如图所示:
企业部署两台业务服务器,其中Servert通过TCP 4个8端口对外提供服务,Sever2通过UDP6886端口对外提供服务。需要通过FW进行访问控制,8:00~17∶00的上班时间段内禁止IP地址为10.1.1.2、10.2.1.2的两台PC使用这两台服务器对外提供的服务。其他PC在任何时间都可以使用这两台服务器对外提供的服务。其他pc机在任何时间都能使用。
实验步骤:
1;配置源ip地址集,将几个不允许访问服务器的IP地址加入地址集。
2;配置两个自定义服务集,分别将两台服务器的非知名端口加入服务器。
3;配置一个范围为上班时间(08:00~17:00)的时间段。
4;配置两条安全策略,分别限制IP地址为10.1.1.2和10.2.1.2的PC对两台服务器的访问。
5;配置允许trust到dmz的域间访问安全策略。
1
1.配置接口g1/0/1的IP地址,将接口1/0/1加入dmz区域。
2.配置g1/0/2接口IP地址,将接口trust域。
3.配置g1/0/3接口IP地址,并将接口加入trust区域。
4.配置名称为server_deny的地址集,将不允许访问服务器的10.1.1.2 10.2.1.2 IP地址加入地址集
5.配置名称time_deny的时间段,指定pc不允许访问服务器的时间
6.分别为Server1和Server2配置自定义服务集server1_port和server2_port,将服务器的非知名端口加入服务集。
2.以上两条是限制pc使用server1 server2对外提供的服务的安全策略。
结果验证:显示时间段8:00到17:00
总结:设置早上8点到下午5点的时间段的IP地址10.1.1.2 10.2.1.2不能使用server1和server2对外提供服务。其他时间都能使用server1和server2提供的服务。
如有疑问,请联系。
