文/丁坚

前面对H3C防火墙自身的加固做了详细的解释,本篇着重介绍运营商防火墙安全策略配置及建议。

防火墙作通常位于网络的边界,其主要职责,是保护客户网络的机密性,保障客户网络的可用性。同时,作为网络管理员,在保证了网络的安全和可用之余,还需要考虑维护的便利性。在日常网络运维中,网络管理员对防火墙操作最多的,莫过于安全策略,尤其是运营商的网络。防火墙后面涉及的网络平台类型众多、策略复杂,同时,随着每个类型的服务平台的不断升级及业务扩展,需要频繁的修改安全策略,这就对网络管理员提出了难题。今天,我们就解决、优化此问题,说明如何更好的部署H3C防火墙安全策略。

案例:

某运营商网络平台防火墙承载了100种业务,早期每个平台对外开放的端口数据已经一次性在防火墙平台上一次性部署完成,安全策略如下(类似):

前期安全策略部署时,安全策略格式:源域:网络会话发起方所处的网络区域

目的域:网络会话发起方访问的目的网络区域

ID:由防火墙自动生成

源IP地址:网络会话发起方的IP地址

目的IP地址:网络会话访问的目的IP地址

过滤动作:permit(允许)/deny(阻断)

随着业务扩展,内网平台需要重新删除以前开放的端口、同时增加新的开放端口,类似上图中的安全策略,往往客户会直接新增类似上图中的安全策略解决,虽然事情可以解决,但是随着类似这种操作的不断增加,最终会导致防火墙安全策略过多,且功能无明显标识,给日常运维带来很大的不便。

针对上述方案,建议开局时安全策略部署时采取如下步骤:

(1)根据内网每个不同类型的平台分别建立不同的IP地址组,并进行中文描述

(防火墙-资源管理-地址-IP地址)

(2)定义所有平台需要开放的端口(防火墙-资源管理-服务-自定义服务)

(3)按照每个业务平台定义各自开放的端口集合

(防火墙-资源管理-服务-服务组)

(4)配置对应的安全策略

(防火墙—安全策略-域间策略)

按照此规范进行配置,配置原则为一平台一策略,别忘记了,策略的最后加上一条deny any。此策略是阻断所有没有授权开放的网络端口服务。防火墙分别针对每类平台开放不同的端口,未授权开放的端口,一律关闭,确保网络的安全。

按照上述配置方法,日常运维人员可以清晰的了解各个平台开放的端口和服务。对平时各个平台的对外开放的端口只需要在(防火墙-资源管理-服务-服务组)修改需要调整的端口,便捷、快速、准确。各个平台需要新增、删除服务器,只需要在(防火墙-资源管理-地址-IP地址)中修改IP地址即可。

h3c防火墙服务器ip修改,H3C防火墙安全策略配置建议相关推荐

  1. linux命令的使用:配置静态ip,查看网关,dns服务器ip,关闭防火墙,selinux

    linux是:其实就是类unix的操作系统. like unix 使用c语言写的linux linus 李纳斯:kernel(内核):是操作系统内部最核心的软件.作用:1.对cpu进行调度管理2.对内 ...

  2. 打印机服务器ip修改,打印机服务器ip设置

    打印机服务器ip设置 内容精选 换一换 目前,支持通过以下2种方式来设置日志级别:通过执行命令来设置日志级别.您可以用adc进程运行用户登录开发环境,执行全局级或模块级的日志级别设置命令.在开发环境上 ...

  3. 手游服务器ip 修改密码,手机挂常用ip改QQ密码技巧

    手机挂改密码: 具体步骤: [1]手机(必须是智能机)上要先安装两个软件:手机QQ(08.09.10.11版本都可以)和opera mobile浏览器8 (安装方法用手机浏览器登陆m.opera.co ...

  4. 手游服务器ip 修改密码,手游无双小师妹一键启动服务端+配套客户端+启动教程+IP修改说明等...

    内容介绍 资源说明: 1.本资源默认IP为192.168.1.116 2.如本机为此IP则可按照启动教程直接启动服务端. 3.如本机IP为非此IP,请自行修改本机IP为192.168.1.116或参考 ...

  5. win7注册表关闭防火墙服务器,怎么样修改注册表来关闭windows防火墙?

    很难,不过你可以看看下面的 通过修改注册表打开或关闭Windows防火墙端口,以远程桌面端口3389为例: SetPort.bat @echo offSET TS=HKLM\SYSTEM\Curren ...

  6. h3c虚拟服务器设置方法,h3c 设置虚拟服务器

    h3c 设置虚拟服务器 内容精选 换一换 该步骤是虚拟机配置中的最后一个步骤,由于Cloudbase-init机制,在用于镜像制作的虚拟机关机后再开机会生成随机密码,导致该虚拟机无法登录,所以请您再检 ...

  7. 打印机服务器ip修改,怎样改打印机服务器的ip地址

    怎样改打印机服务器的ip地址 内容精选 换一换 一.Linux下常用命令:文件与目录操作basename:从文件名中去掉路径和扩展名cd:切换当前工作目录到指定目录chgrp:改变文件所属组chmod ...

  8. 打印机服务器ip修改,怎么样更改打印机服务器的ip地址

    怎么样更改打印机服务器的ip地址 内容精选 换一换 实例常用端口如表1所示.您可以通过配置安全组规则放通实例对应的端口,详情请参见配置安全组规则.无法访问公有云某些端口问题现象:访问公有云特定端口,在 ...

  9. linux 服务器ip修改

    一.打开网卡配置文件 进入目录 cd /etc/sysconfig/network-scripts/ 查看ifcfg-开头的文件,列如ifcfg-ens33 vi ifcfg-ens33  查看的信息 ...

最新文章

  1. 【C++】【三】单向链表
  2. kali linux 安装 Mysql Can‘t read from messagefile 报错解决方案
  3. 全球及中国食品供应区块链行业运行形势及未来投资规模建议报告2021年版
  4. Kettle使用_20 笛卡尔积与前一行后一行Lead Lag
  5. 从无到有开发连麦直播技术点整理
  6. win2003 iis上运行asp.net配置
  7. threejs 纹理流动_ThreeJs 认识纹理
  8. 面向对象之软件需求中的体系构造
  9. 360杀毒引发的DLL调用异常
  10. Win10问题篇:使用微PE装机。(完整版教程)
  11. 从numpy掩码到pytorch掩码
  12. 如果能理解医生的准确意图,深度学习会是医疗诊断的未来吗?
  13. OS X键盘快捷键Cheatsheet
  14. java8新特性回顾(四)---并发增强之Striped64和longAdder
  15. 【管理篇 / 登录】❀ 03. USB线连接登录 ❀ FortiGate 防火墙
  16. 移动宽带虚拟网服务器设置,移动宽带路由器怎么设置?
  17. python的print用法
  18. Go语言 大话数据结构——图
  19. 多麦克风做拾音的波束_【语音交互】先从麦克风阵列聊起
  20. 分贝表示的放大倍数--增益

热门文章

  1. 图片中的exif数据
  2. 《数据结构》严蔚敏第二版 2.53 循环链表,双向链表
  3. 2020 中国软件 100 强,腾讯第二、阿里第三,第一竟然是他!
  4. 【调剂】首都体育学院体育人工智能研究院飞人实验室接收2022届学硕有计算机背景的研究生调剂...
  5. 用水量测系统-灌区用水精细化管理
  6. 瓷器进口关税多少及相关瓷器进口报关流程中会遇到哪些问题?
  7. 修改PLCnext时间
  8. 使用EXCEL的查询
  9. 路径规划算法学习Day5
  10. No module named finance