防火墙安全策略

拓扑图：

需求：

1、VLAN 2属于办公区LLAN3属于生产区

2、办公区PC在工作日时间(周一至周五,早8到晚6)可以正常访问OA Server,其他时间不允许

3、办公区PC可以在任意时刻访问web Server

4、生产区Pc可以在任意时刻访问OA Server,但是不能访问web Server

5、特例:生产区PC3可以在每周一早10到早11访问web Server,用来更新企业最新产品信息

需求分析：

一、网络区域与VLAN划分  

办公区与生产区的VLAN划分

       办公区被划分到VLAN2，生产区被划分到VLAN3。这是网络架构的基础划分，明确了不同区域的网络标识，为后续的访问控制策略提供了基础。

不同区域PC的访问需求差异

       办公区PC有特定的访问时间限制，而生产区PC有不同的访问权限规则，并且生产区存在特殊PC（PC3）有独特的访问权限。

二、办公区PC访问规则  

OA Server访问时间限制

       办公区PC在工作日（周一至周五，早8点到晚6点）可以正常访问OA Server，其他时间不允许。这可能是出于安全、资源管理或者企业运营流程的考虑，例如在非工作时间减少OA Server的负载或者防止非工作时间的非法访问。

Web Server访问权限

       办公区PC可以在任意时刻访问Web Server，表明办公区对于Web Server的访问没有时间限制，可能是因为办公区人员随时可能需要访问Web Server上的一些资源，如公司外部网站、在线文档库等。

三、生产区PC访问规则  

OA Server访问权限

      生产区PC可以在任意时刻访问OA Server，说明生产区人员在任何时间可能都需要与办公自动化系统交互，可能是为了获取订单信息、生产计划等与OA系统相关的内容。

Web Server访问限制

     生产区PC不能访问Web Server，这可能是为了防止生产区设备受到来自外部网络（通过Web Server可能引入的风险）的干扰或者安全威胁，确保生产区网络的稳定性和安全性。

生产区PC3的特殊访问权限

    生产区PC3可以在每周一早10点到早11点访问Web Server用来更新企业最新产品信息。这是一个特例，可能是因为生产区只有PC3负责产品信息更新工作，并且企业规定了特定的更新时间，以确保产品信息的及时性和准确性，同时在其他时间限制其访问Web Server以保证生产区网络安全。

配置过程：

启动防火墙和web界面登录

配置如下：

web界面登录：

防火墙IP地址配置：

子接口配置：

指令：

安全区域：

交换机配置：

测试：

成功ping通，证明安全区域划分正确。

实现办公区PC在工作日时间(周一至周五,早8到晚6)可以正常访问OA Server,其他时间不允许

新建安全策略：

测试办公区的PC是否可以访问OA Server：

图片表面：不在规定时间，无法访问

在规定时间内可以访问

实现办公区PC可以在任意时刻访问web Server

测试：

结果表面，任意时间都可以访问。

实现生产区Pc可以在任意时刻访问OA Server,但是不能访问web Server

测试：

结果表明：可以访问OA Server不能访问web Server。

实现生产区PC3可以在每周一早10到早11访问leb Server,用来更新企业最新产品信息

测试：

结果表明：目前不能访问，需等到周一的10点到11点才可以。

原文地址：https://blog.csdn.net/2401_82509187/article/details/145430842

免责声明：本站文章内容转载自网络资源，如侵犯了原著者的合法权益，可联系本站删除。更多内容请关注自学内容网（zxcms.com）！