CLI举例：基于IP地址和端口的安全策略

1、cli举例：基于ip地址和端口的安全策略通过配置安全策略，实现基于ip地址、时间段以及服务（端口）的访问控制。组网需求如图1所示,某企业部署两台业务服务器，其中serverl通过tcp 8888端口对外提供服 务，server2通过udp 6666端口对外提供服务。需要通过fw进行访问控制，8： 0017： 00的上班时间段内禁止ip地址为、的两台pc使用这两台服务器对外提 供的服务。其他pc在任何时间都可以使用这两台服务器对外提供的服务。图1基于ip地址和端口的安全策略组网图pc/24gigabitethernet 1/0/1ip 地址：10.

2、 2.0. 1/24 安全区域：dmzgigabitethernet 1/0/2ip 地址:10. 1. 1. 1/24 安全区域：trustgigabitethernet 1/0/3ip 地址：10. 2. 1. 1/24 安全区域：trustserver 1ip 地址：10. 2. 0. 10/24 端口： tcp 8888server 2ip 地址:10. 2.0. 11/24项目数据通过非知名:通过非知名:说明项目数据说明端口： udp 6666配置思路本例的访问控制涉及到限制源ip、目的ip及端口、时间段，需要提前配置好地址集、服务 集和吋间段，然后配置安全策略引用这些限制条件。1.

3、 配置源ip地址集，将儿个不允许访问服务器的ip地址加入地址集。配置安全策略时可以直接指定多个ip地址或地址段，但是对于零散的、不连续的地 址建议配置为地址集，方便集中管理，而且也方便被其他策略复用。b说明：因为策略的目的地址是单一的地址，所以这里没有配置目的ip的地址集，采用了配 置安全策略吋直接输入目的地址的方式。2. 配置两个自定义服务集，分别将两台服务器的非知名端口加入服务集。本例中服务器使用的是非知名端口，必须配置口定义服务集，然后在安全策略中引用。 如果服务器通过知名端口（例如http的80端口）提供的服务，可以在配置安全策 略时直接使用预定义服务集（例如http、ftp等）。3.

4、 配置一个范围为上班时间（08:0017:00）的时间段。4. 配置两条安全策略，分别限制ip地址为和1021.2的pc对两台服务器的 访问。5. 配置允许trust到dmz的域间访问安全策略。本例中除了两台特殊的pc外，整个trust区域的pc都可以访问服务器，所以先配 置禁止两台pc访问服务器的安全策略，然后再开放trust到dmz的域间访问。说明：系统默认存在一条缺省安全策略（条件均为any,动作默认为禁止）。如果需要控制 只有某些ip可以访问服务器，则需要保持缺省安全策略的禁止动作，然后配置允许 哪些ip访问服务器的安全策略。另外安全策略是按照配置顺序兀配的，注意先配置

5、细化的后配置宽泛的策略。例如需 要控制在/24网段中，除了某几个ip不能访问服务器外，其他的ip都可以 访问。此时需要先配置拒绝特殊ip通过的安全策略，然后再配置允许整个网段通过 的安全策略。操作步骤1. 配置接i丨ip地址和安全区域，完成网络基本参数配置。a配置gigabitethernet 1/0/1接口 ip地址，将接口加入dmz域。b <1?w> system-viewc. fw interface gigabitethernet 1/0/1d. fw-gigabitethernet 1/0/1 ip address 10. 2.0.1 24e. fw-gi

6、gabitethernet1/0/1 quitf. fw firewallzone dmzgfw-zonc-dmzadd interfacegigabitethernet 1/0/1hfw-zone-dmzquiti. 配置 gigabitethernet 1/0/2 接口 ip 地址，将接口加入 trust 域。j.fw interface gigabitethernet1/0/2k.fw-gigabitethernet1/0/2 ip address 24l. fw-gigabitethernet1/0/2 quitm.fw firewall zone trustn.fw

7、-zone-trust add interface gigabitethernet 1/0/2o.fw-zonc-trust quitp.配置 gigabitethernet 1/0/3 接i i ip 地址，将接口加入 trust 域。q.fw interface gigabitethernet 1/0/3r.fw-gigabitethernet1/0/3 ip address 10. 2.1.1 24s.fw-gigabitethernet1/0/3 quitt.fw firewall zone trustu.fw-zone-trust add interface gigabitether

8、net 1/0/3v. fw-zone-trust quit2. 配置名称为server_deny的地址集,将几个不允许访问服务器的ip地址加入地址集。3. fw ip address-set server deny type object4. l；w-object一address一set一server deny address 10. 1. 1. 2 mask 325. fw-object一address-set一server_deny address 10 2. 1. 2 mask 32 fw-object-address-set-server_deny quit6. 配置名称为time_

