收藏
下载资源 加入VIP免费专享

USG6000安全策略配置.docx

上传人:牧羊曲112 文档编号:1701749 上传时间:2022-12-15 格式:DOCX 页数:41 大小:370.18KB
返回 下载 相关 举报
USG6000安全策略配置.docx_第1页
第1页 / 共41页
USG6000安全策略配置.docx_第2页
第2页 / 共41页
USG6000安全策略配置.docx_第3页
第3页 / 共41页
USG6000安全策略配置.docx_第4页
第4页 / 共41页
USG6000安全策略配置.docx_第5页
第5页 / 共41页
点击查看更多>>
资源描述

《USG6000安全策略配置.docx》由会员分享,可在线阅读,更多相关《USG6000安全策略配置.docx(41页珍藏版)》请在三一办公上搜索。

1、配置反病毒在企业网关设备上应用反病毒特性,保护内部网络用户和服务器免受病毒威胁。组网需求某公司在网络边界处部署了NGFW作为安全网关。内网用户需要通过Web服务器和POP3服务器下载文件和邮件,内网FTP服务器需要接收外网用户上传的文件。公司利用NGFW提供的反病毒功能阻止病毒文件在这些过程中进入受保护网络,保障内网用户和服务器的安全。网络环境如图1所示。其中,由于公司使用Netease邮箱作为工作邮箱,为了保证工作邮件的正常收发,需要放行Netease邮箱的所有邮件。另外,内网用户在通过Web服务器下载某重要软件时失败,排查发现该软件因被NGFW判定为病毒而被阻断(病毒ID为8000),考虑

2、到该软件的重要性和对该软件来源的信任,管理员决定临时放行该类病毒文件,以使用户可以成功下载该软件。图1配置反病毒组网图配置思路1. 配置接口IP地址和安全区域,完成网络基本参数配置。2. 配置两个反病毒配置文件,一个反病毒配置文件针对HTTP和POP3协议设置匹配条件和响应动作,并在该配置文件中配置Netease邮箱的应用例外和病毒ID为8000的病毒例外,另外一个反病毒配置文件针对FTP协议设置匹配条件和响应动作。3. 配置安全策略,在Trust到Untrust和DMZ到Untrust方向分别引用反病毒配置文件,实现组网需求。操作步骤1. 配置接口IP地址和安全区域,完成网络基本参数配置。a

3、. 选择“网络接口”。b. 单击GE1/0/1,按如下参数配置。安全区域untrustIPv4IP地址1.1.1.1/24c. 单击“确定”。d. 参考上述步骤按如下参数配置GE1/0/2接口。安全区域dmzIPv4IP地址10.2.0.1/24e. 参考上述步骤按如下参数配置GE1/0/3接口。安全区域trustIPv4IP地址10.3.0.1/242. 配置反病毒配置文件。a. 选择“对象安全配置文件反病毒”。b. 单击“新建”,按下图完成针对HTTP和POP3协议的配置。c. 单击“确定”。d. 参考上述步骤按如下参数完成针对FTP协议的配置。3. 配置内网用户到外网服务器方向(Trus

4、t到Untrust方向)的安全策略。a. 选择“策略安全策略安全策略”。b. 单击“新建”。c. 在“新建安全策略”中应用反病毒配置文件。参数配置如下。名称policy_av_1描述Intranet-User源安全区域trust目的安全区域untrust动作permit内容安全反病毒AV_http_pop3d. 单击“确定”。4. 配置外网用户到内网服务器方向(Untrust到DMZ方向)的安全策略。参照内网用户到外网服务器方向安全策略的配置方法,完成安全策略的配置。参数配置如下。名称policy_av_2描述Intranet-Server源安全区域untrust目的安全区域dmz动作perm

5、it内容安全反病毒AV_ftp5. 单击界面右上角的“保存”,在弹出的对话框中单击“确定”。配置URL过滤在NGFW上配置URL过滤功能,对用户访问的URL进行控制,允许或禁止用户访问某些网页资源。组网需求如图1所示,NGFW作为企业网关部署在网络边界,对用户发出访问外部网络的HTTP和HTTPS请求进行URL过滤。公司有研发部门员工和市场部门员工两类,具体需求如下: 企业所有员工可以访问包含education的网站。 企业所有员工不可以访问包含bbs的网站。 研发部门员工在每天的09:0017:00只可以访问教育/科学类、搜索/门户类网站。其他网站都不能访问。 市场部门员工在每天的09:00

