企業允許員工訪問Internet,但是出於工作效率的考慮,往往會通過在防火牆上做文章,比如緊張員工上班時間逛某些商城,禁止員工上班時間看電影等等。下面通一個小案例來看看華為防火牆USG6000在應用控制的強大功能吧。
根據以上的圖,在ENSP中模擬如下圖
圖中trust區域中,採用的虛擬機win7系統,並安裝好QQ軟件和迅雷軟件,虛擬機win7網絡採用的VMnet1。具體配置如下圖
untrust區域配置如下圖,不明白這步的小夥伴們可以查閱這篇文章
環境已經準備好了,來說一下,今天實現的效果吧。
- 通過防火牆應用控制禁止內網用戶使用QQ。
- 通過防火牆限制內網用戶使用迅雷下載。
配置思路
1、配置接口IP地址,並把對應的接口加入的對應的安全區域
2、配置NAT,使內網的用戶能正常上網
3、通過配置安全策略實現需求。
配置步驟
1、配置接口IP地址,並加入到安全區域中。
<code>[FW1]interface GigabitEthernet 1/0/0 [FW1-GigabitEthernet1/0/0]ip address 192.168.227.254 24 [FW1]firewall zone trust [FW1-zone-trust]add interface GigabitEthernet 1/0/0 [FW1]interface GigabitEthernet 1/0/3 [FW1-GigabitEthernet1/0/3]ip address dhcp-alloc #配置該接口自動獲取IP地址 [FW1]firewall zone untrust [FW1-zone-untrust]add interface GigabitEthernet 1/0/3/<code>
2、配置NAT
<code>[FW1]nat address-group natpool 1 [FW1-address-group-natpool]section 192.168.111.115 192.168.111.116 [FW1-policy-nat]rule name ToNAT [FW1-policy-nat-rule-ToNAT] source-address 192.168.227.0 24 [FW1-policy-nat-rule-ToNAT]destination-zone untrust [FW1-policy-nat-rule-ToNAT]action source-nat address-group natpool/<code>
3、配置安全策略,使內網用戶能正常訪問互聯網
<code>[FW1]security-policy [FW1-policy-security]rule name to_Internet [FW1-policy-security-rule-to_Internet]source-zone trust [FW1-policy-security-rule-to_Internet]source-address 192.168.227.0 24 [FW1-policy-security-rule-to_Internet]destination-zone untrust [FW1-policy-security-rule-to_Internet]action permit/<code>
配置到此,內網的用戶能正常通過NAT上外網。
在配置防火牆的時,通常我們是先把安全策略放通全部,然後再根據需求逐步收窄放通的範圍。
應用控制禁用QQ
華為USG6000系列防火牆內置了很多應用層的安全規則,可以根據自己的業務需求,進行放通或者禁止,這裡我們選用禁用QQ。
新建一個規則名稱為forbiddenQQ,源安全區域選擇trust,源地址配置為192.168.227.0/24。具體配置如下圖
安全策略是有順序區別的,在剛開始的時候,我們創建了一個放通全部流量,而我們新建forbiddenQQ,在To_Internet規則之下。這樣的話forbiddenQQ就不起作用了。需要把forbiddenQQ移動到To_Internet規則之前,如下圖,
這樣內網的用戶就不能使用QQ,可以看到 forbiddenQQ命中有數據,證明數據包匹配了這條規則
應用控制限制P2P流量
根據上述的需要,新建一條限制P2P流量的規則,具體配置如下圖,為了演示,我這裡限制最多60KB流量。
限制流量之前,利用迅雷下載的速度
限制流量之前,利用迅雷下載的速度
啟用限制流量之後,利用迅雷下載的速度
啟用限制流量之後,利用迅雷下載的速度
