1.组网需求

⑴ leadership和staff之间通过FW1实现互连，该公司的工作时间为每周工作日的8点到18点。

⑵ 通过配置安全策略规则，允许leadership在任意时间、staff在工作时间访问外网。

组网图

配置步骤

(1) 配置接口IP地址、路由保证网络可达。

[FW1]int g1/0/2

[FW1-GigabitEthernet1/0/2]nat outbound

[FW1-GigabitEthernet1/0/2]ip address 1.1.1.1 255.255.255.0

[FW1]int g1/0/0

[FW1-GigabitEthernet1/0/0]ip address 172.16.1.2 255.255.255.0

[FW1]int g1/0/1

[FW1-GigabitEthernet1/0/1]ip address 172.16.2.2 255.255.255.0

[FW1]ip route-static 0.0.0.0 0 1.1.1.2

(2) 配置时间段

创建名为work的时间段，其时间范围为每周工作日的8点到18点。

[FW1] time-range work 08:00 to 18:00 working-day

(3) 配置安全域

[FW1] security-zone name leadership

[FW1-security-zone-leadership]import interface GigabitEthernet 1/0/0

创建名为 staff的安全域，并将接口GigabitEthernet1/0/1加入该安全域中。

[FW1]security-zone name staff

[FW1-security-zone-staff]import interface GigabitEthernet 1/0/1

创建名为internet的安全域，并将接口GigabitEthernet1/0/2加入该安全域中。

[FW1]security-zone name internet

[FW1-security-zone-internet]import interface GigabitEthernet 1/0/2

(4) 配置对象

创建名为 leadership的IP地址对象组，并定义其子网地址为172.16.1.0/24。

[FW1]object-group ip address leadership

[FW1-obj-grp-ip-leadership]network subnet 172.16.1.0 24

创建名为staff的IP地址对象组，并定义其子网地址为172.16.2.0/24。

[FW1]object-group ip address staff

[FW1-obj-grp-ip-staff]network subnet 172.16.2.0 24

(5) 配置安全策略及规则

进入IPv4安全策略视图。

[FW1]security-policy ip

制订允许leadership可以在任意时间访问Internet的安全策略规则，其规则名称为 leadership-internet。

[FW1-security-policy-ip]rule 0 name leadership-internet

[FW1-security-policy-ip-0-leadership-internet]source-zone leadership

[FW1-security-policy-ip-0-leadership-internet]destination-zone internet

[FW1-security-policy-ip-0-leadership-internet]source-ip leadership

[FW1-security-policy-ip-0-leadership-internet]action pass

制订只允许staff在工作时间访问Internet的安全策略规则，其规则名称为finance-database。

[FW1]security-policy ip

[FW1-security-policy-ip]rule 5 name staff-internet

[FW1-security-policy-ip-5-staff-internet]source-zone staff

[FW1-security-policy-ip-5-staff-internet]destination-zone internet

[FW1-security-policy-ip-5-staff-internet]source-ip staff

[FW1-security-policy-ip-5-staff-internet]time-range work

[FW1-security-policy-ip-5-staff-internet]action pass

制订leadership和staff之间通过FW1实现互连的安全策略规则，其规则名称为leadership-staff。

[FW1]security-policy ip

[FW1-security-policy-ip]rule 10 name leadership-staff

[FW1-security-policy-ip-10-leadership-staff]source-zone leadership

[FW1-security-policy-ip-10-leadership-staff]source-zone staff

[FW1-security-policy-ip-10-leadership-staff]destination-zone leadership

[FW1-security-policy-ip-10-leadership-staff]destination-zone staff

[FW1-security-policy-ip-10-leadership-staff]action pass

验证配置

配置完成后， leadership和staff之间通过FW1实现互连，允许leadership在任意时间、staff在工作时间访问外网

标签：网络网络安全

本文转载自: https://blog.csdn.net/weixin_46322576/article/details/122805384
版权归原作者 那可不嘛 所有，如有侵权，请联系我们删除。

华三防火墙安全策略配置

创建名为work的时间段，其时间范围为每周工作日的8点到18点。

创建名为 staff的安全域，并将接口GigabitEthernet1/0/1加入该安全域中。

创建名为internet的安全域，并将接口GigabitEthernet1/0/2加入该安全域中。

创建名为 leadership的IP地址对象组，并定义其子网地址为172.16.1.0/24。

创建名为staff的IP地址对象组，并定义其子网地址为172.16.2.0/24。

进入IPv4安全策略视图。

制订允许leadership可以在任意时间访问Internet的安全策略规则，其规则名称为 leadership-internet。

制订只允许staff在工作时间访问Internet的安全策略规则，其规则名称为finance-database。

制订leadership和staff之间通过FW1实现互连的安全策略规则，其规则名称为leadership-staff。

发表评论

“华三防火墙安全策略配置”的评论:

关于作者

overfit同步小助手

相关阅读

文章导航