下载掌阅APP,畅读海量书库
立即打开
党的二十大报告提出:“加快建设制造强国、质量强国、航天强国、交通强国、网络强国、数字中国。”网络强国建设承载着以习近平同志为核心的党中央的深切关怀和殷切期望。习近平总书记强调,要站在实现“两个一百年”奋斗目标和中华民族伟大复兴中国梦的高度,加快推进网络强国建设,向着网络基础设施基本普及、自主创新能力显著增强、数字经济全面发展、网络安全保障有力、网络攻防实力均衡的方向不断前进。
【 知识目标 】
(1)了解UTM的基本访问配置方法;
(2)了解UTM的访问控制策略实现方式。
【 技能目标 】
(1)能够对UTM进行安全策略的配置;
(2)能够对UTM进行安全策略组的配置。
【 素质目标 】
(1)培养中华民族共同体意识;
(2)培养网络安全意识;
(3)培养科技强国的责任感和使命感。
安全策略典型配置举例演示视频
禁用控制端口
硬件防火墙配置
网络安全管理员小王经常会针对防火墙进行访问控制的配置。一种情况是针对内部网络访问互联网Internet的基于时间段的访问控制,如图3.1所示。另一种情况是内部网络中的PC机对数据中心的服务器Server的访问控制,如图3.2所示。
图3.1
图3.2
如图3.1所示,内部网络通过PC与Internet互联。内部网络属于Trust安全域,外部网络属于Untrust安全域。要求正确配置访问控制策略,允许内部主机Public(IP地址为10.1.1.12 /24)在任何时候访问外部网络;禁止内部其他主机在上班时间(周一至周五的8:00—18:00)访问外部网络。
本任务通过H3C SecPath F1060防火墙实现。
安全策略通过指定源/目的安全域、源IP / MAC地址、目的IP地址、服务、应用、终端、用户和时间段等过滤条件匹配出特定的报文,并根据预先设定的策略动作对此报文进行处理;若报文未匹配上任何策略,则丢弃。当安全策略中未配置过滤条件时,则该策略将匹配所有报文。
安全策略中可同时配置多种过滤条件,具体包括源安全域、目的安全域、源IP / MAC地址、目的IP地址、用户、应用、终端、服务和时间段等。一条策略匹配成功的条件是:策略中已配置的所有过滤条件必须均匹配成功。
一类过滤条件中可以配置多个匹配项,比如一类过滤条件中可以指定多个目的安全域。一类过滤条件被匹配成功的条件是:过滤条件的任何一个匹配项被匹配成功。
时间段资源用来定义时间段信息,并可以被ACL(Access Control List,访问控制列表)、安全策略等模块引用,以设置该访问控制列表中的某条规则在指定时间段定义的范围内有效。
时间段可分为以下两种类型:
·周期时间段:以一周为周期(如每周一的8:00—12:00)循环生效的时间段。
·绝对时间段:在指定时间范围内(如2023年1月1日8:00—2023年1月3日8:00)生效的时间段。
(1)配置接口GE1 /0 /1、GE1 /0 /2地址。在上方导航栏选择“网络”,单击左侧导航栏“接口”,再次选择“接口”,如图3.3所示。
图3.3
(2)单击GE1 /0 /2栏中的
按钮,进入“接口编辑”界面。单击“ipv4”,输入IP地址。按照图3.4所示设置接口GE1 /0 /2,单击“确定”返回“接口管理”界面(图3.5)。
图3.4
接口GE1 /0 /2加入Trust区域。
单击左侧导航栏“接口→安全域”,呈现如图3.6所示的界面。
图3.5
图3.6
单击Trust栏中的
按钮,进入“修改安全域”界面。按照如图3.7所示将接口GE1 /0 /2加入Trust域,单击“确定”按钮完成配置。
配置上班时间段(周一至周五的8:00—18:00)。
在导航栏中单击“对象→对象组→时间段”,单击“新建”按钮,进行如图3.8所示的配置。
