发布日期:2024-10-29 20:11 点击次数:188
本例如是在F1000-AI-55的R8860版块上进行成就和考证的风骚老妈。
组网需求如图-1所示,某公司共包括President、Market和Finance三个部门,各部门之间通过Device完毕互连,同期也通过Device手脚网关畅达Internet,该公司的使命时代为每周使命日的8点到18点。通过成就安全战略,完毕如下需求:
允许President在职意时代访谒所有这个词汇集资源,比如Internet、Finance汇集和Market汇集等。
允许Finance部门的职工仅能访谒本部门里面汇集资源,不可访谒其他任何汇集资源。
允许Market部门的职工仅能在使命时代访谒Internet上的部分资源,访谒Internet的具体截止如下:
不可玩游戏、不可访谒流媒体类型、P2P类型和汇集社区类型的资源,然则允许访谒优酷的资源。
即时通信类型的资源仅允许使用微信。
天然拒却此部门职工访谒汇集社区类型的资源,然则又需要允许使用MSN、钉钉和安防论坛资源。
除了以上几条具体截止需求除外的资源王人允许访谒。
President区域不允许任何东谈主主动访谒,Finance区域和Market区域也不可互相访谒。
图-1 基于旁边的严谨型安全战略典型成就例如
/images/m230712x1z512/x_Img_x_png_0.png)
风骚老妈
成就开发请将旁边识别特征库实时升级到最新版块。
为使安全战略中成就的旁边不错被识别,必须先放行旁边所依赖的基础左券报文。
成就念念路安全战略成就念念途经头数据计较如下表所示:
表-1 安全战略成就念念路
神色
数据
施展
President部门的安全战略
称号:president_permit
源安全区域:president
绸缪安全区域:untrust;finance;market
源IP/MAC地址:president
动作:允许
记载日记:开启
此战略允许President部门的职工摆脱访谒任何汇集资源
此战略和底下的战略援用的王人是源IP地址对象组
Finance部门的安全战略
称号:finance_permit
源安全区域:finance
绸缪安全区域:finance
动作:允许
记载日记:开启
此战略不错完毕Finance部门内职工之间的互相访谒
Market部门的安全战略1
称号:market_permit1
源安全区域:market
绸缪安全区域:untrust
源IP/MAC地址:market
旁边:微信;MSN;钉钉;安防论坛;优酷
时代段:work
动作:允许
记载日记:开启
安全战略默许划定可完毕不容Market部门职工使用即时通信用具。market_deny1战略不容职工访谒汇集社区类型和流媒体类型的资源
然则此战略不错允许Market部门职工在上班时代使用微信、MSN、钉钉、优酷和安防论坛汇集资源
凭证安全战略处理报文的优先级原则,需要将此战略放在market_deny1战略前边,不然汇集社区类型(MSN、钉钉、安防论坛、优酷)的旁边将会被拒却。
Market部门的安全战略2
称号:market_deny1
源安全区域:market
绸缪安全区域:untrust
源IP/MAC地址:market
旁边:游戏组;P2P组;汇集社区组;流媒体组
时代段:work
动作:拒却
记载日记:开启
此战略不错不容Market部门职工在上班时代玩游戏、不雅看视频和逛社区网站等
白鹿ai换脸此战略的旁边过滤条款中包含了游戏组、P2P组、流媒体组和汇集社区组旁边组,每个旁边组中王人包含了许多具体的旁边
Market部门的安全战略3
称号:market_permit2
源安全区域:market
绸缪安全区域:untrust
源IP/MAC地址:market
旁边:permit-others
时代段:work
动作:允许
记载日记:开启
此战略允许Market部门职工在上班时代访谒一些界说不太准确的资源。
此战略中的旁边组permit-others里面,不错加入一些办公类、邮件类、汇集左券类等不太容易差异了了的旁边。
若解决员已明确知谈需要拒却某个旁边,则不错将此旁边从允许通过的旁边组中删除。或着新建一条安全战略拒却此旁边流量通过
放行常用基础左券的安全战略
称号:market_permit3
源安全区域:market
绸缪安全区域:untrust
源IP/MAC地址:market
旁边:protocol-permit
动作:允许
记载日记:开启
此战略允许常用的基础左券通过,不然APR模块将不可准备地识别旁边
常用的基础左券一般包括:TCP、UDP、DNS、HTTP、HTTPS、SMTP、IMAP和POP3,将这些左券加入旁边组protocol-permit
天然安全战略market_permit2中允许的旁边中可能包含这些基础左券,然则为了幸免安全战略market_permit2发生变化后不影响APR对报文的识别,是以冷落单独成就一条安全战略放行这些常用的基础左券
安全战略的默许划定
安全战略的默许划定不错完毕此绸缪:President区域不允许任何东谈主主动访谒,Finance区域和Market区域也不可互相访谒。
安全战略的默许划定是拒却所有这个词报文通过
凭证以上的分析,再联结安全战略越靠前优先级越高的原则,咱们合理创建安全战略的先后递次次第为:president_permit、finance_permit、market_permit1、market_deny1、market_permit2、market_permit3。
成就才智成就安全域
# 采用“汇集 > 安全域”,插足安全域成就页面,次第成就如下实质。
插足名为Untrust的安全域,并将接口GigabitEthernet1/0/1加入该安全域中
创建名为president的安全域,并将接口GigabitEthernet1/0/2加入该安全域中
创建名为finance的安全域,并将接口GigabitEthernet1/0/3加入该安全域中
创建名为market的安全域,并将接口GigabitEthernet1/0/4加入该安全域中
成就接口IP地址
