层域里同时你可以给这个“桥”配一个IP → 用来管理防火墙比如通过浏览器登录防火墙Web界面这时候这个“桥”就相当于一个“带管理IP的二层交换机” 模式B开启“虚拟线路桥”Virtual Wire Bridge这是更严格的透明模式一个桥只能绑定两个物理接口流量只能在这两个口之间透传不能进其他口不能给这个桥配IP → 所以你要另外开个管理口比如GE1来登录防火墙更适合“串接在关键链路上做纯安全控制”的场景。 实验中用的是“虚拟线路桥”模式因为你要严格控制“部门C ↔ OA服务器”的二层通路不允许绕行。3.安全策略安全策略是防火墙的核心功能它提供了多种维度比如源IP、目的IP、源安全域、目的安全域、服务、应用、时间、地域、用户等多种过滤功能可以根据自身的需要设置相应的安全策略对经过防火墙的数据进行过滤。通常情况下防火墙会从上到下按照顺序匹配安全策略一旦有一条安全策略匹配后将不再向下匹配而在企业业务繁多的情况下安全策略的条目会随着企业的业务丰富而增多容易产生重复配置、配置错误、规则顺序错误、冲突的安全策略这类型安全策略称为“冗余策略”防火墙平台会检测到冗余策略管理员可以根据实际情况及防火墙的建议进行调整或删除冗余策略。【实验设备】本次实验并不会用到所有资源仅启用拓扑中蓝色高亮图标设备。【实验思路】【实验预期】服务器Ubuntu14 1台安全设备防火墙 1台网络设备交换机 1台终端设备Windows 10 1台Windows 7 1台。【实验拓扑】拓扑说明本拓扑模拟的一个完整的企业网网络功能受资源限制不能完全仿真仅对关键功能和区域进行模拟。企业网络总共分为9个安全区域互联网电信、互联网联通、运维区、DMZ区域、部门A、部门B、部门C、数据中心、DNS服务器。其中互联网电信、互联网联通属于企业互联网边界拓扑模拟了两条运营商链路一条来自电信一条来自联通。运维区属于运维人员对设备进行管理和运维的区域包括设备巡检、日志分析、设备升级等工作DMZ区域也叫隔离区或者非军事化管理区。企业中对互联网开放的服务和应用如门户网站、邮件系统都部署在DMZ区域。部门A、部门B、部门C模拟的是企业内部各个部门。由于部门之间的业务不尽相同通常他们的网络也是有区别管理的如销售部、财务部、研发部其权限是不同的。数据中心属于企业中最核心最有价值的区域所有核心数据如研发数据、生成材料、财务数据、企业管理数据都存于此处仅向有权限的人或部门开放。DNS服务器用于模拟内、外网DNS服务器主要用于内、外网域名服务解析使用。透明模式部署网桥模式透明模式下访问控制。部门C终端能够通过ping和加载url的方式访问数据中心OA系统服务器。部门C不能访问数据中心OA系统的ssh服务。【实验步骤】1.透明模式部署网桥模式这一部分的目标是将防火墙“伪装”成一根网线或一个交换机串接在部门C和数据中心之间不改变原有的网络IP规划。1在管理终端中打开浏览器在地址栏中输入防火墙设备IP地址https://10.0.0.1以实际设备IP地址为准进入防火墙的登录界面。输入管理员用户名admin和密码!1fw2soc#3vpn登录防火墙2为提高防火墙系统的安全性如果用户用默认密码登录防火墙防火墙会提示用户修改初始密码本实验无需修改密码单击【取消】按钮关闭对话框3成功登录防火墙设备后进入防火墙【首页】菜单4首先要为部门C和数据中心通过防火墙的网桥部署模式创建连接。单击【网络配置】–【桥】进入桥界面点击【添加】按钮完成桥连接的添加5在弹出的添加桥对话框中【桥ID】选择1【HA组】选择0【虚拟线路桥】勾选启用点击【确定】按钮完成桥的建立6点击【确定】按钮后即可在桥列表中查看到相关信息核心概念解析桥 (Bridge)在防火墙上创建一个逻辑的“二层交换通道”。虚拟线路桥文档中强调的模式。这意味着这个桥只能绑定两个物理接口一对一映射。数据包从一个接口进必须从另一个接口出不能乱窜。这非常适合做点对点的透明串联。目的建立了一个名为br1的逻辑通道准备把部门C和数据中心“连接”起来。7接下来为防火墙相关的接口配置桥接口。单击【网络配置】→【接口】菜单来到接口界面。本实验中防火墙的Ge3和Ge4分别对应的部门C和数据中心区域单击ge3口的编辑8在弹出的“编辑物理接口”界面【工作模式】选择“交换模式”【模式】选择“bridge”【桥】选择“br1”点击【确定】按钮完成接口编辑9第一次做模式切换的时候会弹出提示继续点击【确定】按钮即可全部完成10同样操作为ge4口配置交换模式。单击ge4口进行编辑。