案例一:设置F5管理白名单
对设备业务口22、443(根据实际需要添加,个别设备更改Web管理端口例如:1200)端口建立白名单,允许IP:192.168.8.0/24访问F5的22和443端口进行管理。设备接口IP:192.168.5.233
1.创建白名单,允许192.168.8.0/24网段访问192.168.5.233的22和443端口进行管理。
Network ›› Packet Filters:Rules ,create新建rule
2.拒绝其他IP访问192.168.5.233
3.因为防火墙策略默认拒绝,如果需要虚拟服务正常接收流量,需要最后添加一条continue的rules(重要),允许防火墙策略匹配完成后,进行其他策略的匹配(虚拟服务等策略)。
配置完成后列表:
4.开启防火墙,使防火墙的所有策略生效,不匹配的所有请求deny。
案例二:限制所有端口开启的虚拟服务访问
部分业务的负载均衡使用端口较多,可以开启所有端口进行负载均衡,然而在业务负载使用的端口之外,其他端口的开放可能会对服务器造成安全隐患,可以通过防火墙策略进行防护。某业务开放所有端口的负载均衡,然而实际业务只是用80、443、8080、8081、8443、9090、9091端口,其他端口可通过防火墙策略禁用。
设备虚拟服务IP:192.168.5.224
1.开放端口,允许访问虚拟服务的80、443、8080、8081、8443、9090、9091端口。
2.拒绝访问虚拟服务的其他端口。
3.因为防火墙策略默认拒绝,如果需要虚拟服务正常接收流量,需要最后添加一条rules,允许防火墙策略匹配完成后,进行其他策略的匹配(虚拟服务等策略)。
配置完成后列表:
4.开启防火墙