输入名称“worktime”;选中“周期时间段→新建”,设置开始时间为“8:00”;设置结束时间为“18:00”;勾选“周一”“周二”“周三”“周四”“周五”,单击“确定”按钮完成操作。
配置IP地址资源public。
图3.7
图3.8
在导航栏中选择“对象”,左侧导航栏选择“对象组→ipv4对象组”,单击“新建”按钮进行如图3.9所示的配置。
图3.9
单击“添加”按钮,输入对象组名称“public”,“对象”选择“主机IP地址”,输入IP地址“10.1.1.12”,单击“添加”按钮将其添加到IP地址列表框中。单击“确定”按钮完成操作。
1)配置允许主机Public在任何时候访问外部网络的域间策略规则
在上方导航栏中单击“策略”,在左侧导航栏选择“安全策略→安全策略”,单击“新建”按钮,进行如图3.10、图3.11所示的配置。
图3.10
将源域设置为“Trust”,目的域设置为“Untrust”,源IP地址选择“public”,操作动作选择“允许”,勾选“开启Syslog日志功能”,勾选“启用规则”,单击“确定”按钮完成操作。
2)配置禁止其他主机在上班时间访问外部网络的安全策略规则
完成上述配置后,页面自动跳转至“新建安全策略规则”的配置页面,源域和目的域保持之前的选择不变,进行如图3.12、图3.13所示的配置。
图3.11
图3.12
图3.13
过滤动作选“Deny”,时间段选“worktime”,勾选“开启Syslog日志功能”,勾选“启用规则”复选框,单击“确定”按钮完成操作。
1)内部主机Public在上班时间访问外部网络
内部主机Public在上班时间访问外部网络,允许访问。在上方导航栏中选择“策略”,左侧导航栏选择“监控→安全日志→安全策略日志”,可以看到安全策略日志,动作为允许,如图3.14所示。
图3.14
2)其他内部主机在上班时间访问外部网络
其他内部主机,如IP地址为10.1.1.13 /24的主机,在上班时间访问外部网络时,访问被拒绝。在上方导航栏中选择“策略”,左侧导航栏选择“安全策略→安全策略”,可以看到安全策略日志,动作为拒绝,如图3.15所示。
图3.15
本任务完成了某个时间段内部网络主机对外部网络的访问控制。验证结果证明配置过程正确有效。
如图3.2所示,两台PC机模拟客户端,地址分别为10.0.0.101和10.0.0.102,通过S3600交换机作二层转发,网关配置在防火墙F100A的GE0 /0口,地址为10.0.0.1,服务器连接在防火墙F100A的GE0 /1口,防火墙接口地址为172.31.0.1,服务器地址为172.31.0.100。
通过PC3采用Web方式对SecPath防火墙进行配置,对访问服务器的客户端进行控制,允许PC1访问服务器提供的服务,禁止PC2对服务器进行访问。
本任务通过H3C SecPath F1060防火墙实现。
一个设备中可以配置多个安全策略,每个安全策略都拥有唯一的编号以便区分,此编号在创建规则时由用户手工指定或由系统自动分配。在自动分配编号时,系统会将安全策略中已使用的最大编号加1作为新的编号,若新编号超出了编号上限(65534),则选择当前未使用的最小编号作为新的编号。
设备上可以配置多个安全策略,设备缺省按照策略的创建顺序对报文进行匹配,先创建的先匹配。因此,首先需要将规划的所有策略按照“深度优先”的原则(即控制范围小的、条件细化的在前,范围大的在后)进行排序,然后按照此顺序配置每一个安全策略。
1)连接防火墙各端口
对防火墙接口进行连线,GE1 /0 /0接口为管理机访问接口,GE1 /0 /1接口连接PC1所在安全域Untrust,GE1 /0 /2接口连接服务器所在安全域Trust,如图3.16所示。
2)防火墙安全区域配置