6、17:00只可以访问教育/科学类、搜索/门户类、社会焦点类网站和。其他网站都不能访问。图1配置URL过滤组网图配置思路1. 配置接口IP地址和安全区域,完成网络基本参数配置。2. 配置自定义分类url_userdefine_category,将列入url_userdefine_category分类。3. 配置分类服务器远程查询,用来获取URL与预定义分类的对应关系。本例中教育/科学类、搜索/门户类、社会焦点类网站可以通过预定义分类来进行URL过滤控制。4. 针对研发部门员工和市场部门员工,配置两个URL过滤配置文件,将包含关键字bbs的URL列入黑名单,将包含关键字education的URL列

7、入白名单。并设置URL自定义分类和预定义分类的控制动作。5. 配置两个安全策略,引用时间段、用户组等信息,实现针对不同用户组和不同时间段的URL访问控制策略。操作步骤1. 配置接口IP地址和安全区域,完成网络基本参数配置。a. 选择“网络接口”。b. 单击GE1/0/1对应的,按如下参数配置。安全区域trustIPv4IP地址10.3.0.1/24c. 单击“完成”。d. 参考上述步骤按如下参数配置GE1/0/2接口。安全区域untrustIPv4IP地址1.1.1.1/242. 配置URL自定义分类。a. 选择“对象URL分类”。b. 单击“新建”,按如下参数配置。名称url_userdef

8、ine_category描述url userdefine category of access control for marketing.URLc. 单击“确定”。3. 配置URL分类服务器。a. 选择“对象安全配置文件URL过滤”。b. 单击“配置”,配置URL分类服务器,按如下参数配置。查询方式远程国家中国安全服务中心超时时间3超时后动作允许c. 单击“确定”。d. 单击“接受”。4. 配置URL过滤配置文件。a. 选择“对象安全配置文件URL过滤”。b. 在“URL过滤配置文件”中,单击“新建”,按如下参数配置。名称profile_url_1描述URL filter profile o

9、f web access control for research.缺省动作允许白名单*education*黑名单*bbs*SSL解密启用URL过滤级别选择“自定义”:将预定义分类“教育/科学类”和“搜索/门户类”的动作配置为允许,其他预定义分类的动作配置为阻断。说明:为了使配置简单化,配置上述动作时,可以采取如下操作:选择“自定义”后,选中第一行“名称”右侧对应的动作“阻断”,此时所有自定义和预定义分类的动作都成为“阻断”,然后再配置上述两个预定义分类的动作为“允许”。c. 单击“确定”。d. 在“URL过滤配置文件”中,单击“新建”,按如下参数配置。名称profile_url_2描述URL

10、 filter profile of web access control for marketing.缺省动作允许白名单*education*黑名单*bbs*SSL解密启用URL过滤级别选择“自定义”:将预定义分类“教育/科学类”、“搜索/门户类”和“社会焦点类”以及自定义分类“url_userdefine_category”的动作配置为允许,其他预定义分类的动作配置为阻断。说明:为了使配置简单化,配置上述动作时,可以采取如下操作:选择“自定义”后,选中第一行“名称”右侧对应的动作“阻断”,此时所有自定义和预定义分类的动作都成为“阻断”,然后再配置上述三个预定义分类及一个自定义分类的动作为“

11、允许”。e. 单击“确定”。5. 配置时间段。a. 选择“对象时间段”。b. 单击“新建”,按如下参数配置名为“time_range”的时间段。名称time_range类型周期时间段开始时间09:00结束时间17:00每周生效时间星期一、星期二、星期三、星期四、星期五、星期六、星期日c. 单击“确定”。6. 在安全策略中应用URL过滤配置文件。说明:本例中引用到的用户组research(研发部门员工)和用户组marketing(市场部门员工)假设已经创建完成。a. 选择“策略安全策略安全策略”。b. 单击“新建”,按如下参数配置。关于安全策略的更多信息,请参见安全策略。名称policy_sec

