防火墙图形化界面策略和用户认证(华为)

目录

    • 策略概要
    • 认证概要
    • 实验
      • 拓扑图
      • 题目
      • 要求一
      • 要求二
      • 要求三
      • 要求四
      • 要求五
      • 要求六

策略概要

安全策略概要:
安全策略(Security Policy)在安全领域具有双重含义。宏观上,安全策略指的是一个组织为保证其信息安全而建立的一套安全需求、控制措施和流程要求。它不仅建立了信息安全的总体目标,定义了信息安全的管理结构,还提出了对组织成员的安全要求。这种安全策略通常以文档的形式存在,属于企业治理范畴。
具体到防火墙产品上,安全策略指的是用于保护网络的规则。它是由管理员在系统中配置,决定了哪些流量可以通过,哪些流量应该被阻断。安全策略是防火墙产品的一个基本概念和核心功能。防火墙通过安全策略来提供业务管控能力,以保证网络的安全。

认证概要

用户认证概要
华为防火墙用户认证是一种基于身份验证的网络安全解决方案,旨在确保仅授权用户能够访问受保护的网络资源。这项认证技术通过验证用户的身份,实现对网络访问权限的管理和控制,从而帮助用户建立一个安全的网络环境。内部网络中的访问者使用AD域账号和密码进行认证,认证通过后,AD服务器将域账号和IP地址发送至FW,FW记录访问者使用的用户和IP地址之间的对应关系。
为了更直观的熟悉和使用华为防火墙策略和用户认证用一个实验来学习。

实验

题目如下:

拓扑图

在这里插入图片描述

题目

在这里插入图片描述
首先观察该拓扑图,要实现防火墙对各个区域的流量控制访问就要保证流量都需要经过防火墙。在生产区和办公区两个区域内可配置两个vlan2 3实现区域划分隔离广播域,然后在防火墙的GE1/0/1口方向配置两个子接口,原理类似单臂路由,然后G1/0/0和G1/0/4口分别做游客区和DMZ区的网关,两个防火墙的G0/0/0口连接同一个交换机然后利用web对防火墙进行登录控制。
配置子接口:
1、接口名称尽量做到通俗易懂。
2、安全区域(要求一的第一点要求)
3、绑定到该接口的vlan编号
4、配置该虚拟接口的ip(办公区的网关)
在这里插入图片描述

要求一

实现以上的基本配置后开始对第一个要求进行配置,在防火墙内要实现一个区域对一个区域的精细控制首先需要对区域进行划分,在网络页面的安全区域模块进行配置,一个区域就对应的是防火墙的一个接口。
在这里插入图片描述
在这里插入图片描述
点开具体条目如上所示,因为后续需要具体对策略进行配置所以简单命名就行
然后进入策略界面:
安全策略界面的策略是重上之下逐一匹配,匹配到了就不会继续往下匹配,末尾是拒绝所有。
新建安全策略
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
1、名称,做到见名知意
2、对该策略的描述
3、可创建一个相关功能的一个组,能更方便管理
4、给这个策略贴上一个标签,可自己创建。
5、源安全区域,创建的安全区域的起点这里指的是生产区
6、目标安全区域,目标的安全区域这里指的是DMZ(服务器区)和untrust(互联网)
7、源地址,可创建一个快捷方式这里的SC_ad指(10.0.1.0/24)可指一个网段也可一个ip地址
8、目标地址
9、可控制访问用户的认证方式
10、可控制的各种服务例如:http、https、ftp、icmp等等
11、可控制的各种应用服务比如:访问互联网服务、社交文档、视频影音等等
12、可访问的时间,也是这里题目的要求

这里生产区的要求是全天访问所以这里的第12点可以配置any全天访问,办公区需要控制时间段那么可新建一个时间段如图所示
在这里插入图片描述

要求二

生产区不允许访问互联网,办公区和游客区可以
可以访问互联网任然在策略中进行配置,而互联网区域存在很多不稳定因素所以俗语不信任区域(untrust)
在这里插入图片描述
如图进行配置,游客区访问互联网,生产区不允许访问互联网就不用给生产区授权去互联网的策略,因为末尾是拒绝所有,办公区如游客区相同配置。

