实战案例(4)如果想限制某些终端能上网,哪些不能上网有什么方法呢?

news2024/11/25 22:40:09

案例四:如果想限制某些终端能上网,哪些不能上网有什么方法呢?

图片

实际中有这样的需求,客户那边希望某些区域只能boss上网或者boss随时都可以上,但是员工需要休息时间才能上,针对这样的需求我们来看看怎么去实现!

采用正常配置模式的步骤与思路

(1)防火墙确定好内外网接口,配置对应的对接方式以及加入安全区域,开启DHCP

(2)关于只让某一个能够上网或者不上网,在防火墙里面控制有两个办法,第一个是控制IP,第二个是控制MAC,如果我们要控制IP的话 就需要在DHCP静态绑定,这样保证每次获取的IP是同一个,MAC的话直接安全策略输入即可。

(3)根据需求跟规划配置对应的安全策略与NAT策略

(4)如果涉及到基于时间的策略,那么一定要确保防火墙的时间是正确的。

整体配置

#dhcp enable##interfaceGigabitEthernet1/0/0undo shutdownip address 192.168.101.254 255.255.255.0service-manage http permitservice-manage https permitservice-manage ping permitservice-manage ssh permitdhcp select interfacedhcp server ip-range 192.168.101.1 192.168.101.254dhcp server gateway-list 192.168.101.254dhcp server dns-list 223.5.5.5 114.114.114.114#                                        interfaceGigabitEthernet1/0/1undo shutdownip address 192.168.102.254 255.255.255.0service-manage http permitservice-manage https permitservice-manage ping permitservice-manage ssh permitservice-manage telnet permitdhcp select interfacedhcp server ip-range 192.168.102.1 192.168.102.254dhcp server gateway-list 192.168.102.254dhcp serverstatic-bind ip-address 192.168.102.250 mac-address 5489-9843-18afdhcp server dns-list 223.5.5.5 114.114.114.114#interfaceGigabitEthernet1/0/2undo shutdownip address dhcp-alloc##firewall zone trustset priority 85add interface GigabitEthernet0/0/0add interface GigabitEthernet1/0/0add interface GigabitEthernet1/0/1#firewall zone untrustset priority 5add interface GigabitEthernet1/0/2##ip address-set 不允许上网type objectaddress 0 192.168.102.250 mask 32#ip address-set 102允许上网type objectaddress 0 192.168.102.0 mask 24#ip address-setBOSS_server type objectaddress 0 5489-9864-0d2caddress 1 192.168.101.249 mask 32#ip address-set 101网段type objectaddress 0 192.168.101.0 mask 24#time-range 休息时间 period-range 12:00:00 to 13:30:00 working-day#security-policyrule name PC4_deny_internet source-zone trust destination-zone untrust source-address address-set 不允许上网 action denyrule name 允许102其他上网 source-zone trust destination-zone untrust source-address address-set 102允许上网 action permitrule name Local_any source-zone local action permitrule name BOSS source-zone trust destination-zone untrust source-address address-set BOSS_server action permitrule name 休息时间允许上网 source-zone trust destination-zone untrust source-address address-set 101网段 time-range 休息时间                     action permit#nat-policyrule name 允许上网 source-zone trust destination-zone untrust action source-nat easy-ip

容易忽略的点

(1)内网根据客户的需求是划分在同一个网段还是不同网段,如果是同一个网段要把接口切换成二层,然后配置VLANIF,在开DHCP(上面案例演示的是不同网段)

(2)在DHCP静态绑定里面,如果这个绑定的主机MAC已经分配到了一个IP,必须先清空该数据,在进行绑定(用命令行reset  ip pool interface GigabitEthernet1/0/1 192.168.101.250释放掉该MAC绑定的IP )

图片

3)安全策略的顺序,一定要从精细到粗犷的顺序来规划配置。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2127130.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Leetcode3271. 哈希分割字符串

Every day a Leetcode 题目来源:3271. 哈希分割字符串 解法1:模拟 按题意模拟。 代码: /** lc appleetcode.cn id3271 langcpp** [3271] 哈希分割字符串*/// lc codestart class Solution { public:string stringHash(string s, int k){…

适用于 Windows 的 Citrix Workspace 中发现两项权限提升

在适用于 Windows 的 Citrix Workspace 应用程序中发现了两个高严重性漏洞CVE-2024-7889 和 CVE-2024-7890。 这些漏洞影响当前版本的 2405 之前的版本以及 LTSR 的 2402 CU1 之前的版本。 Citrix 建议客户立即更新其安装,以减轻使用 Citrix Workspace 环境的用户…

基于亲和性的 GPU 容器绑核策略 Copy

1.引言 在高性能计算和大规模并行任务处理中,GPU已经成为不可或缺的加速器。为了充分发挥GPU的计算能力,通过合理分配CPU核与GPU的绑定来优化CPU和GPU的关系至关重要。我们将探讨socket和NUMA(非统一内存访问)的概念,并…

计算机的错误计算(九十)

摘要 计算机的错误计算(八十九)探讨了反双曲余切函数 acoth(x)在 附近的计算精度问题。本节讨论绝对值为大数的反双曲余切函数值的计算精度问题。 Acoth(x) 函数的定义为: 其中 x 的绝对值大于 1 . 例1. 计算 acoth(1.000000000002e15) .…

