h3c防火墙服务器ip修改,H3C防火墙安全策略配置建议
文/丁堅
前面對H3C防火墻自身的加固做了詳細(xì)的解釋,本篇著重介紹運營商防火墻安全策略配置及建議。
防火墻作通常位于網(wǎng)絡(luò)的邊界,其主要職責(zé),是保護客戶網(wǎng)絡(luò)的機密性,保障客戶網(wǎng)絡(luò)的可用性。同時,作為網(wǎng)絡(luò)管理員,在保證了網(wǎng)絡(luò)的安全和可用之余,還需要考慮維護的便利性。在日常網(wǎng)絡(luò)運維中,網(wǎng)絡(luò)管理員對防火墻操作最多的,莫過于安全策略,尤其是運營商的網(wǎng)絡(luò)。防火墻后面涉及的網(wǎng)絡(luò)平臺類型眾多、策略復(fù)雜,同時,隨著每個類型的服務(wù)平臺的不斷升級及業(yè)務(wù)擴展,需要頻繁的修改安全策略,這就對網(wǎng)絡(luò)管理員提出了難題。今天,我們就解決、優(yōu)化此問題,說明如何更好的部署H3C防火墻安全策略。
案例:
某運營商網(wǎng)絡(luò)平臺防火墻承載了100種業(yè)務(wù),早期每個平臺對外開放的端口數(shù)據(jù)已經(jīng)一次性在防火墻平臺上一次性部署完成,安全策略如下(類似):
前期安全策略部署時,安全策略格式:源域:網(wǎng)絡(luò)會話發(fā)起方所處的網(wǎng)絡(luò)區(qū)域
目的域:網(wǎng)絡(luò)會話發(fā)起方訪問的目的網(wǎng)絡(luò)區(qū)域
ID:由防火墻自動生成
源IP地址:網(wǎng)絡(luò)會話發(fā)起方的IP地址
目的IP地址:網(wǎng)絡(luò)會話訪問的目的IP地址
過濾動作:permit(允許)/deny(阻斷)
隨著業(yè)務(wù)擴展,內(nèi)網(wǎng)平臺需要重新刪除以前開放的端口、同時增加新的開放端口,類似上圖中的安全策略,往往客戶會直接新增類似上圖中的安全策略解決,雖然事情可以解決,但是隨著類似這種操作的不斷增加,最終會導(dǎo)致防火墻安全策略過多,且功能無明顯標(biāo)識,給日常運維帶來很大的不便。
針對上述方案,建議開局時安全策略部署時采取如下步驟:
(1)根據(jù)內(nèi)網(wǎng)每個不同類型的平臺分別建立不同的IP地址組,并進行中文描述
(防火墻-資源管理-地址-IP地址)
(2)定義所有平臺需要開放的端口(防火墻-資源管理-服務(wù)-自定義服務(wù))
(3)按照每個業(yè)務(wù)平臺定義各自開放的端口集合
(防火墻-資源管理-服務(wù)-服務(wù)組)
(4)配置對應(yīng)的安全策略
(防火墻—安全策略-域間策略)
按照此規(guī)范進行配置,配置原則為一平臺一策略,別忘記了,策略的最后加上一條deny any。此策略是阻斷所有沒有授權(quán)開放的網(wǎng)絡(luò)端口服務(wù)。防火墻分別針對每類平臺開放不同的端口,未授權(quán)開放的端口,一律關(guān)閉,確保網(wǎng)絡(luò)的安全。
按照上述配置方法,日常運維人員可以清晰的了解各個平臺開放的端口和服務(wù)。對平時各個平臺的對外開放的端口只需要在(防火墻-資源管理-服務(wù)-服務(wù)組)修改需要調(diào)整的端口,便捷、快速、準(zhǔn)確。各個平臺需要新增、刪除服務(wù)器,只需要在(防火墻-資源管理-地址-IP地址)中修改IP地址即可。
總結(jié)
以上是生活随笔為你收集整理的h3c防火墙服务器ip修改,H3C防火墙安全策略配置建议的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 现在接受参加国际创业节 DOer Exp
- 下一篇: m4a转mp3,m4a怎么转换成mp3格