12、_1描述Security policy of web access protect for research.源安全区域trust目的安全区域untrust用户/research时间段time_range动作permit内容安全URL过滤profile_url_1c. 单击“确定”。d. 单击“新建”,按如下参数配置。关于安全策略的更多信息,请参见安全策略。名称policy_sec_2描述Security policy of web access protect for marketing.源安全区域trust目的安全区域untrust用户/marketing时间段time_range动作pe

13、rmit内容安全URL过滤profile_url_2e. 单击“确定”。举例:配置文件过滤在企业网关配置文件过滤后,可以降低内部网络感染病毒的风险,还可以防止员工将公司机密文件泄露到互联网。组网需求如图1所示,某公司在网络边界处部署了NGFW作为安全网关。公司希望在保证网络能够正常使用的同时实现以下需求: 为了防止公司机密文件的泄露,禁止员工上传常见文档文件、开发文件(C、CPP、JAVA)以及压缩文件到内网服务器和Internet。 为了降低病毒进入公司内部的风险,禁止员工从Internet下载可执行文件以及Internet用户上传可执行文件到内网服务器。 为了保证员工的工作效率,禁止员工从

14、Internet下载视频类文件。图1文件过滤组网图数据规划说明:本举例的用户已经存在于NGFW中,并且已经完成了认证的配置。项目数据说明policy_sec_user1 名称:policy_sec_user1 源安全区域:trust 目的安全区域:untrust 用户:user 动作:允许 文件过滤:profile_file_user1安全策略“policy_sec_user1”的作用是允许公司员工访问Internet,引用文件过滤配置文件“profile_file_user1”可以禁止员工上传常见文档文件、开发文件和压缩文件到Internet以及禁止员工从Internet下载可执行文件和视频

15、文件。policy_sec_user2 名称:policy_sec_user2 源安全区域:trust 目的安全区域:dmz 目的地址/地区:10.2.0.5/24 用户:user 动作:允许 文件过滤:profile_file_user2安全策略“policy_sec_user2”的作用是允许公司员工访问内网服务器,引用文件过滤配置文件“profile_file_user2”可以禁止员工上传常见文档文件、开发文件以及压缩文件到内网服务器。policy_sec_internet 名称:policy_sec_internet 源安全区域:untrust 目的安全区域:dmz 目的地址/地区:10

16、.2.0.5/24 动作:允许 文件过滤:profile_file_internet安全策略“policy_sec_internet”的作用是允许Internet用户访问内网服务器,引用文件过滤配置文件“profile_file_internet”可以禁止Internet用户上传可执行文件到内网服务器。profile_file_user1 名称:rule1 文件类型:文档文件、压缩文件、代码文件 方向:上传 动作:阻断文件过滤配置文件“profile_file_user1”的规则“rule1”的作用是禁止上传常见文档文件、开发文件以及压缩文件。 名称:rule2 文件类型:可执行文件、音视频文

17、件 方向:下载 动作:阻断文件过滤配置文件“profile_file_user1”的规则“rule2”的作用是禁止下载可执行文件、视频和音频文件。profile_file_user2 名称:rule1 文件类型:文档文件、压缩文件、代码文件 方向:上传 动作:阻断文件过滤配置文件“profile_file_user2”的规则“rule1”的作用是禁止上传常见文档文件、开发文件以及压缩文件。profile_file_internet 名称:rule1 文件类型:可执行文件 方向:上传 动作:阻断文件过滤配置文件“profile_file_internet”的规则“rule1”的作用是禁止上传可执

18、行文件。配置思路1. 配置接口IP地址和安全区域,完成网络基本参数配置。2. 新建文件过滤配置文件。3. 配置安全策略,保证网络可达的同时引用文件过滤配置文件,实现文件过滤。操作步骤1. 配置接口IP地址和安全区域,完成网络基本参数配置。a. 选择“网络接口”。b. 单击GE1/0/1对应的,按如下参数配置。IP地址1.1.1.1网络掩码255.255.255.0安全区域untrustc. 单击“应用”。d. 参考上述步骤按如下参数配置GE1/0/2接口。IP地址10.2.0.1网络掩码255.255.255.0安全区域dmze. 参考上述步骤按如下参数配置GE1/0/3接口。IP地址10.3

