一·实验要求:
1.DMZ区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问
2.生产区不允许访问互联网,办公区和游客区允许访问互联网
3.办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4.办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户和上网的权限,门户网站地址10.0.3.10
5.生产区访问DMZ时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时设定为10天,用户不允许多人使用
6.创建一个自定义管理员,要求不能拥有系统管理的功能
二·实验过程:
1.配置IP地址,防火墙的IP地址,g0/0/0接口要开启server-manage all进行登录,配置子接口,配置PC的IP地址。
配置LSW7:
[LSW7]Vlan batch 2 to 3
[LSW7]int GigabitEthernet 0/0/2
[LSW7-GigabitEthernet0/0/2]port link-type access
[LSW7-GigabitEthernet0/0/2]port default vlan 2
[LSW7]int GigabitEthernet 0/0/3
[LSW7-GigabitEthernet0/0/3]port link-type access
[LSW7-GigabitEthernet0/0/3]port default vlan 3
[LSW7-GigabitEthernet0/0/1]port link-type trunk
[LSW7-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
启动FW1:
[USG6000V1]int GigabitEthernet 0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip address 192.168.100.1
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit
配置PC的IP地址如下:
2.配置Cloud云,通过云才能登录防火墙,网卡IP地址要和防火墙处于同一网段。
配置如下:
3.写两条安全策略,满足办公区仅能在办公时间内(9:00-18:00)可以访问以及生产区的设备全天可以访问的要求。
配置如图:
办公区:
生产区:
4. 写三条安全策略,满足生产区不允许访问互联网但办公区和游客区允许访问互联网。
配置如图:
生产区:
办公区:
游客区:
5.写一条安全策略,使办公区访问DMZ拒绝FTP和HTTP服务但能ping通10.0.3.10。
配置如图:
6.创建openlab认证域,创建办公区,生产区,游客区,办公区下分为市场部,研发部,各部门下创建一个用户,单向绑定,研发部访问DMZ使用匿名验证,市场部访问DMZ使用免认证。
配置如图:
研发部:
市场部:
7.写一条安全策略,使游客区不允许访问DMZ和生产区禁止ICMP服务但开通ping10.0.3.10的服务。
配置如图:
8·创建生产区并设立框架。
配置如图:
9·创立管理员。
配置如图:
16万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