# 采用“汇集 > 接口 > 接口”,插足接口成就页面。
# 单击接口GE1/0/1右侧的<裁剪>按钮,成就如下。
采用“IPv4地址”页签,成就IP地址/掩码:2.2.2.1/24
其他成就项使用缺省值
# 单击<详情>按钮,完成接口IP地址的成就。
# 按照相同的才智成就接口GE1/0/2,成就如下。
IP地址/掩码:10.0.12.1/24
其他成就项使用缺省值
# 按照相同的才智成就接口GE1/0/3,成就如下。
IP地址/掩码:10.0.11.1/24
其他成就项使用缺省值
# 按照相同的才智成就接口GE1/0/4,成就如下。
IP地址/掩码:10.0.10.1/24
其他成就项使用缺省值
成就时代段
创建名为work的时代段,当时代限制为每周使命日的8点到18点。
# 采用“对象 > 对象组 > 时代段”,插足时代段成就页面,成就如下。
称号为work
周期时代段为每周使命日的8点到18点
成就旁边组
创建名为游戏组的旁边组,将游戏类别种的所有这个词旁边加入此旁边组。
# 采用“对象> 旁边安全 > 旁边识别 > 旁边组”,插足旁边构成就页面。
# 单击<新建>按钮,成就如下:
图-2 新建旁边组
/images/m230712x1z512/x_Img_x_png_1.png)
# 将游戏类别中的所有这个词旁边一齐加入到右侧的已选旁边中。
# 单击<详情>按钮,完成此旁边组的创建。
按照如上才智,次第创建如下旁边组:
P2P组:创建名为P2P组的旁边组,并将P2P类别中的所有这个词旁边加入此旁边组
流媒体组:创建名为流媒体组的旁边组,并将流媒体类别中的所有这个词旁边加入此旁边组
汇集社区组:创建名为汇集社区组的旁边组,并将汇集社区类别中的所有这个词旁边加入此旁边组
permit-others:创建名permit-others的旁边组,并将一些办公类、邮件类、汇集左券类等不太容易差异了了的旁边加入此旁边组
protocol-permit:创建名protocol-permit的旁边组,并将常用的基础左券(一般包括:TCP、UDP、DNS、HTTP、HTTPS SMTP、IMAP和POP3等)加入此旁边组
创建名为president_permit的安全战略
# 采用“战略 > 安全战略 > 安全战略”,插足安全战略成就页面。
# 单击<新建>按钮,采用新建战略,插足新建安全战略页面,成就如下。
图-3 新建安全战略
/images/m230712x1z512/x_Img_x_png_2.png)
# 其他成就项保握默许情况即可。
# 单击<详情>按钮,完成此安全战略的创建。
创建名为finance_permit的安全战略
# 采用“战略 > 安全战略 > 安全战略”,插足安全战略成就页面。
# 单击<新建>按钮,采用新建战略,插足新建安全战略页面,成就如下。
图-4 创建安全战略
/images/m230712x1z512/x_Img_x_png_3.png)
# 其他成就项保握默许情况即可。
# 单击<详情>按钮,完成此安全战略的创建。
创建名为market_permit1的安全战略
# 采用“战略 > 安全战略 > 安全战略”,插足安全战略成就页面。
# 单击<新建>按钮,采用新建战略,插足新建安全战略页面,成就如下。
图-5 创建安全战略
/images/m230712x1z512/x_Img_x_png_4.png)
# 其他成就项保握默许情况即可。
# 单击<详情>按钮,完成此安全战略的创建。
创建名为market_deny1的安全战略
# 采用“战略 > 安全战略 > 安全战略”,插足安全战略成就页面。
# 单击<新建>按钮,采用新建战略,插足新建安全战略页面,成就如下。
图-6 创建安全战略
/images/m230712x1z512/x_Img_x_png_5.png)
# 其他成就项保握默许情况即可。
# 单击<详情>按钮,完成此安全战略的创建。
创建名为market_permit2的安全战略
# 采用“战略 > 安全战略 > 安全战略”,插足安全战略成就页面。
# 单击<新建>按钮,采用新建战略,插足新建安全战略页面,成就如下。
图-7 创建安全战略
/images/m230712x1z512/x_Img_x_png_6.png)
# 其他成就项保握默许情况即可。
# 单击<详情>按钮,完成此安全战略的创建。
创建名为market_permit3的安全战略
# 采用“战略 > 安全战略 > 安全战略”,插足安全战略成就页面。
# 单击<新建>按钮,采用新建战略,插足新建安全战略页面,成就如下。
图-8 创建安全战略
/images/m230712x1z512/x_Img_x_png_7.png)
# 其他成就项保握默许情况即可。
# 单击<详情>按钮,完成此安全战略的创建。
考证成就President部门的职工摆脱不错访谒任何汇集资源。
Finance部门内职工之间不错互相访谒。
Market部门的职工仅能在使命时代访谒Internet上的部分资源,访谒Internet的具体截止如下:
不可玩游戏、不可访谒流媒体类型、P2P类型和汇集社区类型的资源,然则允许访谒优酷的资源。
即时通信类型的资源仅允许使用微信。
天然拒却此部门职工访谒汇集社区类型的资源,然则又需要允许使用MSN、钉钉和安防论坛资源。
除了以上几条具体截止需求除外的资源王人允许访谒。
President区域不允许任何东谈主主动访谒,Finance区域和Market区域也不可互相访谒。
采用“监控 > 安全日记 > 安全战略日记”,分别检验各个部门的访谒流量是否射中正确的安全战略,例如如下。
图-9 拒却迅雷望望
/images/m230712x1z512/x_Img_x_png_8.png){kind=small}
图-10 允许优酷
/images/m230712x1z512/x_Img_x_png_9.png){kind=small}
图-11 允许微信通过
/images/m230712x1z512/x_Img_x_png_10.png)
图-12 拒却QQ通过
/images/m230712x1z512/x_Img_x_png_11.png)