2022年防火墙访问控制规则配置--教案.docx-淘文阁

资源描述

《2022年防火墙访问控制规则配置--教案.docx》由会员分享，可在线阅读，更多相关《2022年防火墙访问控制规则配置--教案.docx（22页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、精选学习资料 - - - - - - - - - 拜访掌握规章配置拜访规章描述了网络卫士防火墙答应或禁止匹配拜访掌握规章的报文通过；防火墙接收到报文后,将次序匹配拜访规章表中所设定规章；一旦查找到匹配的规章,就依据该策略所规定的操作（答应或丢弃）处理该报文,不再进行区域缺省属性的检查；假如不存在可匹配的拜访策略,网络卫士防火墙将依据目的接口所在区域的缺省属性（答应拜访或禁止拜访）,处理该报文；在进行拜访掌握规章查询之前,网络卫士防火墙将第一查询数据包是否符合目的地址转换规章；假如符合目的地址转换规章,网络卫士防火墙将把接收的报文的目的 IP 地址转换为预先设置的 IP 地址（一般为

2、真实 IP）；因此在进行拜访规章设置时,系统一般采纳的是真实的源和目的地址（转换后目的地址）来设置拜访规章；同时,系统也支持依据转换前的目的地址设置拜访规章,此时,报文将依据转换前的目的地址匹配拜访掌握规章；依据源、目的配置拜访掌握规章基本需求系统可以从区域、VLAN 、地址、用户、连接、时间等多个层面对数据报文进行判别和匹配,拜访掌握规就的源和目的既可以是已经定义好的VLAN 或区域,也可以细化到一个或多个地址资源以及用户组资源；与包过滤策略相同,拜访掌握规章也是次序匹配的,系统第一检查是否与包过滤策略匹配,假如匹配到包过滤策略后将停止拜访掌握规章检查；但与包过滤策略不同的是拜访掌握规

3、章没有默认规章；也就是说,假如没有在拜访掌握规章列表的末尾添加一条全部拒绝的规章的话,系统将依据目的接口所在区域的缺省属性（答应拜访或禁止拜访）处理该报文；案例：某企业的网络结构示意图如下图所示,网络卫士防火墙工作在混合模式；Eth0 口属于内网区域和VLAN.0002 ,vlan.0001 IP 地址为 192.168.1.1,（ area_eth0 ）,为交换 trunk 接口,同时属于 VLAN.0001 连接研发部门文档组所在的内网（192.168.1.0/24）； vlan.0002 IP 地址为 192.168.2.1,连接研发部门项目组所在的内网（192.168.2.0/24

4、）；图 25 依据源、目的进行拜访掌握示意图Eth1 口 IP 地址为 192.168.100.140,属于外网 area_eth1 区域,公司通过与防火墙 Eth1口相连的路由器连接外网； Eth2 口属于 area_eth2 区域,为路由接口,其IP 地址为 172.16.1.1,为信息治理部所在区域,有多名师归纳总结 - - - - - - -第 1 页,共 13 页精选学习资料 - - - - - - - - - 台服务器,其中 Web 服务器的 IP 地址： 172.16.1.3；用户要求如下：内网文档组的机器可以上网,答应项目组领导上网,禁止项目组一般员工上网；外网和 area_e

5、th2 区域的机器不能拜访研发部门内网；内外网用户均可以拜访 area_eth2 区域的 WEB 服务器；配置要点设置区域对象的缺省拜访权限：area_eth0、area_eth2 为禁止拜访, area_eth1 为答应拜访；定义源地址转换规章,保证内网用户能够拜访外网；定义目的地址转换规章,使得外网用户可以拜访area_eth2 区域的 WEB 服务器；定义拜访掌握规章,禁止项目组除领导外的一般员工上网,答应内网和外网用户拜访 area_eth2 区域的WEB 服务器；WebUI 配置步骤1）设定物理接口 eth1 和eth2 的 IP 地址；挑选网络治理接口,激活“ 物理接口” 页签

