目录
网络场景
需求分析
安全需求
审计需求
设置步骤
1. 配置接口参数。
2. 设置NAPT
3. 设置DHCP服务器
4. 设置安全区域
5. 设置对象参数
6. 设置安全策略
7. 设置审计策略
8. 对接审计服务器
某公司使用 需求 需求 需求www.test.com;
n4:出差员工可以通过互联网访问内网的WEB服务器;
n5:内部各个部门以及访客区域之间禁止互相访问;
n6:管理接口仅用于管理防火墙自身。
n1:对所有流经防火墙的数据进行审计,并记录到审计日志;
n2:将防火墙的审计日志、系统日志、操作日志、流量日志、策略命中日志全部上传至安装了 配置接口参数。
点击”——“接口设置1)设置IP联网方式为例。
按照运营商提供的联网参数进行填写即可。
(GE2连接服务器区
服务器区域网段是 连接方式:设置接口“静态 IP地址,本例中为 子网掩码:设置接口的子网掩码,本例中为 网关地址:设置接口的网关地址,本例中不填。
l 下行带宽:设置接口的下行带宽值,本例中保持默认。
lMTU:设置接口的 首选DNS服务器 备用DNS服务器 MAC地址,本例中保持默认。
l“服务器1.“确定3)设置 设置NAPT配置各个网段通过NAT联网。如下图所示。
l“GE1”。
l“172.16.0.0/16”。
为每个网段添加一个 设置安全区域
为每个接口定义所属的安全区域。打开”——“安全区域GE3-GE7以及MGMT添加到trust区域的编辑图标,如下图所示。
l“内网 接口:选择属于“GE3-GE7以及MGMT”。点击”,添加完成,如下图所示。
相同设置方法将untrust安全区域,将dmz安全区域,添加完成,如下图所示。
以服务器区 地址名称:自定义,本例中为 IP/Mask,设置“172.16.0.0/24”。
l“服务器区“对象”——“地址组“新增 组名称:自定义,本例中为 地址名称:选择已经定义的地址名称,本例中选择服务器地址段 备注:添加备注方便后期维护,本例中为IP地址段Internal。添加完毕如下如所示。
时间段
本例中无特定时间限制,所以使用默认的所有时间条目(3)WEB服务器服务条目,首先新增服务,打开”——“服务”,点击”,如下图所示。
l“WEB_Server”。
l“TCP”。
l“0-65535”。
l8080,即.
l“内部”。
点击”,添加完毕。如下图所示。
接下来新增服务组,打开”——“服务”,点击”,如下图所示。
l“WEB_Server”。
l“WEB_Server”。
l“内部”。
点击”,添加完成,如下图所示。
网站
设置内部网络可以访问的公司官网网址,打开”——“网站”,点击”,如下图所示。
l“公司官网 组成员:设置公司官网的网址,本例为 备注:添加备注,方便后期维护,本例为”。
l“确定(5)“对象”——“应用组“新增 名称:设置应用组名称,本例为 软件:选择需要控制的软件,本例中选择”软件。
l“游戏、视频、炒股“确定(6)URL过滤条目。打开”——“安全配置文件”,点击”,如下图所示。
lURL过滤条目的名称,本例为 策略类型:本例中选择URL”。
l“网站分组 网站分组:选择已经添加的网站分组,本例中选择”。
l“允许访问公司官网“确定 设置安全策略
打开”——“安全策略 需求 需求 需求www.test.com;
n4:出差员工可以通过互联网访问内网的WEB服务器;
n5:)内部各个部门以及访客区域之间禁止互相访问;
n6:管理接口仅用于管理防火墙自身。
设置第“新增 规则名称:自定义,本例为 描述:自定义,本例为”。
l“trust”。
l“untrust”。
lIP地址范围,本例中选择 目的地址:选择IP地址范围,本例中选择 服务组:选择服务组,本例中选择 应用组:选择应用组,本例中选择 时间段:选择时间段,本例中选择 动作:选择命中规则后的处理动作,本例中选择”。
lURL过滤和文件过滤配置文件,本例中留空,不选择。
l 状态:选择”。
l“确定(2)2条需求,点击”,如下图所示。
相同方法设置销售部允许上互联网。
设置销售部允许访问服务器网段。点击”,如下图所示。
关键设置如下:
l“trust”。
l“dmz”。