19、.0.1网络掩码255.255.255.0安全区域trust2. 新建文件过滤配置文件。a. 选择“对象安全配置文件文件过滤”。b. 单击“新建”。c. 按如下参数新建文件过滤配置文件profile_file_user1。名称profile_file_user1文件过滤规则rule1 名称:rule1 文件类型:文档文件、压缩文件、代码文件 方向:上传 动作:阻断rule2 名称:rule2 文件类型:可执行文件、音视频文件 方向:下载 动作:阻断d. 单击“确定”。e. 参考上述步骤按如下参数新建profile_file_user2。名称profile_file_user2文件过滤规则rul

20、e1 名称:rule1 文件类型:文档文件、压缩文件、代码文件 方向:上传 动作:阻断f. 参考上述步骤按如下参数新建profile_file_internet。名称profile_file_internet文件过滤规则rule1 名称:rule1 文件类型:可执行文件 方向:上传 动作:阻断3. 配置安全策略并引用配置文件。a. 选择“策略安全策略安全策略”。b. 单击“新建”。c. 按照如下参数配置安全策略policy_sec_user1。名称policy_sec_user1描述允许公司员工访问Internet源安全区域trust目的安全区域untrust用户user动作允许文件过滤pro

21、file_file_user1d. 单击“确定”。e. 参考上述步骤按如下参数配置policy_sec_user2。名称policy_sec_user2描述允许公司员工访问内网服务器源安全区域trust目的安全区域dmz目的地址/地区10.2.0.5/24用户user动作允许文件过滤profile_file_user2f. 参考上述步骤按如下参数配置policy_sec_internet。名称policy_sec_internet描述允许Internet用户访问内网服务器源安全区域untrust目的安全区域dmz目的地址/地区10.2.0.5/24动作允许文件过滤profile_file_in

22、ternet4. 单击界面右上角的“提交”,提交安全配置文件进行编译。配置内容过滤在企业网关配置内容过滤后,既可以防止公司内的机密信息被泄露到外部,又可以防止违规信息的传播。组网需求如图1所示,某公司在网络边界处部署了NGFW作为安全网关。公司有研发和财务两种用户,都部署在Trust区域。公司的内网服务器部署在DMZ区域。Internet的用户部署在Untrust区域。公司希望在保证网络正常使用的同时,防止公司机密信息的泄露以及违规信息的传播。图1内容过滤组网图数据规划说明:本举例的用户已经存在于NGFW中,并且已经完成了认证的配置。项目数据说明研发员工的安全策略 名称:policy_sec_

23、research 源安全区域:trust 目的安全区域:untrust 用户:research 动作:允许 内容过滤:profile_data_research安全策略“policy_sec_research”的作用是允许研发员工访问Internet,引用内容过滤配置文件“profile_sec_research”可以对研发员工上传到Internet的文件、发送到Internet的邮件、发布的帖子和微博、浏览网页和搜索的内容进行过滤。财务员工的安全策略 名称:policy_sec_finance 源安全区域:trust 目的安全区域:untrust 用户:finance 动作:允许 内容过滤:

24、profile_data_finance安全策略“policy_sec_finance”的作用是允许财务员工访问Internet,引用内容过滤配置文件“profile_sec_finance”可以对财务员工上传到Internet的文件、发送到Internet的邮件、发布的帖子和微博、浏览网页和搜索的内容进行过滤。Internet用户的安全策略 名称:policy_sec_internet 源安全区域:untrust 目的安全区域:dmz 目的地址/地区:10.2.0.5/24 动作:允许 内容过滤:profile_data_internet安全策略“policy_sec_internet”的作

25、用是允许Internet用户访问内网服务器,引用内容过滤配置文件“profile_sec_internet”可以对Internet用户从内网服务器下载和上传到内网服务器的文件内容进行过滤。研发员工的内容过滤配置文件名称:profile_data_research内容过滤配置文件“profile_data_research”需要应用在安全策略“policy_sec_research”上。 名称:rule1 关键字组:keyword1 应用:all 文件类型:all 方向:上传 动作:阻断规则“rule1”的作用是阻断包含关键字组“keyword1”的内容的上传。 名称:rule2 关键字组:ke

