h3c防火墙服务器ip修改,H3C防火墙安全策略配置建议
文/丁堅(jiān)
前面對H3C防火墻自身的加固做了詳細(xì)的解釋,本篇著重介紹運(yùn)營商防火墻安全策略配置及建議。
防火墻作通常位于網(wǎng)絡(luò)的邊界,其主要職責(zé),是保護(hù)客戶網(wǎng)絡(luò)的機(jī)密性,保障客戶網(wǎng)絡(luò)的可用性。同時(shí),作為網(wǎng)絡(luò)管理員,在保證了網(wǎng)絡(luò)的安全和可用之余,還需要考慮維護(hù)的便利性。在日常網(wǎng)絡(luò)運(yùn)維中,網(wǎng)絡(luò)管理員對防火墻操作最多的,莫過于安全策略,尤其是運(yùn)營商的網(wǎng)絡(luò)。防火墻后面涉及的網(wǎng)絡(luò)平臺類型眾多、策略復(fù)雜,同時(shí),隨著每個(gè)類型的服務(wù)平臺的不斷升級及業(yè)務(wù)擴(kuò)展,需要頻繁的修改安全策略,這就對網(wǎng)絡(luò)管理員提出了難題。今天,我們就解決、優(yōu)化此問題,說明如何更好的部署H3C防火墻安全策略。
案例:
某運(yùn)營商網(wǎng)絡(luò)平臺防火墻承載了100種業(yè)務(wù),早期每個(gè)平臺對外開放的端口數(shù)據(jù)已經(jīng)一次性在防火墻平臺上一次性部署完成,安全策略如下(類似):
前期安全策略部署時(shí),安全策略格式:源域:網(wǎng)絡(luò)會(huì)話發(fā)起方所處的網(wǎng)絡(luò)區(qū)域
目的域:網(wǎng)絡(luò)會(huì)話發(fā)起方訪問的目的網(wǎng)絡(luò)區(qū)域
ID:由防火墻自動(dòng)生成
源IP地址:網(wǎng)絡(luò)會(huì)話發(fā)起方的IP地址
目的IP地址:網(wǎng)絡(luò)會(huì)話訪問的目的IP地址
過濾動(dòng)作:permit(允許)/deny(阻斷)
隨著業(yè)務(wù)擴(kuò)展,內(nèi)網(wǎng)平臺需要重新刪除以前開放的端口、同時(shí)增加新的開放端口,類似上圖中的安全策略,往往客戶會(huì)直接新增類似上圖中的安全策略解決,雖然事情可以解決,但是隨著類似這種操作的不斷增加,最終會(huì)導(dǎo)致防火墻安全策略過多,且功能無明顯標(biāo)識,給日常運(yùn)維帶來很大的不便。
針對上述方案,建議開局時(shí)安全策略部署時(shí)采取如下步驟:
(1)根據(jù)內(nèi)網(wǎng)每個(gè)不同類型的平臺分別建立不同的IP地址組,并進(jìn)行中文描述
(防火墻-資源管理-地址-IP地址)
(2)定義所有平臺需要開放的端口(防火墻-資源管理-服務(wù)-自定義服務(wù))
(3)按照每個(gè)業(yè)務(wù)平臺定義各自開放的端口集合
(防火墻-資源管理-服務(wù)-服務(wù)組)
(4)配置對應(yīng)的安全策略
(防火墻—安全策略-域間策略)
按照此規(guī)范進(jìn)行配置,配置原則為一平臺一策略,別忘記了,策略的最后加上一條deny any。此策略是阻斷所有沒有授權(quán)開放的網(wǎng)絡(luò)端口服務(wù)。防火墻分別針對每類平臺開放不同的端口,未授權(quán)開放的端口,一律關(guān)閉,確保網(wǎng)絡(luò)的安全。
按照上述配置方法,日常運(yùn)維人員可以清晰的了解各個(gè)平臺開放的端口和服務(wù)。對平時(shí)各個(gè)平臺的對外開放的端口只需要在(防火墻-資源管理-服務(wù)-服務(wù)組)修改需要調(diào)整的端口,便捷、快速、準(zhǔn)確。各個(gè)平臺需要新增、刪除服務(wù)器,只需要在(防火墻-資源管理-地址-IP地址)中修改IP地址即可。
總結(jié)
以上是生活随笔為你收集整理的h3c防火墙服务器ip修改,H3C防火墙安全策略配置建议的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 现在接受参加国际创业节 DOer Exp
- 下一篇: m4a转mp3,m4a怎么转换成mp3格