H3C防火墙基于IP地址的安全策略配置
- 组网需求
· 某公司内的各部门之间通过Device实现互连,该公司的工作时间为每周工作日的8点到18点。
· 通过配置安全策略规则,允许总裁办在任意时间、财务部在工作时间通过HTTP协议访问财务数据库服务器的Web服务,禁止其它部门在任何时间、财务部在非工作时间通过HTTP协议访问该服务器的Web服务。
- 组网图
图1-6 基于IP地址的安全策略配置组网图
- 配置步骤
(1) 配置接口IP地址
根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.0.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 配置接口加入安全域
请根据组网图中规划的信息,创建安全域,并将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name database
[Device-security-zone-database] import interface gigabitethernet 1/0/1
[Device-security-zone-database] quit
[Device] security-zone name president
[Device-security-zone-president] import interface gigabitethernet 1/0/2
[Device-security-zone-president] quit
[Device] security-zone name finance
[Device-security-zone-finance] import interface gigabitethernet 1/0/3
[Device-security-zone-finance] quit
[Device] security-zone name market
[Device-security-zone-market] import interface gigabitethernet 1/0/4
[Device-security-zone-market] quit
(3) 配置时间段
创建名为work的时间段,其时间范围为每周工作日的8点到18点,具体配置步骤如下。
[Device] time-range work 08:00 to 18:00 working-day
(4) 配置安全策略
配置名称为president-database的安全策略规则,允许总裁办在任意时间通过HTTP协议访问财务数据库服务器,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name president-database
[Device-security-policy-ip-0-president-database] source-zone president
[Device-security-policy-ip-0-president-database] destination-zone database
[Device-security-policy-ip-0-president-database] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-0-president-database] destination-ip-subnet 192.168.0.0 24
[Device-security-policy-ip-0-president-database] service http
[Device-security-policy-ip-0-president-database] action pass
[Device-security-policy-ip-0-president-database] quit
配置名称为finance-database的安全策略规则,只允许财务部在工作时间通过HTTP协议访问财务数据库服务器,具体配置步骤如下。
[Device-security-policy-ip] rule name finance-database
[Device-security-policy-ip-1-finance-database] source-zone finance
[Device-security-policy-ip-1-finance-database] destination-zone database
[Device-security-policy-ip-1-finance-database] source-ip-subnet 192.168.2.0 24
[Device-security-policy-ip-1-finance-database] destination-ip-subnet 192.168.0.0 24
[Device-security-policy-ip-1-finance-database] service-port tcp destination eq 80
[Device-security-policy-ip-1-finance-database] action pass
[Device-security-policy-ip-1-finance-database] time-range work
[Device-security-policy-ip-1-finance-database] quit
配置名称为market-database的安全策略规则,禁止市场部在任何时间通过HTTP协议访问财务数据库服务器,具体配置步骤如下。
[Device-security-policy-ip] rule name market-database
[Device-security-policy-ip-2-market-database] source-zone market
[Device-security-policy-ip-2-market-database] destination-zone database
[Device-security-policy-ip-2-market-database] source-ip-subnet 192.168.3.0 24
[Device-security-policy-ip-2-market-database] destination-ip-subnet 192.168.0.0 24
[Device-security-policy-ip-2-market-database] service http
[Device-security-policy-ip-2-market-database] action drop
[Device-security-policy-ip-2-market-database] quit
激活安全策略规则的加速功能,具体配置步骤如下。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
- 验证配置
配置完成后,总裁办可以在任意时间访问财务数据库服务器的Web服务,财务部仅可以在工作时间访问财务数据库服务器的Web服务,其他部门任何时间均不可以访问财务数据库服务器的Web服务。
H3C防火墙基于IP地址的安全策略配置相关推荐
- Linux下配置Apache虚拟主机(基于IP地址)
Linux下配置Apache虚拟主机(基于IP地址) 一.虚拟主机 虚拟主机,又称虚拟服务器,是一种在单一主机或主机群上,实现多网域服务的方法,可以运行多个网站或服务的技术.虚拟主机之间完全独立,并可 ...
