华为实验-基于用户和应用的安全策略-编程知识

CLI举例：基于用户和应用的安全策略

通过配置安全策略，实现基于用户、时间段以及应用的访问控制。

组网需求

如图1所示，某企业在网络边界处部署了FW作为安全网关。

企业根据员工级别和职能不同划分了三种用户：高层管理者、市场员工、研发员工，三个用户能够访问Internet的权限不同。具体如下：

高层管理者可以自由访问Internet。
市场员工能够访问Internet，但不能玩游戏，观看网络视频。
研发员工只能使用TortoiseSVN应用，不允许访问其他Internet应用。

图1 基于用户和应用的安全策略组网图

数据规划

本举例的用户已经存在于FW中，并且已经完成了认证的配置。

项目	数据	说明
高层管理者的安全策略	名称：policy_sec_management 源安全区域：trust 目的安全区域：untrust 用户：management 动作：允许	安全策略policy_sec_management的作用是允许高层管理者自由访问Internet。
市场员工的安全策略1	名称：policy_sec_marketing_1 源安全区域：trust 目的安全区域：untrust 用户：marketing 应用：游戏、媒体共享动作：禁止	安全策略policy_sec_marketing_1的作用是禁止市场员工玩游戏，观看网络视频。游戏代表游戏类应用，媒体共享代表网络视频类应用。
市场员工的安全策略2	名称：policy_sec_marketing_2 源安全区域：trust 目的安全区域：untrust 用户：marketing 动作：允许	安全策略policy_sec_marketing_2的作用是允许市场员工访问Internet。
研发员工的安全策略1	名称：policy_sec_research_1 源安全区域：trust 目的安全区域：untrust 用户：research 应用：TortoiseSVN 动作：允许	安全策略policy_sec_research_1的作用是允许研发员工使用TortoiseSVN版本控制应用。
研发员工的安全策略2	名称：policy_sec_research_2 源安全区域：trust 目的安全区域：untrust 用户：research 动作：禁止	安全策略policy_sec_research_2的作用是禁止研发员工访问其他Internet应用。

操作步骤

配置接口IP地址和安全区域，完成网络基本参数配置。

配置GigabitEthernet 1/0/1接口IP地址，将接口加入untrust域。<FW> system-view
[FW] interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1] ip address 1.1.1.1 24
[FW-GigabitEthernet1/0/1] quit
[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet 1/0/1
[FW-zone-untrust] quit

配置GigabitEthernet 1/0/3接口IP地址，将接口加入trust域。


[FW] interface GigabitEthernet 1/0/3
[FW-GigabitEthernet1/0/3] ip address 10.3.0.1 24
[FW-GigabitEthernet1/0/3] quit
[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet 1/0/3
[FW-zone-trust] quit

配置高层管理者的安全策略。

[FW] security-policy
[FW-policy-security] rule name policy_sec_management
[FW-policy-security-rule-policy_sec_management] source-zone trust
[FW-policy-security-rule-policy_sec_management] destination-zone untrust
[FW-policy-security-rule-policy_sec_management] user user-group /default/management
[FW-policy-security-rule-policy_sec_management] action permit
[FW-policy-security-rule-policy_sec_management] quit

配置市场员工的安全策略。

# 配置市场员工的安全策略1。[FW-policy-security] rule name policy_sec_marketing_1
[FW-policy-security-rule-policy_sec_marketing_1] source-zone trust
[FW-policy-security-rule-policy_sec_marketing_1] destination-zone untrust
[FW-policy-security-rule-policy_sec_marketing_1] application category Entertainment sub-category Media_Sharing
[FW-policy-security-rule-policy_sec_marketing_1] application category Entertainment sub-category Game
[FW-policy-security-rule-policy_sec_marketing_1] user user-group /default/marketing
[FW-policy-security-rule-policy_sec_marketing_1] action deny
[FW-policy-security-rule-policy_sec_marketing_1] quit
# 配置市场员工的安全策略2。[FW-policy-security] rule name policy_sec_marketing_2
[FW-policy-security-rule-policy_sec_marketing_2] source-zone trust
[FW-policy-security-rule-policy_sec_marketing_2] destination-zone untrust
[FW-policy-security-rule-policy_sec_marketing_2] user user-group /default/marketing
[FW-policy-security-rule-policy_sec_marketing_2] action permit
[FW-policy-security-rule-policy_sec_marketing_2] quit

配置研发员工的安全策略。

# 配置研发员工的安全策略1。[FW-policy-security] rule name policy_sec_research_1
[FW-policy-security-rule-policy_sec_research_1] source-zone trust
[FW-policy-security-rule-policy_sec_research_1] destination-zone untrust
[FW-policy-security-rule-policy_sec_research_1] user user-group /default/research
[FW-policy-security-rule-policy_sec_research_1] application app TortoiseSVN
[FW-policy-security-rule-policy_sec_research_1] action permit
[FW-policy-security-rule-policy_sec_research_1] quit
# 配置研发员工的安全策略2。[FW-policy-security] rule name policy_sec_research_2
[FW-policy-security-rule-policy_sec_research_2] source-zone trust
[FW-policy-security-rule-policy_sec_research_2] destination-zone untrust
[FW-policy-security-rule-policy_sec_research_2] user user-group /default/research
[FW-policy-security-rule-policy_sec_research_2] action deny
[FW-policy-security-rule-policy_sec_research_2] quit

结果验证

验证高层管理者是否能够不受限制的访问Internet，如果是则证明高层管理者的安全策略配置成功。
验证市场员工的用户能够访问Internet，而且访问Internet时不能使用FW定义的游戏和媒体共享应用。如果是则证明市场员工的安全策略配置成功。
验证研发员工用户正常使用TortoiseSVN应用，但是不能访问Internet其他应用。如果是则证明研发员工的安全策略配置成功。
选择“监控 > 日志 > 策略命中日志”，分别查看高层管理者、市场员工、研发员工是否命中正确的安全策略。

配置脚本

#                                                                               
interface GigabitEthernet1/0/1                                                  undo shutdownip address 1.1.1.1 255.255.255.0                                        
#                                                                               
interface GigabitEthernet1/0/3                                                  undo shutdownip address 10.3.0.1 255.255.255.0                                        
#                                                                               
firewall zone trust                                                             add interface GigabitEthernet1/0/3                                             
#                                                                               
firewall zone untrust                                                           add interface GigabitEthernet1/0/1                                             
#                                                                               
security-policy                                                                 rule name policy_sec_management                                                source-zone trust                                                             destination-zone untrust                                                      user user-group /default/management                                                              action permit                                                                 rule name policy_sec_marketing_1                                               source-zone trust                                                             destination-zone untrust                                                      user user-group /default/marketing                                                               application category Entertainment sub-category Game                          application category Entertainment sub-category Media_Sharing                 action deny                                                                   rule name policy_sec_marketing_2                                               source-zone trust                                                             destination-zone untrust                                                      user user-group /default/marketing                                                               action permit                                                                 rule name policy_sec_research_1                                                  source-zone trust                                                             destination-zone untrust                                                      user user-group /default/research                  application app TortoiseSVN                          action permit                                                      rule name policy_sec_research_2                                                  source-zone trust                                                             destination-zone untrust                                                      user user-group /default/research                                                                action deny