ORCAD位号,BOOM表

1 ORCAD在页设置编号范围 2 输出BOOM表

基于python+django+vue的农产品销售管理系统

作者:计算机学姐 开发技术:SpringBoot、SSM、Vue、MySQL、JSP、ElementUI、Python、小程序等,“文末源码”。 专栏推荐:前后端分离项目源码、SpringBoot项目源码、SSM项目源码 系统展示 【2025最新】基于pythondjangovueMySQL的农…

开发基础之Python 函数(Basic Python Functions for Development)

💝💝💝欢迎来到我的博客,很高兴能够在这里和您见面!希望您在这里可以感受到一份轻松愉快的氛围,不仅可以获得有趣的内容和知识,也可以畅所欲言、分享您的想法和见解。 推荐:Linux运维老纪的首页…

【天池比赛】【零基础入门金融风控 Task2赛题理解】实战进行中……

2.3 代码示例 2.3.1 导入数据分析及可视化过程需要的库 import pandas as pd import numpy as np import matplotlib.pyplot as plt import seaborn as sns import datetime import warnings warnings.filterwarnings(ignore) 2.3.2 读取文件 #读取数据时相对路径载入报错时…

并发编程-JUC原子类、CAS和 Unsafe类

文章目录 零、说在前面一、CAS原理1.1 CAS简介1、线程安全的实现方案2、什么是CAS 1.2 CAS使用案例1.3 CAS存在的问题1、ABA问题2、只能保证一个共享变量之间的原子性操作3、无效CAS会带来开销问题4、总线风暴问题 1.4 CAS在JDK中的应用 二、Unsafe类详解2.1 Unsafe类介绍2.2 U…

使用 Azure 机器学习微调小型语言模型 (SLM) Phi-3

目录 概述 动手实验室 概述 小型语言模型 (SLM) 的动机 效率:SLM 的计算效率更高,需要的内存和存储空间更少,而且由于需要处理的参数更少,因此运行速度更快。成本:培训和部署 SLM 的成本较低,使其可供更广…

【MySQL】从0开始在Centos 7环境安装MySQL

🦄个人主页:修修修也 🎏所属专栏:MySQL ⚙️操作环境:Xshell (操作系统:CentOS 7.9 64位) 目录 准备步骤 卸载原有环境 安装步骤 获取MySQL官方yum源 安装MySQL yum源 结语 准备步骤 卸载原有环境 第一步登录云服务器(注意安装yum需要在root身份下…

ctf.show靶场ssrf攻略

前言 欢迎来到我的博客 个人主页:北岭敲键盘的荒漠猫-CSDN博客 web351 解析:post传入url参数他就会访问。 解法: hackbar传入url参数写入https://127.0.0.1/flag.php web352 解析:post传入url参数,不能是127.0.0.1和localhost 解法:缩写127.1传入 web353 解析…

FTP、SFTP安装,整合Springboot教程

文章目录 前言一、FTP、SFTP是什么?1.FTP2.SFTP 二、安装FTP1.安装vsftp服务2.启动服务并设置开机自启动3.开放防火墙和SELinux4.创建用户和FTP目录4.修改vsftpd.conf文件5.启动FTP服务6.问题 二、安装SFTP总结 前言 在一般项目开发工程中,我们大多数会…

什么是数据治理?在企业数字化转型过程中有什么用?

建设背景 有效的数据治理不仅能够确保数据的安全和质量,还能为企业提供深入的业务洞察,推动决策制定和创新。数据治理是数字化转型的基础,是数据资源成为数据资产的基础,只有经过了数据治理,相应的数据资源才能产生价…

Ubuntu 24.04中安装virtualenv

在Ubuntu 24.04中安装virtualenv,可以按照以下步骤进行: 1. 确保Python已安装‌: 在终端中输入python --version或python3 --version来检查Python的安装情况。 python3 --version2. 安装pip‌(如果尚未安装)&#x…

【论文笔记】AutoLFADS (Nature Methods, 2022)

相关链接: Is This Tutorial For You? - AutoLFADS TutorialDANDI ArchiveNonhuman Primate Reaching with Multichannel Sensorimotor Cortex Electrophysiology Abstract 通过深度神经群体动力学模型实现最先进的性能需要对每个数据集进行广泛的超参数调整。 Au…

机器学习:opencv--图像金字塔

目录 一、图像金字塔 1.图像金字塔是什么? 2.有哪些常见类型? 3.金字塔的构建过程 4.图像金字塔的作用 二、图像金字塔中的操作 1.向下采样 2.向上采样 3.注意--无法复原 三、代码实现 1.高斯金字塔向下采样 2.高斯金字塔向上采样 3.无法复…

JavaEE:文件内容操作(一)

文章目录 文件内容的读写---数据流字节流和字符流打开和关闭文件文件资源泄漏try with resources 文件内容的读写—数据流 文件内容的操作,读文件和写文件,都是操作系统本身提供了API,在Java中也进行了封装. Java中封装了操作文件的这些类,我们给它们起了个名字,叫做"文…

药品识别与分类系统源码分享

药品识别与分类检测系统源码分享 [一条龙教学YOLOV8标注好的数据集一键训练_70全套改进创新点发刊_Web前端展示] 1.研究背景与意义 项目参考AAAI Association for the Advancement of Artificial Intelligence 项目来源AACV Association for the Advancement of Computer V…

Vue | Vue深入浅出——Vue中的render函数详解

1.render函数 在编写vue单文件的大多数情况下,我们都是使用template模板来创建HTML。然而在一些条件判断比较复杂的场景下,使用JavaScript去描绘HTML的生成逻辑会显得更加的简洁直观。 使用Vue官网的例子来简单说明: 如果自己在开发的时候…