理解H3C防火墙区域访问控制

实验目的：理解基于对象策略的区域访问控制

实验拓扑： 财务 业务 管理 服务器分属四个不同区域，要求实现财务在工作时间可以访问SERVER的web FTP服务，业务可以任意访问server的web服务，管理PC可以通过web页面管理防火墙。

实验预配：

财务PC
192.168.10.2/24/192.168.10.1

业务PC
192.168.20.2/24/192.168.20.1

服务器
192.168.100.2/24/192.168.100.1

管理PC
192.168.0.100/24/192.168.0.1

防火墙配置

sys

sysname FW

interface GigabitEthernet1/0/2

ip address 192.168.10.1 255.255.255.0

interface GigabitEthernet1/0/3

ip address 192.168.20.1 255.255.255.0

interface GigabitEthernet1/0/4

ip address 192.168.100.1 255.255.255.0

security-zone name Management

import interface GigabitEthernet1/0/1

security-zone name caiwu

import interface GigabitEthernet1/0/2

security-zone name server

import interface GigabitEthernet1/0/4

security-zone name yewu

import interface GigabitEthernet1/0/3

//配置接口地址加入对应安全区域

local-user admin class manage

service-type telnet terminal http https

//配置管理员的服务，密码角色默认配置

acl basic 2000

rule 0 permit

zone-pair security source Management destination Local

packet-filter 2000

//放行管理员对防火墙的管理流量

time-range work 08:00 to 18:00 working-day

//配置工作时间

object-group ip address caiwu

network subnet 192.168.10.0 255.255.255.0

object-group ip address server

network subnet 192.168.100.0 255.255.255.0

object-group ip address yewu

network subnet 192.168.20.0 255.255.255.0

//配置IP对象组

security-policy ip

rule name caiwu2server

action pass

time-range work

source-zone caiwu

destination-zone server

source-ip caiwu

destination-ip server

service icmp

service http

service ftp

rule name yewu2server

action pass

source-zone yewu

destination-zone server

source-ip yewu

destination-ip server

service http

service icmp

//配置区域间安全策略

配置完成后测试 在限定时间之外，业务可以访问SERVER，财务不可以。

也可以采用区域间对象策略放行对应的流量

object-policy ip caiwu2server

rule pass source-ip caiwu destination-ip server service http time-range work

rule pass source-ip caiwu destination-ip server service ftp time-range work

object-policy ip yewu2server

rule pass source-ip yewu destination-ip server service http

zone-pair security source caiwu destination server

object-policy apply ip caiwu2server

zone-pair security source yewu destination server

object-policy apply ip yewu2server

===================================================================

下面介绍web方式配置

首先需要命令行方式放行web管理员权限和策略

sys

sysname FW

security-zone name Management

import interface GigabitEthernet1/0/1

local-user admin class manage

service-type telnet terminal http https

//配置0/1接口加入管理域，管理员的服务，密码角色默认配置

acl basic 2000

rule 0 permit

zone-pair security source Management destination Local

packet-filter 2000

//放行管理员对防火墙的管理流量

打开浏览器 192.168.0.1登录防火墙管理页面输入用户名密码

配置安全域

配置接口IP、区域

配置时间段

配置IP对象组

配置区域间安全策略

策略配置完成后，一定要点击提交，才会生效。