26、yword3 应用:HTTP 文件类型:TEXT/HTML 方向:下载 动作:阻断规则“rule2”的作用是阻断包含关键字组“keyword3”内容的网页和搜索。财务员工的内容过滤配置文件名称:profile_data_finance内容过滤配置文件“profile_data_finance”需要应用在安全策略“policy_sec_finance”上。 名称:rule1 关键字组:keyword2 应用:all 文件类型:all 方向:上传 动作:阻断规则“rule1”的作用是阻断包含关键字组“keyword2”的内容的上传。 名称:rule2 关键字组:keyword3 应用:HTTP 文

27、件类型:TEXT/HTML 方向:下载 动作:阻断规则“rule2”的作用是阻断包含关键字组“keyword3”内容的网页和搜索。Internet用户的内容过滤配置文件名称:profile_data_internet内容过滤配置文件“profile_data_internet”需要应用在安全策略“policy_sec_internet”上。 名称:rule1 关键字组:keyword2 应用:all 文件类型:all 方向:下载 动作:阻断规则“rule1”的阻断包含关键字组“keyword2”内容的文件下载。 名称:rule2 关键字组:keyword3 应用:all 文件类型:all 方向

28、:上传 动作:阻断规则“rule2”的阻断包含关键字组“keyword3”内容的文件上传。keyword1预定义关键字:机密关键字(权重设置为1)-自定义关键字: 公司机密信息 名称:公司机密信息 匹配模式:文本 文本:“公司机密” 权重:1 公司违规信息 名称:公司违规信息 匹配模式:文本 文本:“违规信息” 权重:1“公司机密”是由公司定义的机密信息关键字,请管理员根据实际情况确定具体内容。本举例中仅以“公司机密”表示。“违规信息”是由公司定义的违规信息关键字,可能包括敏感、色情、暴力等信息,请管理员根据实际情况确定具体内容。本举例中仅以“违规信息”表示。keyword2预定义关键字(权重

29、都设置为1):银行卡号、信用卡号、社会安全号、身份证号、机密关键字。-自定义关键字: 公司机密信息 名称:公司机密信息 匹配模式:文本 文本:“公司机密” 权重:1 公司违规信息 名称:公司违规信息 匹配模式:文本 文本:“违规信息” 权重:1“公司机密”是由公司定义的机密信息关键字,请管理员根据实际情况确定具体内容。本举例中仅以“公司机密”表示。“违规信息”是由公司定义的违规信息关键字,可能包括敏感、色情、暴力等信息,请管理员根据实际情况确定具体内容。本举例中仅以“违规信息”表示。keyword3自定义关键字:公司违规信息 名称:公司违规信息 匹配模式:文本 文本:“违规信息” 权重:1-配

30、置思路1. 配置接口IP地址和安全区域,完成网络基本参数配置。2. 新建关键字组keyword1、keyword2、keyword3,便于下面步骤中的内容过滤配置文件引用。3. 为研发员工、财务员工、Internet用户分别新建内容过滤配置文件。新建内容过滤配置文件时需要引用关键字组。4. 为研发员工、财务员工、Internet用户分别配置安全策略,在保证网络可达的同时引用各自的内容过滤配置文件,实现内容过滤。操作步骤1. 配置接口IP地址和安全区域,完成网络基本参数配置。a. 选择“网络接口”。b. 单击GE1/0/1对应的,按如下参数配置。IP地址1.1.1.1网络掩码255.255.25

31、5.0安全区域untrustc. 单击“应用”。d. 参考上述步骤按如下参数配置GE1/0/2接口。IP地址10.2.0.1网络掩码255.255.255.0安全区域dmze. 参考上述步骤按如下参数配置GE1/0/3接口。IP地址10.3.0.1网络掩码255.255.255.0安全区域trust2. 新建关键字组。a. 选择“对象关键字组”。b. 在“关键字组”中单击“新建”。c. 在“名称”中输入“keyword1”。d. 在“预定义”下的“机密关键字”对应的“权重”输入框中分别输入“1”。e. 在“关键字列表”中单击“新建”。f. 按照如下参数配置自定义关键字“公司机密信息”。名称公司

