1.需求

某企业部署两台业务服务器,其中Server1通过基于IP地址和端口的安全策略_时间段端口对外提供服务,Server2通过UDP 6666端口对外提供服务。需要通过FW进行访问控制,8:00~17:00的上班时间段内禁止IP地址为10.1.1.2、10.2.1.2的两台PC使用这两台服务器对外提供的服务。其他PC在任何时间都可以使用这两台服务器对外提供的服务。

2.拓扑图

基于IP地址和端口的安全策略_时间段_02

3.配置思路

1.配置接口ip地址和安全区域(包括设备基本配置)

2.配置地址集,将不容许访问服务器的IP地址加入地址集

3.配置时间段,指定pc不容许访问服务器的时间

4.为server1和server2配置自定义服务集,将服务器的非知名端口加入服务集

5.配置安全策略规则,引用之前配置的地址集、时间段及服务集

4.操作过程

1.配置接口ip和安全区域(包括设备基本配置)

  1.配置GigabitEthernet 1/0/1接口IP地址,将接口加入dmz域


#system-view

#interface GigabitEthernet 1/0/1

#ip add 10.2.0.1 24

#quit

#firewall zone dmz

#add interface GigabitEthernet 1/0/1

#quit


基于IP地址和端口的安全策略_ip地址_03

2.配置GigabitEthernet 1/0/3接口IP地址,将接口加入trust域。


#system-view

#interface GigabitEthernet 1/0/2

#ip add 10.1.1.1 24

#quit

#firewall zone trust

#add interface GigabitEthernet 1/0/2

#quit


基于IP地址和端口的安全策略_ip地址_04

3.配置GigabitEthernet 1/0/3接口IP地址,将接口加入trust域。


#system-view

#interface GigabitEthernet 1/0/3

#ip add 10.2.1.1 24

#quit

#firewall zone trust

#add interface GigabitEthernet 1/0/3

#quit


基于IP地址和端口的安全策略_服务器_05

2.配置地址集,将不容许访问服务器的IP地址加入地址集

#system-view

#ip address-set server_deny type object

#address 10.1.1.2 mask 32

#address 10.2.1.2 mask 32

#quit

基于IP地址和端口的安全策略_时间段_06

3.配置时间段,指定pc不容许访问服务器的时间

#system-view

#time-range time_deny

#period-range 08:00:00 to 17:00:00 mon tue wed thu fri sat sun

#quit

基于IP地址和端口的安全策略_服务器_07

4.为server1和server2配置自定义服务集,将服务器的非知名端口加入服务集

#system-view

#ip service-set server1_port type object

#service protocol TCP source-port 0 to 65535 destination-port 8888

#quit

#ip service-set server2_port type object

#service protocol UDP source-port 0 to 65535 destination-port 6666

#quit

基于IP地址和端口的安全策略_服务器_08

5.配置安全策略规则,引用之前配置的地址集、时间段及服务集。

1.限制PC使用Server1对外提供的服务的安全策略

#system-view

#security-policy

#rule name policy_sec_deny1

#source-zone trust

#destination-zone dmz

#source-address address-set server_deny

#destination-address 10.2.0.10 32

#service server1_port

#time-range time_deny

#action deny

#quit基于IP地址和端口的安全策略_服务器_09

2.限制PC使用Server2对外提供的服务的安全策略

#system-view

#security-policy

#rule name policy_sec_deny2

#source-zone trust

#destination-zone dmz

#source-address address-set server_deny

#destination-address 10.2.0.11 32

#service server2_port

#time-range time_deny

#action deny

#quit

基于IP地址和端口的安全策略_ip地址_10

3.允许PC使用Server1对外提供的服务的安全策略

#system-view

#security-policy

#rule name policy_sec_permit3

#source-zone trust

#service server1_port

#action permit

#quit基于IP地址和端口的安全策略_服务器_11

4.允许PC使用Server2对外提供的服务的安全策略

#system-view

#security-policy

#rule name policy_sec_permit4

#source-zone trust

#service server2_port

#action permit

#quit

基于IP地址和端口的安全策略_时间段_12


5.验证结果

在08:00到17:00时间段内,IP地址为10.1.1.2、10.2.1.2的两台PC无法使用这两台服务器对外提供的服务,在其他时间段可以使用。其他PC在任何时间都可以使用这两台服务器对外提供的服务。