单击上方导航栏“网络”,在左侧导航栏选择“安全域”,编辑各管理域所对应的接口。管理域Management对应GE1 /0 /0,接口地址为Web网管,登录访问地址:10.32.21.181,安全域Untrust对应GE1 /0 /1,安全域Trust对应GE1 /0 /2,如图3.17所示。
图3.16
图3.17
配置完成后如图3.18所示。
图3.18
3)防火墙接口地址配置
单击上方导航栏“网络”,在左侧导航栏中选择“接口→接口”,配置每个接口IP地址,配置完成后如图3.19所示。
图3.19
4)防火墙安全策略配置
在上方导航栏中选择“策略”,在左侧导航栏单击“安全策略→安全策略”,新建规则,如图3.20、图3.21所示,可实现PC1访问Sever。
图3.20
图3.21
在上方导航栏中选择“策略”,在左侧导航栏单击“安全策略→安全策略”,新建规则,如图3.22、图3.23所示,可实现PC2不能访问Sever。
图3.22
图3.23
配置完成后保存,域间策略有了如图3.24所示的两条规则。
图3.24
5)S3600交换机配置
在本项目中,S3600作二层交换机,使用交换机默认的VLAN1即可满足PC间,PC与防火墙间的二层通信。以PC1、PC2、防火墙与S3600交换机的1、2、3号端口相连。
#vlan 1
#interface Ethernet 1 /0 /1
#interface Ethernet 1 /0 /2
#interface Ethernet 1 /0 /3
6)PC及服务器地址和网关配置
请参考组网图3.1配置PC及服务器IP地址,如图3.25所示。
(1)关闭Windows自带的防火墙,如图3.26所示。
(2)在PC1:10.0.0.101 /24上Ping服务器:172.31.0.100 /24,得到如图3.27所示的结果,表明PC1可以访问服务器。
(3)在PC2:10.0.0.102 /24上Ping服务器:172.31.0.100 /24,得到如图3.28所示的结果,表明PC2不可以访问服务器。
由此可以看出,安全策略配置成功。
图3.25
图3.26
图3.27
图3.28
本任务中,通过设定安全策略的访问控制规则,可以实现对同一网络的不同计算机的访问控制,即PC1可以访问服务器,PC2不可以访问服务器。
当设备上安全策略较多时,可通过配置安全策略组的方式实现同时对多个安全策略进行批量操作。安全策略组需要引用一个或多个安全策略。
本任务通过H3C SecPath F1060防火墙实现。
安全策略组可以实现对安全策略规则的批量操作,例如批量启用、禁用、删除和移动安全策略规则。只有当安全策略规则及其所属的安全策略组均处于启用状态时,安全策略规则才能生效。
防火墙接口及安全区域的基本配置同本项目任务2,此处不再赘述。
(1)在上方导航栏中选择“策略”,在左侧导航栏选择“安全策略→安全策略”,单击“新建→新建策略组”,建立如图3.29所示规则。
图3.29
(2)在新建策略组中输入名称为“Public”,类型选择“IPv4”,开始及结束策略选择已创建好的安全策略名称,最后单击“确定”完成创建,如图3.30、图3.31所示。
图3.30
图3.31
参考本项目任务2安全策略的验证方法。
本任务通过安全策略组实现同时对多条安全策略进行批量操作,能够更加方便、高效地对策略进行维护。
【 思考拓展 】
(1)安全域与接口关系如何?
(2)如何使用HCL模拟防火墙的安全策略配置?
【 证赛精华 】
本项目涉及H3CNE-Security认证考试(GB0-510)和全国职业院校技能大赛(信息安全管理与评估)的相关要求:
(1)认证考试点:防火墙安全策略。
内容包括:包过滤技术、安全域、防火墙转发原理、防火墙安全策略。
(2)竞赛知识点与技能点:网络安全设备配置与防护——访问控制。
内容包括:实现包过滤、状态化包过滤、基于IP、协议、自定义数据流和时间等方式的带宽控制、QoS策略以及安全策略的应用等。
续表
