目录 网络场景某公司使用 需求 需求 需求www.; n4:出差员工可以通过互联网访问内网的WEB服务器; n5:内部各个部门以及访客区域之间禁止互相访问; n6:管理接口仅用于管理防火墙自身。 审计需求n1:对所有流经防火墙的数据进行审计,并记录到审计日志; n2:将防火墙的审计日志、系统日志、操作日志、流量日志、策略命中日志全部上传至安装了 配置接口参数。 点击”——“接口设置1)设置IP联网方式为例。
按照运营商提供的联网参数进行填写即可。 (GE2连接服务器区 服务器区域网段是 连接方式:设置接口“静态 IP地址,本例中为 子网掩码:设置接口的子网掩码,本例中为 网关地址:设置接口的网关地址,本例中不填。 l 下行带宽:设置接口的下行带宽值,本例中保持默认。 lMTU:设置接口的 首选DNS服务器 备用DNS服务器 MAC地址,本例中保持默认。 l“服务器1.“确定3)设置 设置NAPT配置各个网段通过NAT联网。如下图所示。
l“GE1”。 l“172.16.0.0/16”。 3.IP地址。如下图所示。
为每个网段添加一个 设置安全区域 为每个接口定义所属的安全区域。打开”——“安全区域GE3-GE7以及MGMT添加到trust区域的编辑图标,如下图所示。
l“内网 接口:选择属于“GE3-GE7以及MGMT”。点击”,添加完成,如下图所示。
相同设置方法将untrust安全区域,将dmz安全区域,添加完成,如下图所示。
5.(1)IP地址段。打开”——“地址”页面,点击”,如下图所示。
以服务器区 地址名称:自定义,本例中为 IP/Mask,设置“172.16.0.0/24”。 l“服务器区“对象”——“地址组“新增 组名称:自定义,本例中为 地址名称:选择已经定义的地址名称,本例中选择服务器地址段 备注:添加备注方便后期维护,本例中为IP地址段Internal。添加完毕如下如所示。
时间段 本例中无特定时间限制,所以使用默认的所有时间条目(3)WEB服务器服务条目,首先新增服务,打开”——“服务”,点击”,如下图所示。
l“WEB_Server”。 l“TCP”。 l“0-65535”。 l8080,即. l“内部”。 点击”,添加完毕。如下图所示。
接下来新增服务组,打开”——“服务”,点击”,如下图所示。
l“WEB_Server”。 l“WEB_Server”。 l“内部”。 点击”,添加完成,如下图所示。
网站 设置内部网络可以访问的公司官网网址,打开”——“网站”,点击”,如下图所示。
l“公司官网 组成员:设置公司官网的网址,本例为 备注:添加备注,方便后期维护,本例为”。 l“确定(5)“对象”——“应用组“新增 名称:设置应用组名称,本例为 软件:选择需要控制的软件,本例中选择”软件。 l“游戏、视频、炒股“确定(6)URL过滤条目。打开”——“安全配置文件”,点击”,如下图所示。
lURL过滤条目的名称,本例为 策略类型:本例中选择URL”。 l“网站分组 网站分组:选择已经添加的网站分组,本例中选择”。 l“允许访问公司官网“确定 设置安全策略 打开”——“安全策略 需求 需求 需求www.; n4:出差员工可以通过互联网访问内网的WEB服务器; n5:)内部各个部门以及访客区域之间禁止互相访问; n6:管理接口仅用于管理防火墙自身。 设置第“新增 规则名称:自定义,本例为 描述:自定义,本例为”。 l“trust”。 l“untrust”。 lIP地址范围,本例中选择 目的地址:选择IP地址范围,本例中选择 服务组:选择服务组,本例中选择 应用组:选择应用组,本例中选择 时间段:选择时间段,本例中选择 动作:选择命中规则后的处理动作,本例中选择”。 lURL过滤和文件过滤配置文件,本例中留空,不选择。 l 状态:选择”。 l“确定(2)2条需求,点击”,如下图所示。 相同方法设置销售部允许上互联网。 设置销售部允许访问服务器网段。点击”,如下图所示。