6、,然后点击 Eth1、Eth2 端口后的“ 设置” 字段图标,添加接口的 IP 地址；如下图所示；2）添加 VLAN 虚接口,设定 VLAN 的IP 地址,再挑选相应的物理接口加入到已添加的 VLAN 中；二层网络,激活“VLAN ” 页签,然后点击“ 添加/删除 VLAN a）挑选网络治理范畴” ,如下图所示；b）设定 VLAN 虚接口的 IP 地址；点击 VLAN 虚接口的“ 修改” 字段图标,在弹出界面中设置VLAN.0001 的IP 为：192.168.1.1,掩码为： 255.255.255.0；VLAN.0002 如下图所示；c）设定 VLAN 和物理接口的关系；的IP 为： 1

7、92.168.2.1,掩码为： 255.255.255.0；挑选网络治理接口 ,激活“ 物理接口” 页签,然后点击eth0 接口后的“ 设置”字段图标,设置接口信息,如下图所示；3）定义主机、子网地址对象；a）挑选资源治理地址,挑选“ 主机” 页签,定义主机地址资源；定义 WEB 服务器主机名称设为 172.16.1.3,IP 为 172.16.1.3；定义虚拟 WEB 服务器（即 WEB 服务器的在外网区域的虚拟 IP 地址）主机名称设为 192.168.100.143, IP 为192.168.100.143；定义接口主机地址资源 192.168.100.140（也可以是其他字符串）

8、,主机名称设为 192.168.100.140, IP 为192.168.100.140；定义文档服务器,主机名称设为完成后的界面如下图所示：doc_server, IP 为10.10.10.3；定义b）挑选资源治理地址,挑选“ 子网” 页签,点击“ 添加” 定义子网地址资源；资源名称 rd_group,以及网络地址址:10.10.11.2 和10.10.11.3；192.168.2.0、子网掩码 255.255.255.0 以及排除领导地4）定义区域资源的拜访权限（整个区域是否答应拜访）；挑选资源治理区域,设定外网区域area_eth1 的缺省属性为“ 答应” 拜访,内网区域 are

9、a_eth0 和area_eth2 的缺省属性为“ 禁止” 拜访；以下图所示；设置完成后的界面如下图所示；area_eth1 为例,设置界面如名师归纳总结 - - - - - - -第 2 页,共 13 页精选学习资料 - - - - - - - - - 5）挑选防火墙地址转换,定义地址转换规章；a）定义源地址转换规章,使得内网用户能够拜访外网 : 挑选“ 源转换” ；挑选“ 源” 页签,参数设置如下图所示；不设置参数,表示不对报文的源进行限制；挑选“ 目的” 页签,参数设置如下图所示；挑选“ 服务” 页签,参数设置如下图所示；转换源地址对象为“192.168.100.140 ”

10、；设置完成后的规章如下图所示；b 定义目的地址转换规章,使得内网文档组以及外网用户都可以拜访 area_eth2 区域的 WEB 服务器；挑选“ 目的转换” 挑选“ 源” 页签,设置参数如下图所示；不设置参数,表示不对报文的源进行限制；挑选“ 目的” 页签,设置参数如下图所示；挑选“ 服务” 页签,设置参数如下图所示；“ 目的地址转换” 为地址资源“172.16.1.3” ；设置完成后的界面如下图所示；6）挑选菜单防火墙拜访掌握,定义拜访掌握规章；a）答应内网和外网用户均可以拜访 WEB 服务器由于 Web 服务器所在的 area_eth2 区域禁止拜访,所以要答应内网和外网用户

11、均可以拜访 Web 服务器,需要定义拜访掌握规章如下；挑选“ 源” 页签,参数设置如下图所示；源VLAN 和源区域不挑选,表示不对区域加以限制；挑选“ 目的” 页签,参数设置如下图所示；挑选“ 服务” 页签,参数设置如下图所示；b）答应项目组领导拜访外网,禁止项目组一般员工 rd_group 拜访外网；由于外网区域答应拜访,所以需要添加禁止拜访外网的规章如下：挑选“ 源” 页签,参数设置如下图所示；挑选“ 目的” 页签设置如下图所示；挑选“ 服务” 页签,参数设置如下图所示；CLI 配置步骤名师归纳总结 1）设定物理接口eth1 和eth2 的 IP 地址；第 3 页,共 13