32、机密信息匹配模式文本文本“公司机密”权重1g. 单击“确定”,完成自定义关键字“公司机密信息”的配置。h. 在“关键字列表”中单击“新建”。i. 按照如下参数配置自定义关键字“公司违规信息”。名称公司违规信息匹配模式文本文本“违规信息”权重1j. 单击“确定”,完成自定义关键字“公司违规信息”的配置。k. 单击“确定”,完成关键字组keyword1的配置。l. 参考上述步骤按照下图所示参数配置keyword2。m. 参考上述步骤按照下图所示参数配置keyword3。3. 新建内容过滤配置文件。a. 选择“对象安全配置文件内容过滤”。b. 单击“新建”。c. 输入“名称”为“profile_da

33、ta_research”。d. 单击“新建”。e. 按照如下参数配置研发员工的内容过滤配置文件profile_data_research的规则rule1。名称rule1关键字组keyword1应用all文件类型all方向上传动作阻断f. 单击“确定”。g. 参考上述步骤按如下参数配置规则rule2。名称rule2关键字组keyword3应用HTTP文件类型TEXT/HTML方向下载动作阻断h. 单击“确定”,完成“profile_data_research”的配置。i. 参考上述步骤按如下参数配置财务员工的内容过滤配置文件profile_data_finance。名称profile_data_

34、finance内容过滤规则rule1 名称:rule1 关键字组:keyword2 应用:all 文件类型:all 方向:上传 动作:阻断rule2 名称:rule2 关键字组:keyword3 应用:HTTP 文件类型:TEXT/HTML 方向:下载 动作:阻断j. 参考上述步骤按如下参数配置Internet用户的内容过滤配置文件profile_data_internet。名称profile_data_internet内容过滤规则rule1 名称:rule1 关键字组:keyword2 应用:all 文件类型:all 方向:下载 动作:阻断rule2 名称:rule2 关键字组:keywor

35、d3 应用:all 文件类型:all 方向:上传 动作:阻断4. 配置安全策略并引用内容过滤配置文件。a. 选择“策略安全策略安全策略”。b. 单击“新建”。c. 按照如下参数配置研发员工的安全策略。名称policy_sec_research描述允许研发员工访问Internet源安全区域trust目的安全区域untrust用户research动作允许内容过滤profile_data_researchd. 单击“确定”。e. 参考上述步骤按如下参数配置财务员工的安全策略。名称policy_sec_finance描述允许财务员工访问Internet源安全区域trust目的安全区域untrust用户

36、finance动作允许内容过滤profile_data_financef. 参考上述步骤按如下参数配置Internet用户的安全策略。名称policy_sec_internet描述允许Internet用户访问内网服务器源安全区域untrust目的安全区域dmz目的地址/地区10.2.0.5/24动作允许内容过滤profile_data_internet5. 单击界面右上角的“提交”,提交安全配置文件进行编译。举例:配置邮件过滤以NGFW作为分支机构安全网关为例,介绍邮件过滤的配置方法。组网需求某公司规模在200人左右,分为销售、研发两个大部门。该公司具有独立的邮件域名,并且在公司内部部署了邮件

37、服务器。图1邮件过滤组网该公司对邮件安全的需求如下: 防止位于DMZ区域的邮件服务器收到大量垃圾邮件和匿名邮件,避免占用网络资源。 为了避免机密信息通过邮件方式泄露出去,对各部门人员的邮件发送权限进行控制。 研发人员中只有张三、李四同时具有邮件发送、接收权限,其他人只能接收邮件,不能发送邮件。 销售人员可以发送和接收邮件,但发送附件大小不能超过10M。配置思路1. 构建公司局域网,将NGFW作为安全网关。 将邮件服务器划分到DMZ区域。 将销售部门员工划分到自定义“sale”安全区域。 将研发部门员工划分到自定义“research”安全区域。 将Internet划分到Untrust区域。2.

