A公司使用TL-FW6300搭建網(wǎng)絡(luò),防火墻連接互聯(lián)網(wǎng),并劃分多個網(wǎng)段內(nèi)部使用,網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖.
需求分析
安全需求
n 需求1:訪客網(wǎng)絡(luò)可以訪問互聯(lián)網(wǎng),但是不能訪問內(nèi)部其他網(wǎng)絡(luò);
n 需求2:銷售部可以訪問內(nèi)部服務(wù)器網(wǎng)絡(luò)以及互聯(lián)網(wǎng),但是禁止訪問常見的游戲、視頻、炒股類網(wǎng)站和應(yīng)用;
n 需求3:研發(fā)部、財務(wù)部、行政部可以訪問內(nèi)部服務(wù)器網(wǎng)絡(luò),但是不能訪問互聯(lián)網(wǎng),僅允許訪問公司外部官方網(wǎng)站www.test.com;
n 需求4:出差員工可以通過互聯(lián)網(wǎng)訪問內(nèi)網(wǎng)的8080端口的WEB服務(wù)器;
n 需求5:內(nèi)部各個部門以及訪客區(qū)域之間禁止互相訪問;
n 需求6:管理接口僅用于管理防火墻自身。
審計需求
n 需求1:對所有流經(jīng)防火墻的數(shù)據(jù)進行審計,并記錄到審計日志;
n 需求2:將防火墻的審計日志、系統(tǒng)日志、操作日志、流量日志、策略命中日志全部上傳至安裝了TP-LINK安全審計系統(tǒng)的審計服務(wù)器。
(4) 相同設(shè)置方法設(shè)置研發(fā)部、財務(wù)部、行政部可以訪問內(nèi)部服務(wù)器網(wǎng)絡(luò)。如下圖所示。
設(shè)置研發(fā)部、財務(wù)部、行政部允許訪問公司外部官方網(wǎng)站www.test.com。點擊“新增”,如下圖所示。
關(guān)鍵設(shè)置如下:
l 源安全區(qū)域:選擇研發(fā)部、財務(wù)部、行政部網(wǎng)絡(luò)所在區(qū)域,本例中選擇“trust”。
l 目的安全區(qū)域:選擇官方網(wǎng)站服務(wù)器所在區(qū)域,本例中選擇“untrust”。
l 源地址:選擇研發(fā)部、財務(wù)部、行政部IP地址范圍,本例中選擇“Internal”。
l 目的地址:選擇Internet網(wǎng)絡(luò)IP地址范圍,本例中選擇“IPGROUP_ANY”。
l URL過濾:選擇已設(shè)定的官方網(wǎng)站條目“official_WEB”。
設(shè)置完畢,點擊“確定”,添加完成。如下圖所示。
l 源安全區(qū)域:選擇防火墻所在區(qū)域,即設(shè)置為“l(fā)ocal”。
l 目的安全區(qū)域:選擇審計服務(wù)器所在區(qū)域,本例中選擇“dmz”。
l 源地址:由于安全區(qū)域已經(jīng)選擇為“l(fā)ocal”,故源地址可不選擇,保持默認(rèn)為“Any”。
l 目的地址:選擇審計服務(wù)器的地址,本例中選擇“audit_server”。
l 服務(wù)組:選擇服務(wù)組,本例中選擇“Any”。
l 應(yīng)用組:選擇應(yīng)用組,本例中選擇“Any”。
l 時間段:選擇時間段,本例中選擇“Any”。
l 動作:選擇命中規(guī)則后的處理動作,本例中選擇“允許”。
l 內(nèi)容安全:選擇URL過濾和文件過濾配置文件,本例中留空,不選擇。
l 記錄策略命中日志:本例中不啟用。
l 狀態(tài):選擇“啟用”。
l 添加到指定位置(第幾條):本例中無需設(shè)置。
點擊“確定”,添加成功。