12、页- - - - - - -精选学习资料 - - - - - - - - - #network interface eth1 ip add 192.168.100.140 mask 255.255.255.0 #network interface eth2 ip add 172.16.1.1 mask 255.255.255.0 2）添加 VLAN 虚接口,设定 VLAN 的IP 地址,再挑选相应的物理接口加入到已添加的 VLAN 中；#network vlan add range 1,2 #network interface vlan.0001 ip add 192.168.1.1 mas

13、k 255.255.255.0 #network interface vlan.0002 ip add 192.168.2.1 mask 255.255.255.0 #network interface eth0 switchport trunk allowed-vlan 1,2 native-vlan 1 encapsulation dotlq 3）定义主机、子网地址资源；#define host add name 172.16.1.3 ipaddr 172.16.1.3 #define host add name 192.168.100.143 ipaddr 192.168.100.143

14、 #define host add name doc_server ipaddr 10.10.10.3 #define subnet add name rd_group ipaddr 192.168.2.0 mask 255.255.255.0 except 10.10.11.2 10.10.11.34）设置区域资源的缺省拜访权限：area_eth0、area_eth2 为禁止拜访, area_eth1 为允许拜访（缺省权限,无需再设定）；#define area add name area_eth0 access off attribute eth0（不答应拜访内网）#define area

15、 add name area_eth2 access off attribute eth2（不答应拜访内网）5）定义地址转换规章；定义源地址转换规章,使得内网用户能够拜访外网；#nat policy add dstarea area_eth1 trans_src 192.168.100.140 定义目的地址转换规章,使得内网文档组以及外网用户都可以拜访 area_eth2 区域的WEB 服务器；#nat policy add orig_dst 192.168.100.143 orig_service HTTP trans_dst 172.16.1.3 6）定义拜访掌握规章；答应内网和外网用户均

16、可以拜访 WEB 服务器#firewall policy add action accept dstarea area_eth2 dst 172.16.1.3 service HTTP 答应项目组领导拜访外网,禁止项目组一般员工拜访外网#firewall policy add action deny srcarea area_eth0 srcvlan vlan.0002 src rd_group dstarea area_eth0 service HTTP 留意事项1）目的地址需要挑选 WEB 服务器的真实 IP 地址,由于防火墙要先对数据包进行目的地址转换处理,当内网用户利用http:/19

17、2.168.100.143 拜访 SSN 区域的 Web 服务器时,由于符合 NAT 目的地址转换规章,所以数据包的目的地址将被转换为 172.16.1.3；然后才进行拜访规章查询,此时只有设定为WEB 服务器的真实 IP 地址才能达到内网用户拜访SSN 区域 WEB 服务器的目的；网络卫士系列防火墙处理数据包的流程请参考用户手册相关章节；2）定义目的地址转换规章时,不能挑选目的区域与目的 VLAN ；依据源端口配置拜访掌握规章基本需求案例：某银行系统应用软件使用特定的端口进行业务主机与服务器间的数据通信,为了保证数据及设备的安全,禁止其他对于业务主机和服务器的拜访；网络结构示意图如下所示；

18、名师归纳总结 - - - - - - -第 4 页,共 13 页精选学习资料 - - - - - - - - - 图 26 依据源端口进行拜访掌握示意图业务主机可以使用特别端口拜访服务器,不能使用其他端口；业务主机区域和服务器区域禁止其他类型的拜访；配置要点定义区域： area_eth1、 area_eth2；定义服务端口：FS_port 设置拜访掌握规章WebUI 配置步骤1）定义区域 area_eth1 为禁止拜访,并与属性 eth1 绑定；挑选资源治理区域,点击“ 添加” ,如下图所示；2）定义区域 area_eth2 为禁止拜访,并与属性 eth2 绑定；详细操作与 area_et