38、配置邮件过滤。邮件配置文件是基于区域的,需要规划各区域之间的邮件过滤策略。需求配置思路防止邮件服务器收到大量垃圾邮件,避免占用网络资源。在Untrust和DMZ区域之间开启垃圾邮件防范,使用RBL服务器“rbl.anti-”。防止邮件服务器收到匿名邮件,避免占用网络资源。在Untrust和DMZ区域之间配置匿名邮件检测。研发人员中只有张三、李四同时具有邮件发送、接收权限,其他人只能接收邮件,不能发送邮件。在“research”区域和DMZ区域之间配置发送方向邮件地址检查,按照发件人邮箱地址进行过滤,只允许张三和李四发送邮件。销售人员可以发送和接收邮件,但发送附件大小不能超过10M。在“sale

39、”区域和DMZ区域之间配置发送方向附件大小控制,将“sale”区域人员可发送附件大小控制在10M以内。操作步骤1. 配置接口IP地址和安全区域,完成网络基本参数配置。a. 将接口GE1/0/1加入Untrust区域。i. 选择“网络接口”。ii. 选择GE1/0/1对应的,按如下参数配置。安全区域untrustIP地址1.1.1.1/24iii. 单击“确定”。b. 参考上述步骤,将接口GE1/0/2加入DMZ区域。GE1/0/2接口配置如下。安全区域dmzIP地址10.2.0.1/24c. 创建安全区域“sale”,将接口GE1/0/3加入“sale”区域。i. 选择“网络安全区域”。ii.

40、 单击“新建”。iii. 按如下参数配置。名称sale优先级60iv. 在“未加入域的接口”中选择GE1/0/3,单击,将GE1/0/3加入“sale”区域。v. 单击“确定”。vi. 选择“网络接口”。vii. 选择GE1/0/3对应的,按如下参数配置。安全区域saleIP地址10.3.0.1/24viii. 单击“确定”。d. 参考上述步骤,创建安全区域“research”,将接口GE1/0/4加入“research”区域。“research”区域配置如下。名称research优先级70“GE1/0/4”接口配置如下。安全区域researchIP地址10.4.0.1/242. 在Untru

41、st和DMZ区域之间配置垃圾邮件防范和匿名邮件检测。a. 选择“对象安全配置文件邮件过滤”。b. 选择进入“垃圾邮件过滤”页签。c. 选中“垃圾邮件过滤功能”对应的“启用”复选框。d. 配置首选DNS服务器,DNS服务器的IP地址为“30.10.10.10”。e. 单击“应用”。f. 配置垃圾邮件配置文件,使用RBL服务器“rbl.anti-”。i. 在“垃圾邮件配置文件”区域框中,单击“新建”。ii. 配置RBL服务器的各项参数。名称rbl server服务器查询集合rbl.anti-动作阻断应答码任意应答码iii. 单击“确定”。g. 选择进入“邮件内容过滤”。h. 单击“新建”。i. 配

42、置邮件内容过滤配置文件的名称和描述。名称profile_mail_untrust_dmz描述Untrust区域到DMZ区域的邮件策略j. 选中“垃圾邮件过滤”对应的复选框。k. 在“发送匿名邮件”中将过滤动作配置为阻断。l. 单击“确定”。m. 配置DMZ区域和Untrust区域之间的安全策略。i. 选择“策略安全策略安全策略”。ii. 单击“新建”,按如下参数配置从Untrust到DMZ的域间策略。名称policy_sec_untrust_dmz描述Untrust区域到DMZ区域的安全策略源安全区域Untrust目的安全区域DMZ动作允许内容安全邮件过滤profile_mail_untrus

43、t_dmziii. 单击“确定”。3. 在“sale”区域和DMZ区域之间配置发送方向附件控制,将“sale”区域人员可发送附件大小控制在10M以内。a. 选择“对象安全配置文件邮件过滤”。b. 选择“邮件内容过滤”。c. 单击“新建”。d. 配置邮件过滤策略的“名称”和“描述”。名称profile_mail_sale_dmz描述sale区域到DMZ区域的邮件过滤策略e. 单击“附件大小及个数控制”。f. 在“发送附件大小限制”中,输入10240。g. 在“处理动作”中将处理动作配置为阻断。h. 单击“确定”。i. 配置sale区域和DMZ区域之间的安全策略。i. 选择“策略安全策略安全策略”。ii. 单击“新建”,按如下参数配置从sal

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号