文/丁坚

前面对H3C防火墙自身的加固做了详细的解释,本篇着重介绍运营商防火墙安全策略配置及建议。

防火墙作通常位于网络的边界,其主要职责,是保护客户网络的机密性,保障客户网络的可用性。同时,作为网络管理员,在保证了网络的安全和可用之余,还需要考虑维护的便利性。在日常网络运维中,网络管理员对防火墙操作最多的,莫过于安全策略,尤其是运营商的网络。防火墙后面涉及的网络平台类型众多、策略复杂,同时,随着每个类型的服务平台的不断升级及业务扩展,需要频繁的修改安全策略,这就对网络管理员提出了难题。今天,我们就解决、优化此问题,说明如何更好的部署H3C防火墙安全策略。

案例:

某运营商网络平台防火墙承载了100种业务,早期每个平台对外开放的端口数据已经一次性在防火墙平台上一次性部署完成,安全策略如下(类似):

前期安全策略部署时,安全策略格式:源域:网络会话发起方所处的网络区域

目的域:网络会话发起方访问的目的网络区域

ID:由防火墙自动生成

源IP地址:网络会话发起方的IP地址

目的IP地址:网络会话访问的目的IP地址

过滤动作:permit(允许)/deny(阻断)

随着业务扩展,内网平台需要重新删除以前开放的端口、同时增加新的开放端口,类似上图中的安全策略,往往客户会直接新增类似上图中的安全策略解决,虽然事情可以解决,但是随着类似这种操作的不断增加,最终会导致防火墙安全策略过多,且功能无明显标识,给日常运维带来很大的不便。

针对上述方案,建议开局时安全策略部署时采取如下步骤:

(1)根据内网每个不同类型的平台分别建立不同的IP地址组,并进行中文描述

(防火墙-资源管理-地址-IP地址)

(2)定义所有平台需要开放的端口(防火墙-资源管理-服务-自定义服务)

(3)按照每个业务平台定义各自开放的端口集合

(防火墙-资源管理-服务-服务组)

(4)配置对应的安全策略

(防火墙—安全策略-域间策略)

按照此规范进行配置,配置原则为一平台一策略,别忘记了,策略的最后加上一条deny any。此策略是阻断所有没有授权开放的网络端口服务。防火墙分别针对每类平台开放不同的端口,未授权开放的端口,一律关闭,确保网络的安全。

按照上述配置方法,日常运维人员可以清晰的了解各个平台开放的端口和服务。对平时各个平台的对外开放的端口只需要在(防火墙-资源管理-服务-服务组)修改需要调整的端口,便捷、快速、准确。各个平台需要新增、删除服务器,只需要在(防火墙-资源管理-地址-IP地址)中修改IP地址即可。

h3c防火墙服务器ip修改,H3C防火墙安全策略配置建议相关推荐

  1. linux命令的使用:配置静态ip,查看网关,dns服务器ip,关闭防火墙,selinux

    linux是:其实就是类unix的操作系统. like unix 使用c语言写的linux linus 李纳斯:kernel(内核):是操作系统内部最核心的软件.作用:1.对cpu进行调度管理2.对内 ...

  2. 打印机服务器ip修改,打印机服务器ip设置

    打印机服务器ip设置 内容精选 换一换 目前,支持通过以下2种方式来设置日志级别:通过执行命令来设置日志级别.您可以用adc进程运行用户登录开发环境,执行全局级或模块级的日志级别设置命令.在开发环境上 ...

  3. 手游服务器ip 修改密码,手机挂常用ip改QQ密码技巧

    手机挂改密码: 具体步骤: [1]手机(必须是智能机)上要先安装两个软件:手机QQ(08.09.10.11版本都可以)和opera mobile浏览器8 (安装方法用手机浏览器登陆m.opera.co ...

  4. 手游服务器ip 修改密码,手游无双小师妹一键启动服务端+配套客户端+启动教程+IP修改说明等...

    内容介绍 资源说明: 1.本资源默认IP为192.168.1.116 2.如本机为此IP则可按照启动教程直接启动服务端. 3.如本机IP为非此IP,请自行修改本机IP为192.168.1.116或参考 ...

  5. win7注册表关闭防火墙服务器,怎么样修改注册表来关闭windows防火墙?

    很难,不过你可以看看下面的 通过修改注册表打开或关闭Windows防火墙端口,以远程桌面端口3389为例: SetPort.bat @echo offSET TS=HKLM\SYSTEM\Curren ...

  6. h3c虚拟服务器设置方法,h3c 设置虚拟服务器

    h3c 设置虚拟服务器 内容精选 换一换 该步骤是虚拟机配置中的最后一个步骤,由于Cloudbase-init机制,在用于镜像制作的虚拟机关机后再开机会生成随机密码,导致该虚拟机无法登录,所以请您再检 ...

  7. 打印机服务器ip修改,怎样改打印机服务器的ip地址

    怎样改打印机服务器的ip地址 内容精选 换一换 一.Linux下常用命令:文件与目录操作basename:从文件名中去掉路径和扩展名cd:切换当前工作目录到指定目录chgrp:改变文件所属组chmod ...

  8. 打印机服务器ip修改,怎么样更改打印机服务器的ip地址

    怎么样更改打印机服务器的ip地址 内容精选 换一换 实例常用端口如表1所示.您可以通过配置安全组规则放通实例对应的端口,详情请参见配置安全组规则.无法访问公有云某些端口问题现象:访问公有云特定端口,在 ...

  9. linux 服务器ip修改

    一.打开网卡配置文件 进入目录 cd /etc/sysconfig/network-scripts/ 查看ifcfg-开头的文件,列如ifcfg-ens33 vi ifcfg-ens33  查看的信息 ...

最新文章

  1. LeetCode简单题之圆形赛道上经过次数最多的扇区
  2. .NET 并行(多核)编程系列之七 共享数据问题和解决概述
  3. 领扣(LeetCode)最长公共前缀 个人题解
  4. Rafy 框架 - 幽灵插件(假删除)
  5. linux shell之替换目录下包含关键字所有文本里面的内容
  6. 5分钟快速部署PESCMS TEAM 团队任务管理系统开发版
  7. 通过 AnyTrans 将照片从 Mac 传输到 iPhone,无需 iTunes
  8. TortoiseSVN文件夹操作
  9. win32com 读取excel
  10. [推荐]一款非常方便好用的输入法--拼音加加
  11. css子元素和后代元素选择器
  12. 红米K40刷机导致基带丢失 基带未知 不读卡 没有串号 修复记录
  13. Android编程权威指南[pdf]
  14. 基础算法:斐波那契函数学习
  15. Speedoffice(word)如何生成目录
  16. 手把手教你从零开始做一个好看的 APP
  17. 状态模式——水之三态
  18. 运用Java制作一个属于自己的音乐播放软件
  19. 上证指数30年k线图_寻找上证指数二十年K线图的规律
  20. 优思学院:六西格玛设计的五步法 - DMADV

热门文章

  1. 词根、词缀笔记(三)
  2. 从 java 8 到 java 17
  3. 早期版本的traps.c
  4. is.js —— JavaScript强大的数据验证库
  5. Nextcloud 内部服务器错误 服务器不能完成您的请求 解决办法
  6. java把分钟转换成多少小时多少分钟
  7. python找出3或者5的倍数求和_3和5的整数倍数求和溢出
  8. Python入门学习——DAY03
  9. 如何选择适合你的兴趣爱好(十六),健身房
  10. 30天精通Git——第 09 天:比对文件与版本差异