1.需求
某企业部署两台业务服务器,其中Server1通过端口对外提供服务,Server2通过UDP 6666端口对外提供服务。需要通过FW进行访问控制,8:00~17:00的上班时间段内禁止IP地址为10.1.1.2、10.2.1.2的两台PC使用这两台服务器对外提供的服务。其他PC在任何时间都可以使用这两台服务器对外提供的服务。
2.拓扑图
3.配置思路
1.配置接口ip地址和安全区域(包括设备基本配置)
2.配置地址集,将不容许访问服务器的IP地址加入地址集
3.配置时间段,指定pc不容许访问服务器的时间
4.为server1和server2配置自定义服务集,将服务器的非知名端口加入服务集
5.配置安全策略规则,引用之前配置的地址集、时间段及服务集
4.操作过程
1.配置接口ip和安全区域(包括设备基本配置)
1.配置GigabitEthernet 1/0/1接口IP地址,将接口加入dmz域
#system-view
#interface GigabitEthernet 1/0/1
#ip add 10.2.0.1 24
#quit
#firewall zone dmz
#add interface GigabitEthernet 1/0/1
#quit
2.配置GigabitEthernet 1/0/3接口IP地址,将接口加入trust域。
#system-view
#interface GigabitEthernet 1/0/2
#ip add 10.1.1.1 24
#quit
#firewall zone trust
#add interface GigabitEthernet 1/0/2
#quit
3.配置GigabitEthernet 1/0/3接口IP地址,将接口加入trust域。
#system-view
#interface GigabitEthernet 1/0/3
#ip add 10.2.1.1 24
#quit
#firewall zone trust
#add interface GigabitEthernet 1/0/3
#quit
2.配置地址集,将不容许访问服务器的IP地址加入地址集
#system-view
#ip address-set server_deny type object
#address 10.1.1.2 mask 32
#address 10.2.1.2 mask 32
#quit
3.配置时间段,指定pc不容许访问服务器的时间
#system-view
#time-range time_deny
#period-range 08:00:00 to 17:00:00 mon tue wed thu fri sat sun
#quit
4.为server1和server2配置自定义服务集,将服务器的非知名端口加入服务集
#system-view
#ip service-set server1_port type object
#service protocol TCP source-port 0 to 65535 destination-port 8888
#quit
#ip service-set server2_port type object
#service protocol UDP source-port 0 to 65535 destination-port 6666
#quit
5.配置安全策略规则,引用之前配置的地址集、时间段及服务集。
1.限制PC使用Server1对外提供的服务的安全策略
#system-view
#security-policy
#rule name policy_sec_deny1
#source-zone trust
#destination-zone dmz
#source-address address-set server_deny
#destination-address 10.2.0.10 32
#service server1_port
#time-range time_deny
#action deny
#quit
2.限制PC使用Server2对外提供的服务的安全策略
#system-view
#security-policy
#rule name policy_sec_deny2
#source-zone trust
#destination-zone dmz
#source-address address-set server_deny
#destination-address 10.2.0.11 32
#service server2_port
#time-range time_deny
#action deny
#quit
3.允许PC使用Server1对外提供的服务的安全策略
#system-view
#security-policy
#rule name policy_sec_permit3
#source-zone trust
#service server1_port
#action permit
#quit
4.允许PC使用Server2对外提供的服务的安全策略
#system-view
#security-policy
#rule name policy_sec_permit4
#source-zone trust
#service server2_port
#action permit
#quit
5.验证结果
在08:00到17:00时间段内,IP地址为10.1.1.2、10.2.1.2的两台PC无法使用这两台服务器对外提供的服务,在其他时间段可以使用。其他PC在任何时间都可以使用这两台服务器对外提供的服务。