实训 策略配置教学课件电子教案.pptx

《实训 策略配置教学课件电子教案.pptx》由会员分享，可在线阅读，更多相关《实训 策略配置教学课件电子教案.pptx（23页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、实训20 策略配置实训20 策略配置目 录contents 01010202030304040505背景描述背景描述实训原理实训原理实训步骤实训步骤赛点链接赛点链接0606易错分析易错分析实训目的实训目的01实训目的0101实训目的实训目的1.了解防火墙策略工作原理、运行机制；2.熟练掌握防火墙策略配置。02背景描述0202背景描述达通集团网络管理员计划在出口防火墙BJ-FW1800进行策略配置，实现总部技术支持部只能在每天8：00-20：00之间访问公网Internet，分部SSID DTJT-Internet只能访问公网Internet的http、https、邮件服务。背景描述0202背景

2、描述实训拓扑0202背景描述需求分析在出口防火墙BJ-FW1800进行策略配置，与公网Internet互连接口属于untrust区域、与总部路由器互连接口属于trust区域，实现总部技术支持部只能在每天8：00-20：00之间访问公网Internet，分部SSID DTJT-Internet只能访问公网Internet的http、https、邮件服务。03实训原理0303实训原理策略是网络安全设备的基本功能，控制安全域间/不同地址段间的流量转发。默认情况下，安全设备会拒绝设备上所有安全域/地址段之间的信息传输。而策略则通过策略规则（Policy Rule） 决定从一个（多个）安全域到另一个（多

3、个）安全域/从一个地址段到另一个地址段的哪些流量该 被允许，哪些流量该被拒绝。一般来讲，策略规则分为两部分：过滤条件和行为。安全域间流量的源安全域/源地址、目的 安全域/目的地址、服务类型以及角色构成策略规则的过滤条件。策略规则都有其独有的ID号。策略规则ID会在定义规则时自动生成，同时用户也可以按自己的需求为策略规则指定ID。整个系统 的所有策略规则有特定的排列顺序。在流量进入系统时，系统会对流量按照找到的第一条与过滤条 件相匹配的策略规则进行处理04实训步骤 0404实训步骤数据规划设备名称设备名称设备端口设备端口互联地址互联地址区域区域DCFW-1800DCFW-1800E0/1218.

4、26.10.1/24UntrustE0/2192.168.5.1/24trustDCR-2655DCR-2655G0/4192.168.5.2/2404041.配置思路：创建五个不同的策略规则。2.操作步骤：（1）新建id为1的策略规则：DCFW-1800(config)# policy-globalDCFW-1800(config-policy)# rule id 1DCFW-1800(config-policy-rule)# src-ip 192.168.40.0/24DCFW-1800(config-policy-rule)# dst-zone untrustDCFW-1800(conf

5、ig-policy-rule)# service anyDCFW-1800(config-policy-rule)# action permitDCFW-1800(config-policy-rule)# exitDCFW-1800(config)# schedule 1DCFW-1800(config-schedule)# periodic daily 08:00 to 20:00DCFW-1800(config)# rule id 1DCFW-1800(config-policy-rule)# schedule 1DCFW-1800(config-policy-rule)# exit实训步

6、骤0404实训步骤 （2） 新建id为2的策略规则：DCFW-1800(config)# policy-globalDCFW-1800(config-policy)# rule id 2DCFW-1800(config-policy-rule)# src-ip 192.168.40.0/24DCFW-1800(config-policy-rule)# dst-zone untrustDCFW-1800(config-policy-rule)# service anyDCFW-1800(config-policy-rule)# action denyDCFW-1800(config-policy

7、-rule)# exit0404实训步骤（3） 新建id为3的策略规则：DCFW-1800(config)# policy-globalDCFW-1800(config-policy)# rule id 3DCFW-1800(config-policy-rule)# src-ip 192.168.131.0/24DCFW-1800(config-policy-rule)# dst-zone untrustDCFW-1800(config-policy-rule)# service httpDCFW-1800(config-policy-rule)# service httpsDCFW-1800

8、(config-policy-rule)# service smtpDCFW-1800(config-policy-rule)# service pop3DCFW-1800(config-policy-rule)# action permitDCFW-1800(config-policy-rule)# exit0404实训步骤（4）新建id为4的策略规则：DCFW-1800(config)# policy-globalDCFW-1800(config-policy)# rule id 4DCFW-1800(config-policy-rule)# src-ip 192.168.131.0/24

9、DCFW-1800(config-policy-rule)# dst-zone untrustDCFW-1800(config-policy-rule)# action denyDCFW-1800(config-policy-rule)# exit0404实训步骤（5）新建id为5的策略规则：DCFW-1800(config)# policy-globalDCFW-1800(config-policy)# rule id 5DCFW-1800(config-policy-rule)# src-zone trustDCFW-1800(config-policy-rule)# dst-zone u

10、ntrustDCFW-1800(config-policy-rule)# action permit05赛点链接0505赛点链接FW-1采用静态路由协议，根据题目要求配置相应的安全域、基于明细网段的安全访问策略；FW-2采用RIP协议，根据题目要求配置相应的安全域，配置安全策略禁止总部所有业务与分部SSID FenZhiXX-Internet业务双向访问；2018年国赛安全策略配置第一题06易错解析0606易错解析易错易错解析解析创建好的策略规则可以进行编辑来修改不合适的参数值，但是修改工作必须在规则配置模式下进行。在CLI中进入策略规则配置模式，在全局配置模式或策略配置模式下输入; 默认情况下，配置好的策略规则会在系统中立即起效。用户可以通过命令禁用某条策略规则， 使其不对流量进行控制。禁用或者启用某条策略规则，在策略规则配置模式下，使用disable命令。THANKS