19、h1 相像,请参考 area_eth1 的定义过程完成；3）定义服务端口由于系统使用的通信端口是：4500,不是通常使用的协议端口,在设置规章前需要自定义端口；挑选资源治理服务,激活“ 自定义服务” 页签,进入自定义服务页面；点击右侧“ 添加” ,如下图所示；挑选类型： TCP,设置名称： FS_port,服务器实际使用的端口：定” 按钮；4）定义拜访掌握规章4500；完成后点击“ 确该规章为来自 area_eth1 区域使用源端口为 4500 的数据包答应通过防火墙拜访 area_eth2 区域；a）挑选“ 源” 页签,参数设置如下；b）挑选“ 目的” 页签,参数设置如下图所示；c）挑选“

20、服务” 页签,参数设置如下图所示；d）挑选“ 选项” 页签设置参数如下；名师归纳总结 - - - - - - -第 5 页,共 13 页精选学习资料 - - - - - - - - - 由于所使用的软件系统所建立的连接需要长时期保持,在“ 连接选项” 中挑选“ 长连接” ,依据需要挑选“ 日志记录” ；点击“ 确定” 完成 ACL 规章设置；CLI 配置步骤1）定义区域： area_eth1、area_eth2 #define area add name area_eth1 access off attribute eth1 #define area add name area_eth2

21、access off attribute eth2 2）定义服务端口：FS_port #define service add name FS_port protocol 6 port 4500 3）设置拜访掌握规章 #firewall policy add action accept srcarea area_eth1 dstarea area_eth2 sport FS_port permanent yes log on enable yes 留意事项由于环境所限此案例未能进行实际测试,仅供参考使用；依据特定服务配置拜访掌握规章基本需求在进行拜访掌握规章的设置时,可以对用户所能拜访的服务进行

22、掌握,系统预定义了可掌握的常见服务,可以实现二到七层的拜访掌握,用户也可以自定义服务进行拜访掌握；案例：某企业网络被防火墙化分为三个区域area_eth0、area_eth1 和area_eth2,三个区域分别与接口Eth0、Eth1 和Eth2 绑定, area_eth0 连接外网,答应用户拜访,area_eth1 和area_eth2 区域禁止用户拜访；服务器位于area_eth1,IP 地址为 192.168.100.140,内网位于 area_eth2,网络地址为 192.168.101.0；企业的网络结构如下图所示；要求：答应内网用户拜访服务器的 TELNET 、SSH、FTP 和

23、Web_port 服务,其中 Web_port 服务为自定义服务,端口号为 8080；但不能拜访 Eth1 口的其他服务器和其他服务；不答应外网用户拜访 Eth1 口服务器的 TELNET 和 SSH 服务；图 27 依据服务设置拜访掌握规章示意图配置要点定义区域和地址资源定义服务资源定义服务组资源名师归纳总结 - - - - - - -第 6 页,共 13 页精选学习资料 - - - - - - - - - 设置拜访掌握规章WebUI 配置步骤1）定义区域和地址资源a）定义区域资源 area_eth0、area_eth1 和area_eth2,分别与 Eth0、Eth1 和Eth2 绑定

24、；区域权限均为“ 答应” ；挑选资源治理区域,点击“ 添加” 添加区域资源,界面如下图；添加区域 area_eth0；添加区域 area_eth1；添加区域 area_eth2；服务热线： 8008105119 183 设置完成后界面如下图所示；b）定义 IP 地址资源挑选资源治理地址,挑选“ 主机” 页签,点击“ 添加” ,如下图所示；c定义子网资源挑选资源治理地址,挑选“ 子网” 页签,点击“ 添加” ,如下图所示；2）设置自定义服务挑选资源治理服务,激活“ 自定义服务” 页签,配置自定义服务“Web_port ”如下图所示；3）设置服务组资源挑选资源治理服务,激活“ 服务

25、组” 页签,配置服务组“ 内网拜访服务” 如下图所示；本例中服务组名称为“ 内网拜访服务” ,包括“4设置拜访掌握规章；由于服务器所在区域拜访的规章即可；Web_port、SSH、TELNET 、FTP” ；area_eth1 禁止拜访,所以只要定义答应a）设置答应内网 area_eth2 的网段为 192.168.101.0/24 的用户拜访 area_eth1 的服务器（192.168.100.140 ）SSH、TELNET 、FTP 以及 8080 端口服务的拜访掌握规章挑选防火墙拜访掌握,点击“ 添加” 按钮,设置拜访掌握规章；挑选“ 源” 页签,参数设置如下图所示；挑选“ 目