要求三

10.0.2.10不能访问dmz区域的http,ftp服务且仅能ping通service1http服务器,这需要在制定一条10.0.2.10为源地址的策略如下配置
加粗样式
可以单独设置10.0.2.10仅能够ping通http服务器,末尾隐含拒绝所有及满足条件。所以在服务那一栏仅写icmp服务允许通过,测试如下:
在这里插入图片描述
在这里插入图片描述

要求四

要求四需要设计认证,首先要在用户模块创建一个用户域,然后添加用户组,为了细化用户认证。
在这里插入图片描述
在这里插入图片描述

成树形结构
在这里插入图片描述

因为市场部需要使用免认证所以需要采用双向绑定。
在这里插入图片描述

游客仅能访问10.0.3.10的门户网站所以配置策略
在这里插入图片描述

在这里插入图片描述
因为研发部访问DMZ区域需要使用匿名认证,市场部访问DMZ需要免认证所以需要去配置用户认证策略

在这里插入图片描述

同样策略内需要配置两个区域的安全区域和地址,最重要的是认证动作,在市场部中使用的是免认证,在上面也提到了免认证的要求需要该区域的用户访问需要进行双向绑定及ip和MAC地址进行绑定才能够进行免认证。

要求五

首先在生产区下创建三个部门每个部门三个人,且控制时间为10天并不允许多人使用

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

要求六

首先新建一个自定义管理员角色
在这里插入图片描述
创建自定义管理员
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/44144.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

uniapp 微信小程序接入MQTT

MQTT安装 前期准备 由于微信小程序需要wss,所以要有域名SSL证书 新建目录/srv/mosquitto/config,/srv/mosquitto/config/cert 目录/srv/mosquitto/config中新建配置文件mosquitto.conf,文件内容 persistence true persistence_location /m…

深入探索Apache Flink:流处理的艺术与实践

在当今的大数据时代,流处理已成为处理实时数据的关键技术。Apache Flink,作为一个开源的流处理框架,以其高吞吐量、低延迟和精确一次(exactly-once)的语义处理能力,在众多流处理框架中脱颖而出。本文将深入…

在树莓派设备上导出系统镜像

镜像导出 前提条件: 已获取可以正常使用的设备。已获取鼠标、键盘和电源适配器。已将设备接入可正常使用的网络。 操作步骤: 连接适配器给设备上电,正常启动设备,连接鼠标和键盘。在终端命令窗格执行如下命令,安装…

数据模型-ER图在数据模型设计中的应用

ER图在数据模型设计中的应用 1. ER图概述:起源与发展​ 实体-关系图(Entity Relationship Diagram,简称ER图)起源于1970年代,由Peter Chen首次提出,作为描述数据和信息间关系的图形化语言。随着数据库技术…

[PM]流程与结构设计

流程图 流程就是为了达到特定目标, 进行的一系列有逻辑性的操作步骤, 由两个及已上的步骤, 完成一个完整的行为过程, 即可称为流程, 流程图就是对这个过程的图形化展示 分类 业务流程图 概念: 描述业务流程的一种图, 通过特定符号和连线表示具体某个业务的处理步骤和过程作…

MyBatis与JDBC相比,有哪些优势

MyBatis与JDBC(Java Database Connectivity)相比,在多个方面展现出显著的优势。这些优势使得MyBatis在现代软件开发中成为一个非常受欢迎的选择,特别是在处理数据库交互时。以下是MyBatis相比JDBC的主要优势: 1. 简化…

极狐GitLab亮相世界人工智能大会,开启开源大模型赋能软件研发新时代

GitLab 是一个全球知名的一体化 DevOps 平台,很多人都通过私有化部署 GitLab 来进行源代码托管。极狐GitLab :https://gitlab.cn/install?channelcontent&utm_sourcecsdn 是 GitLab 在中国的发行版,专门为中国程序员服务。可以一键式部署…

285个地级市-胡焕庸线数据

全国285个地级市-胡焕庸线数据.zip资源-CSDN文库 胡焕庸线:中国人口与生态的分界线 胡焕庸线,一条在中国地理学界具有划时代意义的分界线,由著名地理学家胡焕庸于1935年提出。这条线从黑龙江省的瑷珲(现黑河市)延伸至…

json-server总结

Json-server 是一个专门用于模拟 RESTful API 的工具,它允许前端开发人员在不依赖后端 API 的情况下进行开发,通过本地搭建一个 JSON 服务来快速生成 REST API 风格的后端服务。 一、主要特点与功能 快速搭建:Json-server 使用 JSON 文件作…