9、deny的时间段，指定pc不允许访问服务器的时间。7. fw time-range time_deny& fw-tinie-tdnge-tiitie_deny period-range 08:00:00 to 17:00:00 mon tue wed thu fri sat sun9. fw-time-：range-tinie_deny quit10. 分别为serverl和server2配置自定义服务集server1_port和server2_port,将服务 器的非知名端口加入服务集。11. fw ip service set serverl_port type object12f

10、w-object-service-set-serverl_port service protocol tcp source-port 0 to 65535 destination-port 888813. fw-object-service-set-serverl port quit14fw ip service-set server2_port type object15. fw-objcct-service-sct-scrverport service protocol udp source-port 0 to 65535 destination-port 666616. fw objec

11、t service set scrvcr2_port quit17配置安全策略规则，引用之前配置的地址集、时间段及服务集。未配置的匹配条件缺省值均为anyo#限制pc使用serverl对外提供的服务的安全策略fw security-policyfw-policy-security rule name policy_sec_denylfw-policy-security-rule-policy_sec_dcnyljew-policy-securi ty-rule-policy sec denylsource-zone trustdestination-zone dmzfw policy secu

12、rity rule policy_scc_deny1 server_denysource-address address： setfw-policy-sccuri ty-rule-policy_sec_deny1jfw policy security rule-policy sec deny 1jdestination-address 10.2. 0. 10 32service serverl_portfw-policy-security-rule-policy_sec_denyltime-range time_denyfw-policy-sccuri ty-rule-policy_sec_d

13、eny1j ew-policy-security-rule-policy sec denylaction denyquit#限制pc使用server2对外提供的服务的安全策略fw-policy-security rule name policy_sec_deny2fw-policy-security-rule-policy sec_ deny2source-zone trustl；w-policy-security-rule-policy sec deny2destination-zono dmzfw-policy-security-rule-policy_sec_dcny2 serverde

14、nyl；w-policy-security-rule-policy sec deny2source-address addrcss：-sctdes ti nation-addross 1 32fw-policy-security-rule-policy_sec_deny2service server2_portfw-policy-security-rule-policy_sec_deny2fw-policy-security-rule-policy sec deny2time-range time_denyaction denyfw-policy-security-rule-p

15、olicy_sec_deny2 quit#允许pc使用serverl对外提供的服务的安全策略fw-policy-security rule name policy_sec_permit3fw-policy-sccurity-rule-policy_secjpermit3fw-policy-security-rule-policy_sec_permit3fw-policy-security-：rule-policy sec permit3source-zone trustdestination-zone dmzservice serverl_portfw-policy-sccurity-rule

16、-policy_secjpermit3action permitfw-policy-security-rule-policy_secjpermit3 quit#允许pc使用server2对外提供的服务的安全策略fw-policy-security rule name policy_sec_permit4fw-pol icy-secur i ty-rule-pol icy_sec_perini t4fw-policy-securi ty-rule-policy _sec_ permit4source-zone trustdestination一zone dmzfw-policy-security

17、-rule-policy_sec_permit4service server2_portfw-policy-sccurity-rule-policy_secjpermit4fw-policy-securi ty-rule-policy _sec_ permit4action permitquitfw-policy-security quit结果验证在08:00到17:00时间段内，ip地址为、的两台pc无法使用这两台服务 器对外提供的服务，在其他时间段可以使用。其他pc在任何时间都可以使用这两台服务器 对外提供的服务。配置脚本以下只给出与本例有关的脚本。ip a

18、ddress-set server deny type objectaddress 0 10. 1. 1. 2 mask 32address 1 10. 2. 1. 2 mask 32ip service-set serverl_port type objectservice 0 protocol tcp source-port 0 to 65535 destination-port 8888ip service-set server2_port type objectservice 0 protocol udp source-port 0 to 65535 destination-port

19、6666time-range time denyperiod-range 08:00:00 to 17:00:00 daily#interface gigabitethernet 1/0/1undo shutdownip address 10. 2. 0. 1 255. 255. 255. 0interface gigabitethernet 1/0/2undo shutdownip address 10. 1. 1. 1 255. 255. 255. 0interface gigabitethernet 1/0/3undo shutdownip address 10. 2. 1. 1 firewall zone trustset priority 85add interface gigabitethernet 1/0/2add interface gigabitethernet 1/0/3f i rewali zone dmzset pr