- 虚拟Web主机(基于域名配置,基于ip地址,基于端口)
文章目录 虚拟Web主机 httpd支持的虚拟主机类型 基于域名的虚拟主机 基于IP地址的虚拟主机 基于端口的蓄力主机 基于域名的虚拟主机 修改DNS主配置文件 设置区域配置文件 添加区域数据配置文件 ...
- 使用apache配置基于IP地址的虚拟主机
使用apache配置基于IP地址的虚拟主机 第一步:设置多个IP地址 这里设置两个IP地址:192.168.1.5 和 192.168.1.8 第二步:在 httpd.conf 文件中加入如下内内容 ...
- 网络精通-VLAN的高级配置之基于IP地址划分VLAN
331.基于IP地址的VLAN的划分: 实验topo : 实验需求: 当接入交换机的PC的IP地址为192.168.10.0 网段,自动划分为VLAN 10 : 当接入交换机的PC的IP地址为192. ...
- VMware中安装CentOS7网络配置静态IP地址,常用配置和工具安装
VMware中安装CentOS7网络配置静态IP地址,常用配置和工具安装 在阿里云开源镜像地址下载镜像 Index of /centos/7.2.1511/isos/x86_64/ http://mi ...
- 建立基于IP地址访问的网站
建立基于IP地址访问的网站 要求: 1.该网站ip地址的主机位为100,设置DocumentRoot为/www/ip/100,网页内容为:this is 100. 2.该网站ip地址主机位为200,设 ...
- lqc_基于IP地址,端口的访问控制
基于IP地址,端口的访问控制 实验环境: 某公司的web服务器,网关服务器均采用centos6.5操作系统,为了加强网络访问的安全性,要求管理员熟悉iptables防火墙规则的编写,以便指定有效.可行 ...
- 基于IP地址划分VLAN
实验环境: 1.当检测IP在192.168.10.0./24时,PC接入交换机时,将其划分为VLAN 10,且可以和VLAN 10的服务器通信 2.当检测IP在192.168.20.0/24时,PC接 ...
- Linux中修改weblogic默认IP,Weblogic 12c ip 地址改变如何配置
Weblogic 12c ip 地址改变如何配置 1. 在weblogic 安装的路径找到之前创建的域下的jwxt-jdbc.xml文件:如我安装的路径为 (C:\Oracle\Middleware\ ...
最新文章
- 量子计算陷入难解困境,未来发展何去何从?
- 预测分析:R语言实现2.8 小结
- const那些事-初始化
- Part2_3 正则表达式、Excel表格相关操作
- macbook配置java环境变量_Mac系统配置JDK环境变量
- SQLServer、Mysql、Oracle 创建、删除用户和授予用户权限
- day30 并发编程
- SpringBoot + Mybatis-puls + ClickHouse增删改查入门教程
- plsql提示列快捷键_20种VSCode快捷键清单,助你更快编码
- 余承东回应“卸任”传闻:服务还未拼尽全力,岂敢先溜
- QQ连连看 逆向分析外挂制作报告【脱壳ASPPack】【模拟点击】【内联HOOK】
- MYSQL异常处理日志:主从库同步延迟时间过长的分析
- 在几何画板中如何制作圆柱的侧面展开动画_几何画板制作圆锥侧面展开图课件...
- 反计算机病毒技术论文,计算机病毒反病毒技术论文
- 2020东三省数学建模A题
- 爬取京东辣条商品详情
- 【牛尔】【小p】这些美容强男的超级秘籍!!!丝般肌肤毛孔看不见,清透小面颊,丝滑小脸蛋儿,你难道不想拥有吗————【收缩毛孔的最佳方法】(一夜之间6万浏览量,大师的感召力和信服力就是强啊!)
- Python实现对某微博用户数据分析
- 哇!8款帮你轻松瘦脸的美食
- 联想小新触控板不行了