26、的” 页签,参数设置如下图所示；服务热线： 8008105119 187 挑选“ 服务” 页签,参数设置如下图所示；服务热线： 8008105119 188 设置完成的 ACL 规章如下图所示；b）设置仅答应外网区域（area_eth0）的用户拜访服务器的8080 端口的服务拜访掌握规章；挑选防火墙拜访掌握,点击“ 添加” 按钮,设置拜访掌握规章；挑选“ 源” 页签,参数设置如下图所示；服务热线： 8008105119 189 挑选“ 目的” 页签,参数设置如下图；名师归纳总结 - - - - - - -第 7 页,共 13 页精选学习资料 - - - - - - - - - 服务热线：

27、8008105119 190 挑选“ 服务” 页签,参数设置如下图；服务热线： 8008105119 191 设置完成后的 ACL 规章如下图所示；CLI 配置步骤1）定义区域资源 #define area add name area_eth0 access on attribute eth0 #define area add name area_eth1 access on attribute eth1 #define area add name area_eth2 access on attribute eth2 2）定义主机和子网地址资源 #define host add name 19

28、2.168.100.140 ipaddr 192.168.100.140 #define host subnet add name 内网 ipaddr 192.168.101.0 mask 255.255.255.0 3）设置自定义服务,服务名为 Web_port ,端口号为 8080；#difine service add name Web_port protocol tcp port 8080 4）设置服务组资源,组名称为“ 内网拜访服务” ,包括和SSH 服务；Web_port、FTP 、TELNET #difine group_service add name 内网拜访服务membe

29、r Web_port,FTP,TELNET,SSH 5）设置拜访掌握规章a）区域“area_eth2” 的子网对象“ 内网” （192.168.101.0/24）答应拜访区域“area_eth1”的服务器的 Web_port 、FTP、TELNET 和SSH 服务有自定义服务组“ 内网拜访服务” 绑定,服务器的 IP 地址为 192.168.100.140；#firewall policy add action accept srcarea area_eth2 dstarea area_eth1 src 内网dst 192.168.100.140 service 内网拜访服务 enable

30、yes 服务热线： 8008105119 192 b）设置仅答应外网用户拜访服务器就；192.168.100.140 的8080 端口的服务拜访掌握规#firewall policy add action accept srcarea area_eth0 dstarea area_eth1 dst 192.168.100.140 service Web_port enable yes 留意事项假如只答应开放某些服务,其他服务均被禁止,可以设置目的区域的默认拜访权限为“ 禁止” ,系统在匹配完拜访掌握规章后将自动匹配区域的默认拜访权限；依据转换前目的地址配置拜访掌握规章基本需求背景：某企业的W

31、EB 服务器（ IP： 192.168.83.56）通过防火墙将其IP 地址 MAP 为202.45.56.5 对外供应 WEB 服务； WEB 服务器连在防火墙的Eth1 口（ IP：192.168.83.2 ）,且防火墙通过 Eth0 口（ IP：202.45.56.3）与 Internet 相连,如下图所示；名师归纳总结 - - - - - - -第 8 页,共 13 页精选学习资料 - - - - - - - - - 图 28 依据转换前目的进行拜访掌握示意图需求：为了爱护企业网络的安全,网关Eth1 接口所属的区域area_eth1 设置为禁止访问,要求 Internet 用户只可拜

32、访企业WEB 服务器的 HTTP 服务,要求用 WEB 服务器的MAP 地址 202.45.56.5 作拜访掌握；服务热线： 8008105119 193 配置要点定义主机地址资源定义地址转换策略定义拜访掌握规章WebUI 配置步骤1）将防火墙的 Eth1 口所属区域的默认拜访权限设置为“ 禁止” ；挑选资源治理区域,点击“ 添加” ,如下图；2）定义 WEB 服务器主机地址资源 R-WebServer 和虚拟主机对象 V-WebServer ；挑选资源治理地址,激活“ 主机” 页签,定义主机地址资源 R-WebServer 和V-WebServer ；定义 R-WebServer 主