关键设置如下: l“trust”。 l“dmz”。 lIP地址范围,本例中选择 目的地址:选择服务器“Servers”。 l“确定“新增 源安全区域:选择销售部网络所在区域,本例中选择 目的安全区域:选择互联网所在区域,本例中选择 源地址:选择销售部“Sales”。 lInternet网络“IPGROUP_ANY”。 l“2”。 设置完毕,点击”,添加完成。如下图所示。
销售部规则添加完毕。 设置第www.。 相同设置方法设置研发部、财务部、行政部可以访问内部服务器网络。如下图所示。
设置研发部、财务部、行政部允许访问公司外部官方网站“新增 源安全区域:选择研发部、财务部、行政部网络所在区域,本例中选择 目的安全区域:选择官方网站服务器所在区域,本例中选择 源地址:选择研发部、财务部、行政部“Internal”。 lInternet网络“IPGROUP_ANY”。 lURL过滤:选择已设定的官方网站条目“确定8080端口的“新增 源安全区域:选择互联网所在区域,本例中选择 目的安全区域:选择服务器所在区域,本例中选择 源地址:选择互联网“IPGROUP_ANY”。 lIP地址范围,本例中选择 服务组:选择已设定的内部“WEB_Server”。 设置完毕,点击”,添加完成。如下图所示。
第6条需求默认已经如此,无需专门设置。至此所有安全策略设置完毕。 7.“对象”,点击”,设置需要审计的IM行为:
l“audit_all”。 l“审计所有网站 QQ上下线,本例中设置为”。 lHTTP行为审计(URL,本例中设置为URL” lURL时,可选择要记录的“记录所有“确定“策略”,如下图所示:
可以看到系统默认有一条不审计的策略。下面我们根据审计需求设置审计策略,之前的需求为:对所有流经防火墙的数据进行审计。故设置如下图所示:
l“audit_all_data”。 l“审计所有流量 源安全区域:选择源安全区域,本例中选择 目的安全区域:选择目的安全区域,本例中选择 源地址:选择源地址,本例中选择 目的地址:选择目的地址,本例中选择 服务组:选择服务组,本例中选择 应用组:选择应用组,本例中选择 时间段:选择时间段,本例中选择 动作:选择命中规则后的处理动作,本例中选择”。 l“audit_all”。 l“确定 对接审计服务器 设置需求二:将防火墙的审计日志、系统日志、操作日志、流量日志、策略命中日志全部上传至安装了TP-LINK安全审计系统的服务器上。设置方法如下: 以审计管理员身份登录防火墙,打开”——“日志配置 上传用户上网行为:本例中选择为”。 l“172.16.0.2” 然而,仅通过上述设置无法实现防护墙与审计服务器的对接,还需要设置一条安全策略,允许防火墙去访问审计服务器,设置方法如下: 以系统管理员身份登录防火墙,打开”——“地址 地址名称:本例中设置为 “IP/Mask”,设置为 备注:本例设置为”。 再新增地址组,将审计服务器地址添加到组,设置如下图所示:
l“audit_server”。 l“audit_server_ip”。 l“审计服务器“策略”,点击”,设置一条安全策略,允许防火墙访问服务器,如下图所示:
l“allow_audit”。 l“允许防火墙访问审计服务器 源安全区域:选择防火墙所在区域,即设置为 目的安全区域:选择审计服务器所在区域,本例中选择 源地址:由于安全区域已经选择为“Any”。 l“audit_server”。 l“Any”。 l“Any”。 l“Any”。 l“允许 内容安全:选择 记录策略命中日志:本例中不启用。 l“启用 添加到指定位置(第几条):本例中无需设置。 点击”,添加成功。
通过上述步骤,防火墙上的审计信息就可以上传至审计服务器,这就满足了审计需求一。 而对于需求二:将防火墙的审计日志、系统日志、操作日志、流量日志、策略命中日志全部上传至安装了“系统”,做如下设置:
l“所有等级 选择系统日志模块类别:是否选择要上传的系统日志模块类别,本例中勾选,且选择为”。 l“172.16.0.2”。 通过上述步骤,就完成了防火墙与审计服务器的对接,且满足了审计需求。 <span lang="EN-US" style="line-height:175%;font-family:" arial",sans-serif;letter-spacing:1.0pt;> |
|