【工作模式】选择交换模式【模式】选择bridge【桥】选择br1点击【确定】按钮完成操作11返回到接口主界面确认ge3口和ge4口的配置核心概念解析交换模式意味着该接口不再作为三层路由接口不配IP而是作为二层交换接口工作。接口绑定把物理接口“塞进”刚才创建的桥里。GE3和GE4现在成了br1的两个端点。目的物理连线完成。现在部门C的流量从GE3进直接从GE4出到数据中心反之亦然。防火墙此时像一根透明的网线。12至此防火墙透明模式部署完成。2.透明模式下访问控制1首先为部门C和数据中心创建安全域。单击【网络配置】→【安全域】菜单进入安全域配置界面点击【添加】按键进行安全域的添加2在所弹出的“添加安全域”对话框中【名称】填写“部门C安全域”【类型】选择“二层安全域”【接口绑定】ge3为已选单击【确定】按钮完成添加3继续点击【添加】按钮添加数据中心安全域。其中【名称】填写“数据中心安全域”【类型】选择“二层安全域”【接口绑定】将ge4口选为已选列表点击【确定】按钮完成添加4完成接口绑定后即可在安全域列表中查看到相关信息目的在透明模式下接口没有IP无法像三层那样基于“区域”路由。二层安全域的作用是将物理接口归类作为安全策略匹配的“锚点”。策略可以写“从部门C安全域来的流量不允许去数据中心安全域”。创建地址对象步骤5-7操作创建一个地址对象部门C和数据中心地址段IP为172.16.0.0/24。目的简化策略配置。后续写策略时不需要每次都输入网段直接选这个对象即可。5接下来为部门C和数据中心的ip地址创建地址对象。具体操作单击【对象配置】→【地址】菜单进入地址配置界面点击页面左上角的【添加】按键进行地址对象添加6在所弹出的“添加地址”对话框中填入相关信息其中【名称】填写“部门C和数据中心地址段”【IP地址】填写172.16.0.0/24单击【确定】按钮完成地址对象添加7完成地址对象添加后即可在地址列表中查看到相关信息8接下来为部门C和数据中心创建安全访问策略先创建ssh的拒绝策略。单击【策略配置】→【安全策略】菜单点击【添加】按钮添加安全策略配置安全策略核心步骤步骤8-11这是实现“能访问OA但不能SSH”的关键。策略匹配遵循从上到下的顺序。策略一拒绝SSH高危服务拦截服务ssh(TCP 22端口)逻辑先卡死。只要是部门C发往数据中心、且试图使用SSH协议的流量一律丢弃。策略二允许其他所有业务放行逻辑后放行。除了上面那条策略拒绝掉的SSH其他所有流量如HTTP/HTTPS用于访问OA网页ICMP用于Ping都允许通过。9在所弹出的“添加安全策略”对话框中填入配置信息其中【名称】填写“部门C-数据中心-ssh-拒绝”【动作】选择“拒绝”【源安全域】选择“部门C安全域”【目的安全域】选择“数据中心安全域”【源地址/地区】和【目的地址/地区】均选择“部门C用户和数据中心地址段”【服务】选择ssh其他的均默认即可最后点击【确定】按钮进行保存10继续添加部门C和数据中心其他协议放行的策略。点击【添加】按钮添加安全策略在弹出的【添加安全策略】对话框中填入配置信息其中【名称】填写“部门C-数据中心”【动作】选择“允许”【源安全域】选择“部门C安全域”【目的安全域】选择“数据中心安全域”【源地址/地区】和【目的地址/地区】均选择“部门C用户和数据中心地址段”【服务】和应用均选择any即可最后点击【确定】按钮进行保存11完成添加后即可在安全策略列表中查看到相关信息【实验结论】配置逻辑梳理搭架子用“桥”把两个接口连起来实现二层透传。贴标签用“二层安全域”给这两个接口归类。定规矩用“安全策略”规定哪些协议SSH不让过哪些HTTP/ICMP让过。1.部门C终端能够通过ping和加载url的方式访问数据中心OA系统服务器。1登录实验拓扑中部门C终端虚拟机打开CMD窗口执行ping 172.16.0.3指令发现可以正常通信如图所示。2桌面上的谷歌浏览器并在地址栏中输入地址http://172.16.0.3进行访问可以看到部门C终端可以通过桥接的方式进行访问通信如图所示。3综上所述部门C终端可以通过ping和url的方式访问数据中心OA服务器满足实验预期1。2.部门C不能访问数据中心OA系统的ssh服务。1在部门C终端桌面上的打开putty软件在地址栏输入172.16.0.3 端口选择22链接方式为ssh点击【Open】按钮进行连接如图所示。2连接等待数秒后弹出错误告警弹窗连接被阻断如图所示。3再次切换到管理终端单击【数据中心】→【日志】→【流量日志】菜单在流量日志列表中发现存在ssh访问拒绝的相关条目如图所示。4综上所述部门C终端不能通过SSH方式访问数据中心OA系统满足实验预期2。
