企业允许职员上网,但出于生产力原因,经常在防火墙上写字。例如,职员在上班时间参观特定购物中心,职员在上班时间不让看电影等。
下面通一个小案例来看看华为防火墙USG6000在应用控制的强大功能吧。根据以上的图,在ENSP中模拟如下图
图中trust区域中,采用的虚拟机win7系统,并安装好QQ软件和迅雷软件,虚拟机win7网络采用的VMnet1。具体配置如下图
untrust区域配置如下图,不明白这步的小伙伴们可以查阅这篇文章
环境已经准备好了,来说一下,今天实现的效果吧。
- 通过防火墙应用控制禁止内网用户使用QQ。
- 通过防火墙限制内网用户使用迅雷下载。
配置思路
1、配置接口IP地址,并把对应的接口加入的对应的安全区域
2、配置NAT,使内网的用户能正常上网
3、通过配置安全策略实现需求。
配置步骤
1、配置接口IP地址,并加入到安全区域中。
[FW1]interface GigabitEthernet 1/0/0
[FW1-GigabitEthernet1/0/0]ip address 192.168.227.254 24
[FW1]firewall zone trust
[FW1-zone-trust]add interface GigabitEthernet 1/0/0
[FW1]interface GigabitEthernet 1/0/3
[FW1-GigabitEthernet1/0/3]ip address dhcp-alloc #配置该接口自动获取IP地址
[FW1]firewall zone untrust
[FW1-zone-untrust]add interface GigabitEthernet 1/0/3
2、配置NAT
[FW1]nat address-group natpool 1
[FW1-address-group-natpool]section 192.168.111.115 192.168.111.116
[FW1-policy-nat]rule name ToNAT
[FW1-policy-nat-rule-ToNAT] source-address 192.168.227.0 24
[FW1-policy-nat-rule-ToNAT]destination-zone untrust
[FW1-policy-nat-rule-ToNAT]action source-nat address-group natpool
3、配置安全策略,使内网用户能正常访问互联网
[FW1]security-policy
[FW1-policy-security]rule name to_Internet
[FW1-policy-security-rule-to_Internet]source-zone trust
[FW1-policy-security-rule-to_Internet]source-address 192.168.227.0 24
[FW1-policy-security-rule-to_Internet]destination-zone untrust
[FW1-policy-security-rule-to_Internet]action permit
配置到此,内网的用户能正常通过NAT上外网。
在配置防火墙的时,通常我们是先把安全策略放通全部,然后再根据需求逐步收窄放通的范围。
应用控制禁用QQ
华为USG6000系列防火墙内置了很多应用层的安全规则,可以根据自己的业务需求,进行放通或者禁止,这里我们选用禁用QQ。
新建一个规则名称为forbiddenQQ,源安全区域选择trust,源地址配置为192.168.227.0/24。具体配置如下图
安全策略是有顺序区别的,在刚开始的时候,我们创建了一个放通全部流量,而我们新建forbiddenQQ,在To_Internet规则之下。这样的话forbiddenQQ就不起作用了。需要把forbiddenQQ移动到To_Internet规则之前,如下图,
这样内网的用户就不能使用QQ,可以看到 forbiddenQQ命中有数据,证明数据包匹配了这条规则
应用控制限制P2P流量
根据上述的需要,新建一条限制P2P流量的规则,具体配置如下图,为了演示,我这里限制最多60KB流量。
限制流量之前,利用迅雷下载的速度
限制流量之前,利用迅雷下载的速度
启用限制流量之后,利用迅雷下载的速度
启用限制流量之后,利用迅雷下载的速度