HippoRAG如何从大脑获取线索以改进LLM检索

知识存储和检索正在成为大型语言模型(LLM)应用的重要组成部分。虽然检索增强生成(RAG)在该领域取得了巨大进步,但一些局限性仍然没有克服。 俄亥俄州立大学和斯坦福大学的研究团队推出了HippoRAG,这是一种创新性的检索框架,其设计理念源于人类…

数学建模美赛论文文档

目录 1. 摘要:1.1 阅读并理解题目1.2 背景介绍1.3 问题提出 2. 目录:2.1 引言(Introduction)2.2 假设与合理性说明(Assumptions and Justifications)2.3 符号说明(Notations)2.4 模型…

2.Date类型的请求参数

前端 <el-form-item label"结束日期" prop"endTime"><el-date-pickerv-model"dataForm.endTime"type"date"value-format"yyyy-MM-dd HH:mm:ss"placeholder"选择日期"></el-date-picker></el…

线下线上游戏电竞陪伴APP小程序H5同城线下约玩APP开发,语聊约玩平台搭建游戏陪玩APP源码

开发一款线下陪玩约玩APP的实际意义和在生活中的应用场景 1、满足社交需求:现代社会人们的社交圈往往受到时间、地点和其他限制的影响。线下陪玩约玩APP可以提供一个平台&#xff0c;让用户通过约玩的方式结识新朋友、扩大社交圈 2、解决孤独感:有些人由于工作忙碌、居住环境单…

论文阅读2-《Dynamic Multimodal Fusion》

摘要 &#xff08;DynMM&#xff09;&#xff0c;一种新的方法&#xff0c;自适应融合多模态数据和 d在推理过程中生成依赖于数据的前向路径。为此&#xff0c;我们提出了一种门控功能来提供基于多模态特征和一个的模态级或融合级决策提高计算效率的源感知损失函数。 细节 模…

185240-00G 同轴连接器

型号简介 185240-00G是Southwest Microwave的2.92 mm连接器。该连接器采用铍铜合金、工具钢和不锈钢等优质材料&#xff0c;并经过金镀层和钝化处理&#xff0c;确保其稳定可靠&#xff0c;经久耐用。它还兼容欧盟 RoHS 和 WEEE 指令&#xff0c;是一位环保使者&#xff0c;致力…

AI绘画Midjourney从入门到实战应用

大家好&#xff0c;我是爱编程的喵喵。双985硕士毕业&#xff0c;现担任全栈工程师一职&#xff0c;热衷于将数据思维应用到工作与生活中。从事机器学习以及相关的前后端开发工作。曾在阿里云、科大讯飞、CCF等比赛获得多次Top名次。现为CSDN博客专家、人工智能领域优质创作者。…

概率论习题

泊松分布习题 假设你在医院值班&#xff0c;每天需要安保人员出动的次数N~P(1),则关于任一天安保人员出动次数&#xff1a; A&#xff1a;出动一次的概率是多少 B&#xff1a;出动次数小于等于一次的概率为 C&#xff1a;出动次数小于一次的概率为 D&#xff1a;若随机事件发生…

C# 装饰器模式(Decorator Pattern)

装饰器模式动态地给一个对象添加一些额外的职责。就增加功能来说&#xff0c;装饰器模式相比生成子类更为灵活。 // 组件接口 public interface IComponent { void Operation(); } // 具体组件 public class ConcreteComponent : IComponent { public void Opera…

AI推荐系统落地的实现与应用

目录 一、推荐系统的基础二、推荐系统的设计与实现三、推荐系统落地的挑战四、推荐系统的成功案例五、结语 AI推荐系统近年来在各个领域得到了广泛应用&#xff0c;从电子商务到娱乐&#xff0c;再到个性化学习平台。它们通过分析用户行为、偏好和历史数据&#xff0c;为用户提…

【NOI-题解】1108 - 正整数N转换成一个二进制数1290 - 二进制转换十进制1386 - 小丽找半个回文数1405 - 小丽找潜在的素数?

文章目录 一、前言二、问题问题&#xff1a;1108 - 正整数N转换成一个二进制数问题&#xff1a;1290 - 二进制转换十进制问题&#xff1a;1386 - 小丽找半个回文数问题&#xff1a;1405 - 小丽找潜在的素数&#xff1f; 三、感谢 一、前言 本章节主要对进制转换的题目进行讲解…