lIP地址范围,本例中选择 目的地址:选择服务器“Servers”。
l“确定“新增 源安全区域:选择销售部网络所在区域,本例中选择 目的安全区域:选择互联网所在区域,本例中选择 源地址:选择销售部“Sales”。
lInternet网络“IPGROUP_ANY”。
l“2”。
设置完毕,点击”,添加完成。如下图所示。
销售部规则添加完毕。
设置第www.test.com。
相同设置方法设置研发部、财务部、行政部可以访问内部服务器网络。如下图所示。
设置研发部、财务部、行政部允许访问公司外部官方网站“新增 源安全区域:选择研发部、财务部、行政部网络所在区域,本例中选择 目的安全区域:选择官方网站服务器所在区域,本例中选择 源地址:选择研发部、财务部、行政部“Internal”。
lInternet网络“IPGROUP_ANY”。
lURL过滤:选择已设定的官方网站条目“确定8080端口的“新增 源安全区域:选择互联网所在区域,本例中选择 目的安全区域:选择服务器所在区域,本例中选择 源地址:选择互联网“IPGROUP_ANY”。
lIP地址范围,本例中选择 服务组:选择已设定的内部“WEB_Server”。
设置完毕,点击”,添加完成。如下图所示。
第6条需求默认已经如此,无需专门设置。至此所有安全策略设置完毕。
l“audit_all”。
l“审计所有网站 QQ上下线,本例中设置为”。
lHTTP行为审计(URL,本例中设置为URL”
lURL时,可选择要记录的“记录所有“确定“策略”,如下图所示:
可以看到系统默认有一条不审计的策略。下面我们根据审计需求设置审计策略,之前的需求为:对所有流经防火墙的数据进行审计。故设置如下图所示:
l“audit_all_data”。
l“审计所有流量 源安全区域:选择源安全区域,本例中选择 目的安全区域:选择目的安全区域,本例中选择 源地址:选择源地址,本例中选择 目的地址:选择目的地址,本例中选择 服务组:选择服务组,本例中选择 应用组:选择应用组,本例中选择 时间段:选择时间段,本例中选择 动作:选择命中规则后的处理动作,本例中选择”。
l“audit_all”。
l“确定 对接审计服务器
设置需求二:将防火墙的审计日志、系统日志、操作日志、流量日志、策略命中日志全部上传至安装了TP-LINK安全审计系统的服务器上。设置方法如下:
以审计管理员身份登录防火墙,打开”——“日志配置 上传用户上网行为:本例中选择为”。
l“172.16.0.2”
然而,仅通过上述设置无法实现防护墙与审计服务器的对接,还需要设置一条安全策略,允许防火墙去访问审计服务器,设置方法如下:
以系统管理员身份登录防火墙,打开”——“地址 地址名称:本例中设置为 “IP/Mask”,设置为 备注:本例设置为”。
再新增地址组,将审计服务器地址添加到组,设置如下图所示:
l“audit_server”。
l“audit_server_ip”。
l“审计服务器“策略”,点击”,设置一条安全策略,允许防火墙访问服务器,如下图所示:
l“allow_audit”。
l“允许防火墙访问审计服务器 源安全区域:选择防火墙所在区域,即设置为 目的安全区域:选择审计服务器所在区域,本例中选择 源地址:由于安全区域已经选择为“Any”。
l“audit_server”。
l“Any”。
l“Any”。
l“Any”。
l“允许 内容安全:选择 记录策略命中日志:本例中不启用。
l“启用 添加到指定位置(第几条):本例中无需设置。
点击”,添加成功。
通过上述步骤,防火墙上的审计信息就可以上传至审计服务器,这就满足了审计需求一。
而对于需求二:将防火墙的审计日志、系统日志、操作日志、流量日志、策略命中日志全部上传至安装了“系统”,做如下设置:
l“所有等级 选择系统日志模块类别:是否选择要上传的系统日志模块类别,本例中勾选,且选择为”。
l“172.16.0.2”。
通过上述步骤,就完成了防火墙与审计服务器的对接,且满足了审计需求。
<span lang="EN-US" style="line-height:175%;font-family:" arial",sans-serif;letter-spacing:1.0pt;>
联系客服