作业要求:
按要求搭建拓扑图:
明确实验要求:
1、DMZ区内的服务器,办公区仅能在办公时间内(9: 00- 18:00)可以访问,生产区的设备全天可以访问
2、生产区不允许访问互联网,办公区和游客区允许访问互联网
3、办公区设备10.0.2.10不允许访问DMZ区FIP服务器和HTTP服务器,仅能ping通10.0.3.10
4、办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证;
5、游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门互网站和上网的权限,门互网站地址10.0.3.10
6、生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门有三个用户,用户同一密码openlab123.首次登陆需要修改密码,用户过期时间设定为10天,用户不允许多人使用
6,创建一个自定义管理员,要求不能拥有系统管理的功能
实验步骤
1.接口配置与网卡配置
创建vlan
配置防火墙
浏览器直接输入g0/0/0IP地址 进入防火墙登录页面
登录admin,密码Admin@123,自行更改新密码
配置IP
配置子接口
最终结果如图
创建安全区域新建区域
建立策略 办公访问DMZ(九点到十八点)可以访问
生产区访问DMZ(全天)
配置nat策略(实现办公区和游客区可以访问互联网)
配置安全策略(实现办公区设备10.0.2.10不允许访问DMZ区FIP服务器和HTTP服务器,仅能ping通10.0.3.10)
设置认证域(办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证)
相关策略
市场部需要用户绑定IP地址,访问DMZ区使用免认证
研发部IP地址固定,访问DMZ区使用匿名认证游客区用户和组的创建
游客区配置
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门互网站和上网的权限,门互网站地址10.0.3.10
游客区只能访问门户网站10.0.3.10,不允许访问DMZ区和生产区
生产区用户与组的创建
批量创建生产区车间1的用户(车间2,3同理)生产区的用户策略(全天可访问DMZ)最终效果如图所示
3.登陆设置
4.系统用户创建
新建用户身份选择刚刚建立的管理员
用户同一密码openlab123首次登陆需要修改密码,用户过期时间设定为10天,用户不允许多人使用