33、机地址资源图；服务热线： 8008105119 194 定义 V-WebServer 主机地址资源图；3）定义地址转换规章；挑选防火墙地址转换,并在右侧界面中点击“ 添加” 定义目的地址转换规章；挑选“ 目的转换” ；a）挑选“ 源” 页签,设置参数如下图；服务热线： 8008105119 195 b）挑选“ 目的” 页签,参数设置如下；服务热线： 8008105119 196 c）挑选“ 服务” 页签,参数设置如下；设置完成后的目的 NAT 规章如下图所示；4）设置拜访掌握规章；挑选防火墙拜访掌握,并在右侧界面中点击“ 添加” 定义拜访掌握规章；服务热线： 8008105119 197

34、 a）挑选“ 源” 页签,参数设置如下；名师归纳总结 - - - - - - -第 9 页,共 13 页精选学习资料 - - - - - - - - - b）挑选“ 目的” 页签,设置依据转换前的目的地址进行拜访掌握；参数设置如下；服务热线： 8008105119 198 c）挑选“ 服务” 页签,参数设置如下；服务热线： 8008105119 199 设置完成后的 ACL 规章如下图所示；至此, WEBUI 方式的配置完成；CLI 配置步骤1）将防火墙的 Eth1 口所属区域的默认拜访权限设置为“ 禁止” ；#define area add name area_eth1 access off

35、 attribute eth1 2）定义 WEB 服务器主机地址资源R-WebServer 和虚拟主机地址资源V-WebServer ；定义 R-WebServer 主机地址资源#define host add name R-WebServer ipaddr 192.168.83.56 mask 255.255.255. 定义 V-WebServer 主机地址资源#define host add name V-WebServer ipaddr 202.45.56.5 mask 255.255.255. 3）定义地址转换规章；#nat policy add orig_src any orig_d

36、st V-WebServer orig_service HTTP trans_dst R-WebServer enable yes 4）设置拜访掌握规章；#firewall policy add src any orig_dst V-WebServer service HTTP action accept enable yes 留意事项1）由于该案例要求 internet 用户只可拜访内网中 WEB 服务器的 HTTP 服务,因此需要事先拒绝 internet 用户的全部拜访,再定义拜访掌握规章答应其拜访 HTTP 服务；2）对转换前的目的地址进行匹配时,只需在“ 转换前目的地址” 中进行挑

37、选目的地址,而无须在“ 目的地址” 中再挑选地址；3）在配置过程中,请确保没有与该规章相冲突的地址转换策略和阻断策略；依据转换后目的地址配置拜访掌握规章基本需求背景：某企业的WEB 服务器（ IP： 192.168.83.56）通过防火墙将其IP 地址 MAP 为202.45.56.5 对外供应 WEB 服务； WEB 服务器连在防火墙的Eth1 口（ IP：192.168.83.2 ）,且防火墙通过 Eth2 口（ IP：202.45.56.3）与 Internet 相连,如下图所示；名师归纳总结 - - - - - - -第 10 页,共 13 页精选学习资料 - - - - - - -

38、 - - 需求：为了爱护企业网络的安全,要求Internet 用户只可拜访企业WEB 服务器的 HTTP 服务,要求用 WEB 服务器的 IP 地址 192.168.83.56 做拜访掌握；图 29 依据转换后目的进行拜访掌握示意图配置要点定义主机地址资源定义地址转换策略定义拜访掌握规章WebUI 配置步骤1）将防火墙的 Eth1 口所属区域的默认拜访权限设置为“ 禁止” ；挑选资源治理区域,点击“ 添加” ,如下图；2）定义 WEB 服务器主机地址资源 R-WebServer 和虚拟主机地址资源 V-WebServer ；挑选资源治理地址,激活“ 主机” 页签,在右侧界面中点击“

