防火墙安全策略实验

一、实验拓扑图及实验要求

实验要求： 
1、VLAN2属于办公区；VLAN 3属于生产区。
2、办公区PC在工作日时间（周一至周五，早8到晚6)可以正常访问0A Server，其他时间不允许。
3、办公区可以在任意时刻访问web Server
4、生产区PC可以在任意时刻访问0A Server，但是不能访问Web Server
5、特例：生产区PC3可以在每周一早10到早11访问Web Server，用来更新企业最新产品信息。

二、实验思考及基础布置

（一）、实验思考

根据实验要求，我们要先将Trust区域中的三台PC划分为两个网段，以对应两个区域，在防火墙的接口上设置子接口以对应两个网段的网关，再通过防火墙的安全策略表来实现我们的实验要求。

（二）、基础布置

OA Server 

 Web server

PC1

PC2

PC3 

Cloud

防火墙（FW）：
        开启防火墙，eNSP中防火墙的默认账号是：admin     密码是:Admin@123
        登陆后默认修改密码，我们这里修改为admin@123 
        输入以下代码，打开GE0/0/0接口的流量限制，为登录网页界面做准备。 

[FW]interface g0/0/0
[FW-GigabitEthernet0/0/0]service-manage all permit

交换机：

        输入以下代码，完成对两个网段的设置，将GE0/0/2接口划分为VLAN2，GE0/0/3和GE0/0/4接口设置为VLAN3。因为该实验只要求在Trust区域划分两个网段，因此另一个交换机不适用该设置。

//创建vlan 2 3
[Huawei]vlan batch 2 3
[Huawei]int g0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 2
[Huawei-GigabitEthernet0/0/3]port link-type access
[Huawei-GigabitEthernet0/0/3]port default vlan 3
[Huawei-GigabitEthernet0/0/4]port link-type access
[Huawei-GigabitEthernet0/0/4]port default vlan 3
[Huawei-GigabitEthernet0/0/1]port link-type trunk
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3 
//与防火墙直连的接口设置为trunk干道

三、防火墙接口设置和策略设置

（一）、接口设置

在网页界面输入192.168.0.1:8443，跳转网页后会出现警告，点击高级，选择继续访问。

 

选择最上一行中的网络。在接口列表中通过单击接口名称进行设置

GE1/0/1接口需要连接两个网段，所以需要创建两个子接口，点击左上角的新建。

 接口列表如下：

接口设置完成后要确认Trust区域中各个设备的联通：

pc1-pc2

pc1-pc3 

pc1 网关 

pc2 网关 

pc2-pc3 

pc3网关

 （二）、策略设置

选择最上一行中的策略，进入安全策略列表，进行安全策略的创建以实现实验要求

点击左上角的新建安全策略 

由于本次实验未要求，我们只需设置源、目的安全区域，源、目的地址，时间段和动作即可。 

在选择源、目的地址时可新建地址，根据要求输入信息即可

 

要求2 

要求3（办公区可以在任意时刻访问web Server）：

要求4（生产区PC可以在任意时刻访问0A Server，但是不能访问Web Server）： 

要求5（特例：生产区PC3可以在每周一早10到早11访问Web Server，用来更新企业最新产品信息） ：

策略表 

 手动配置时间

四、测试 

要求2、办公区PC在工作日时间（周一至周五，早8到晚6)可以正常访问0A Server，其他时间不允许。

时间内

时间外 

要求3（办公区可以在任意时刻访问web Server）：

要求4（生产区PC可以在任意时刻访问0A Server，但是不能访问Web Server）： 

要求5（特例：生产区PC3可以在每周一早10到早11访问Web Server，用来更新企业最新产品信息） ：

时间内

时间外