区段Marketing与区段RD之间规则
区段Personnel与区段RD之间规则
#实现2:服务器群1对广域网、市场部、人事部全天候开放,对研发部只在非工作时间开放
因为路由器默认是允许所有区段的所有接口直接通信,所以不需要配置服务器群1区段与电信宽带区段、联通宽带区段、市场部门区段、人事部门区段的区段间访问规则。只需配置服务器群1区段和RD区段之间的区段间访问规则。 安全管理 >> 访问策略 >> 区段间访问规则 选择相应的显示区段:DMZ<->RD
设置相应规则,选择生效时间,配置结果如下:
# 实现3:服务器群2对企业内部员工完全开放,禁止内部服务器群2访问外网和服务器群1 安全管理 >> 访问策略 >> 区段间访问规则
选择相应的显示区段:ISP-Telecom<->Server、ISP-Unicom<->Server、DMZ<->Server
在相关的配置界面上配置对应规则:ISP-Telecom->Server、Server-> ISP-Telecom、ISP-Unicom->Server、Server-> ISP-Unicom、DMZ->Server、Server-> DMZ。 配置完成后,规则条目如下:
区段ISP-Telecom与区段Server之间规
则
区段ISP-Unicom与区段Server之间规则
区段DMZ与区段Server之间规则
# 实现4:市场部、人事部可全天候访问外网,研发部只能在非工作时间访问外网
因为路由器默认是允许所有区段的所有接口直接通信,所以不需要配置市场部门区段、人事部门区段和电信宽带区段、联通宽带区段之间的区段间访问规则。只需要配置研发部门区段和电信宽带区段、联通宽带区段之间的区段间访问规则。 安全管理 >> 访问策略 >> 区段间访问规则
选择相应的显示区段:ISP-Telecom<->RD、ISP-Unicom<->RD。
配置完成后,规则条目如下:
区段ISP-Telecom与区段RD之间规则
区段ISP-Unicom与区段RD之间规则
4.1.2 区段内访问规则
在区段内访问规则中,我们要实现:区段RD中软件部门、硬件部门、测试部门不能相互访问。 配置完成后配置条目如下:
4.2 防ARP欺骗
为有效的防止内网的ARP欺骗,我们需要对内网所有电脑做IP与MAC绑定,在路由器中添加IP与MAC绑定信息有两种方式:ARP扫描和手动添加IP/MAC。
通过ARP扫描方式添加每个网段范围的IP/MAC绑定信息 安全管理 >> ARP防护 >> ARP扫描
针对每个出接口添加对应的IP/MAC绑定信息 安全管理 >> ARP防护 >> IP MAC绑定
在添加完成对应的IP/MAC绑定信息之后,启用ARP防欺骗功能,并选择对应的生效区段。 安全管理 >> ARP防护 >> IP MAC绑定
4.3 常见攻击防护
在路由器中启用攻击防护选项可有效的防护Flood类攻击和可疑包攻击 安全管理 >> 攻击防护 >> 攻击防护
相关推荐:
loading