Web方式：基于IP地址的安全策略典型配置

使用版本

本举例是在F5000-AI-55-G的E9900版本上进行配置和验证的。

组网需求

如下图所示，某公司内的各部门之间通过Device实现互连，该公司的工作时间为每周工作日的8点到18点。通过配置安全策略，实现如下需求：

• 允许总裁办在任意时间、财务部在工作时间通过HTTP协议访问财务数据库服务器的Web服务。

• 禁止其它部门在任何时间、财务部在非工作时间通过HTTP协议访问财务数据库服务器的Web服务。

图-1 基础安全策略典型配置组网图

配置步骤

1. 配置安全域

   # 选择“网络 > 安全域”，进入安全域配置页面，依次配置如下内容。

   • 创建名为database的安全域，并将接口GigabitEthernet1/0/1加入该安全域中

   • 创建名为president的安全域，并将接口GigabitEthernet1/0/2加入该安全域中

   • 创建名为finance的安全域，并将接口GigabitEthernet1/0/3加入该安全域中

   • 创建名为market的安全域，并将接口GigabitEthernet1/0/4加入该安全域中

2. 配置接口IP地址

   # 选择“网络 > 接口与VRF > 接口”，进入接口配置页面。

   # 单击接口GE1/0/1右侧的<编辑>按钮，配置如下。

   • 选择“IPv4地址”页签，配置IP地址/掩码：192.168.0.1/24

   • 其他配置项使用缺省值

   # 单击<确定>按钮，完成接口IP地址的配置。

   # 按照同样的步骤配置接口GE1/0/2，配置如下。

   • IP地址/掩码：192.168.1.1/24

   • 其他配置项使用缺省值

   # 按照同样的步骤配置接口GE1/0/3，配置如下。

   • IP地址/掩码：192.168.2.1/24

   • 其他配置项使用缺省值

   # 按照同样的步骤配置接口GE1/0/4，配置如下。

   • IP地址/掩码：192.168.3.1/24

   • 其他配置项使用缺省值

3. 配置时间段

   # 创建名为work的时间段，其时间范围为每周工作日的8点到18点。

   # 选择“对象 > 对象组 > 时间段”，进入时间段配置页面，配置如下。

   • 名称为work

   • 周期时间段为每周工作日的8点到18点

4. 创建源安全域president到目的安全域database的安全策略，允许总裁办在任意时间通过HTTP协议访问财务数据库服务器

   # 选择“策略 > 安全策略 > 安全策略”，进入安全策略配置页面。

   # 单击<新建>按钮，进入新建安全策略页面，配置如下。

   图-2 配置安全策略

   

   # 其他配置项保持默认情况即可。

   # 单击<确定>按钮，完成安全策略president-database的配置。

5. 创建源安全域finance到目的安全域database的安全策略，只允许财务部在工作时间通过HTTP协议访问财务数据库服务器

   # 选择“策略 > 安全策略 > 安全策略”，进入安全策略配置页面。

   # 单击<新建>按钮，进入新建安全策略页面，配置如下。

   图-3 配置安全策略

   

   # 其他配置项保持默认情况即可。

   # 单击<确定>按钮，完成安全策略finance-database的配置。

6. 创建源安全域market到目的安全域database的安全策略，禁止市场部在任何时间通过HTTP协议访问财务数据库服务器

   # 选择“策略 > 安全策略 > 安全策略”，选择新建策略，进入新建安全策略页面，进入安全策略配置页面。

   # 单击<新建>按钮，配置如下。

   图-4 配置安全策略

   

   # 其他配置项保持默认情况即可。

   # 单击<确定>按钮，完成安全策略market-database的配置。

验证配置

配置完成后，总裁办可以在任意时间访问财务数据库服务器的Web服务，财务部仅可以在工作时间访问财务数据库服务器的Web服务，其他部门任何时间均不可以访问财务数据库服务器的Web服务。