1.实验拓扑及要求
-
1,Dz区内的服务器,办公区仅能在办公时间内(9: 00 - 18 : 00〉可以访问,生产区的设备全天可以访问.
-
2,生产区不允许访问互联网,办公区和游客区允许访问互联网
-
3,办公区设备10.0.2.10不允许访问dwz区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
-
4,办公区分为市场部和研发部,研发部IP地址固定,访问dwz区使用匿名认证,市场部需要用户绑定IP地址,访问pwz区使用 免认证;游客区人员不固定,不允许访问dwz区和生产区,统一使用quest用户登录,密码Admin@123, 游客仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10
-
5,生产区访问bwz区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
-
6,创建一个自定义管理员,要求不能拥有系统管理的功能
2.实验思路
-
首先搭建实验toop图,连接好线路
-
将主机的IP地址什么的配置好
-
配置云,使web连接上防火墙
-
在防火墙内做好安全域,接口的配置
-
然后根据需求编写策略
-
需求一只需要分别给办公区和生产区配置一条能到dmz区的策略即可,办公区加一个时间限制
-
需求二生产区不能访问互联网不写策略就能满足或者为了安全写一条拒绝的策略;给办公区和游客区加一条去往untrunst区的策略
-
需求三先写一条10.0.2.10不能去dmz的策略,在写一条10.0.2.10只能通过icmp目的为10.0.3.10的策略,最后将第一条策略放在第二条下面
-
需求四创建好办公区认证域,分为研发部和市场部,研发部的人员地址单向绑定,制定策略指向dmz用匿名认证;生产部人员用双向绑定,策略指向dmz用免认证;创建游客区,制定第一条:安全策略不能访问生产区和dmz区,第二条安全策略游客区可以访问10.0.3.10公司门户,放于第一条策略前面,创建游客区用户用Guest为用户名,Admin@123为密码,可多人使用该用户,自定策略为去往untrunst区和10.0.3.10,匿名认证
-
需求五进入用户,修改全局配置,密码等级中等,首次登陆改密码,过期时间10天 ,创建生产区,创建三个组sc1,sc2,sc3;又分别为每个组创建三个用户,设置密码为openlab123,不允许多人登陆,制定策略为访问dmz区
-
需求六进入系统,创建管理员admin_down角色:除了系统管理,其他全选上,创建管理员:local, 密码:local@123, 角色为:admin_dwon
-
3.实验过程
3.1搭建toop图
3.2基础配置
1.sw6
vlan bacth 2 3 interface GigabitEthernet0/0/1 port link-type trunk undo port trunk allow-pass vlan 1 port trunk allow-pass vlan 2 to 3 # interface GigabitEthernet0/0/2 port link-type access port default vlan 2 # interface GigabitEthernet0/0/3 port link-type access port default vlan 3
2.客户端配置地址,网关等。。。
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
