接口列表
接口GE1/0/3划分子接口,通过不同的VLAN
安全策略列表
- DMZ区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,
生产区不允许访问互联网,
- 办公区和游客区允许访问互联网,办公区和游客区允许访问互联网,
- 办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10,
- 游客区不允许访问DMZ区和生产区,
- 游客仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10
安全区域列表,防火墙是基于区域进行流量控制的。所以要对不同的功能设备划分区域
4.办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证,游客区人员不固定,统一使用Guest用户登录,密码Admin@123,
5.生产部门访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码open1ab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
用户绑定IP地址就是对用户进行单向绑定或双向绑定。
市场部需要用户绑定IP地址,
游客区人员不固定,统一使用Guest用户登录,密码Admin@123,
市场部访问DMZ区使用免认证
研发部访问DMZ去匿名认证
生产部门访问DMZ区时,需要进行protal认证,
设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码open1ab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
验证
办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10,
研发部访问匿名访问BMZ
市场部访问DMZ免认证
创建一个自定义管理员,要求不能拥有系统管理的功能