39、添加” 定义主机地址资源 R-WebServer 和V-WebServer ；定义 R-WebServer 主机地址资源；定义 V-WebServer 主机地址资源；3）定义地址转换规章；挑选防火墙地址转换,并在右侧界面中点击“ 添加” 定义目的地址转换规章；挑选“ 目的转换” ；a）挑选“ 源” 页签,设置参数如下图；b）挑选“ 目的” 页签,参数设置如下；c）挑选“ 服务” 页签,参数设置如下；设置完成后的目的 NAT 规章如下图所示；4）设置拜访掌握规章；a）挑选“ 源” 页签,参数设置如下；b）挑选“ 目的” 页签,设置依据NAT 转换后的目的地址（R_WebServer）进行拜访

40、掌握；参数设置如下；c）挑选“ 服务” 页签,参数设置如下；名师归纳总结 - - - - - - -第 11 页,共 13 页精选学习资料 - - - - - - - - - 设置完成后的 ACL 规章如下图所示；至此, WEBUI 方式的配置完成；CLI 配置步骤1）将防火墙的 Eth1 口所属区域的默认拜访权限设置为“ 禁止” ；#define area add name area_eth1 access off attribute eth1 2）定义 WEB 服务器主机对象R-WebServer 和虚拟主机对象V-WebServer ；定义 R-WebServer 主机地址资源#defi

41、ne host add name R-WebServer ipaddr 192.168.83.56 定义 V-WebServer 主机地址资源#define host add name V-WebServer ipaddr 202.45.56.5 3）定义地址转换规章；#nat policy add orig_src any orig_dst V-WebServer orig_service HTTP trans_dst R-WebServer enable yes 4）设置拜访掌握规章；#firewall policy add src any dst R-WebServer service

42、HTTP action accept enable yes 留意事项1）由于该案例要求 internet 用户只可拜访内网中 WEB 服务器的 HTTP 服务,因此需要事先拒绝 internet 用户的全部拜访,再定义拜访掌握规章答应其拜访 HTTP 服务；2）当 TOS 设备处理经过地址转换的数据包时,匹配的是目的地址转换后的地址,故一般不需要设置“ 转换前目的” 中的地址；3）在配置过程中请确保没有与该规章相冲突的地址转换策略和阻断策略；基于认证用户的拜访掌握用户认证的主要目的是为了对用户进行身份鉴别、授权以及进行细粒度的拜访掌握,用户认证的方式主要包括本地认证（密码和证书）和第三方认

43、证（Radius、Tacacs、 SecurID、LDAP 以及域认证等等）,通过将认证用户设置为用户组,拜访掌握规章的源和目的即可以是用户组对象,从而实现基于本地密码认证、的拜访掌握；基本需求OTP 认证以及第三方认证用户的细粒度Area_eth2 区域为研发部门内网,禁止外网和其余部门拜访,只答应内网 area_eth1 区域的某些用户通过 TOPSEC 认证客户端拜访内网主机 10.10.10.22 的TELNET 服务；图 30 基于认证用户的拜访掌握示意图名师归纳总结 - - - - - - -第 12 页,共 13 页精选学习资料 - - - - - - - - - 配置要点设置区

44、域属性设置 NAT 地址转换规章设置认证服务器和用户组开放相关接口的认证服务设置基于认证用户的拜访掌握规章；设置用户认证客户端WebUI 配置步骤1）设置区域属性,添加主机地址资源；a）挑选资源治理区域,定义内网区域area_eth2 的缺省属性为禁止拜访；外网区域 area_eth1 为答应拜访；b）挑选资源治理地址,激活“ 主机” 页签,定义内网TELNET 服务器的真实 IP 地址资源（ 10.10.10.22）；定义虚拟 IP 地址资源（ 192.168.83.223）；如下图所示；2）挑选防火墙地址转换,设置目的NAT 规章,使得用户能够拜访内网TELNET 服务器；挑选“ 目的转换” ；a）挑选“ 源” 页签,设置参数如下图；b）选 _名师归纳总结 - - - - - - -第 13 页,共 13 页

展开阅读全文