防火墙小试——部分

已于 2024-07-10 23:42:34 修改
阅读量626 收藏 10
点赞数 6
分类专栏: 下一代防火墙 文章标签: 网络 服务器 运维
于 2024-07-10 23:42:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aimnr/article/details/140336561
版权

1.实验拓扑及要求

  • 1,Dz区内的服务器,办公区仅能在办公时间内(9: 00 - 18 : 00〉可以访问,生产区的设备全天可以访问.

  • 2,生产区不允许访问互联网,办公区和游客区允许访问互联网

  • 3,办公区设备10.0.2.10不允许访问dwz区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10

  • 4,办公区分为市场部和研发部,研发部IP地址固定,访问dwz区使用匿名认证,市场部需要用户绑定IP地址,访问pwz区使用 免认证;游客区人员不固定,不允许访问dwz区和生产区,统一使用quest用户登录,密码Admin@123, 游客仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10

  • 5,生产区访问bwz区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用

  • 6,创建一个自定义管理员,要求不能拥有系统管理的功能

2.实验思路

  1. 首先搭建实验toop图,连接好线路

  2. 将主机的IP地址什么的配置好

  3. 配置云,使web连接上防火墙

  4. 在防火墙内做好安全域,接口的配置

  5. 然后根据需求编写策略

    • 需求一只需要分别给办公区和生产区配置一条能到dmz区的策略即可,办公区加一个时间限制

    • 需求二生产区不能访问互联网不写策略就能满足或者为了安全写一条拒绝的策略;给办公区和游客区加一条去往untrunst区的策略

    • 需求三先写一条10.0.2.10不能去dmz的策略,在写一条10.0.2.10只能通过icmp目的为10.0.3.10的策略,最后将第一条策略放在第二条下面

    • 需求四创建好办公区认证域,分为研发部和市场部,研发部的人员地址单向绑定,制定策略指向dmz用匿名认证;生产部人员用双向绑定,策略指向dmz用免认证;创建游客区,制定第一条:安全策略不能访问生产区和dmz区,第二条安全策略游客区可以访问10.0.3.10公司门户,放于第一条策略前面,创建游客区用户用Guest为用户名,Admin@123为密码,可多人使用该用户,自定策略为去往untrunst区和10.0.3.10,匿名认证

    • 需求五进入用户,修改全局配置,密码等级中等,首次登陆改密码,过期时间10天 ,创建生产区,创建三个组sc1,sc2,sc3;又分别为每个组创建三个用户,设置密码为openlab123,不允许多人登陆,制定策略为访问dmz区

    • 需求六进入系统,创建管理员admin_down角色:除了系统管理,其他全选上,创建管理员:local, 密码:local@123, 角色为:admin_dwon

3.实验过程

3.1搭建toop图

3.2基础配置

1.sw6

vlan bacth 2 3
interface GigabitEthernet0/0/1
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 2 to 3
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 2
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 3

2.客户端配置地址,网关等。。。

3.http服务器

4.ftp服务器

5.ISP

interface GigabitEthernet0/0/0
 ip address 12.0.0.2 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 21.0.0.2 255.255.255.0 
#
interface LoopBack0
 ip address 1.1.1.1 255.255.255.0

6.yun

7.防火墙

1.g0/0/0配置web连接
interface GigabitEthernet0/0/0
 ip address 192.168.192.1 255.255.255.0
 service-manage all permit
2.web连接防火墙

3.配置1/0/0

4.配置G1/0/1

5.配置G1/0/2

6.配置G1/0/3

  • 为了实现生产区和办公区的信息交流这里需要用到单臂路由。

创建安全SC,BG区域

配置子接口

7.配置g1/0/4
配置YK安全域

3.3核心配置

1,DMZ区内的服务器,办公区仅能在办公时间内(9: 00 - 18 : 00〉可以访问,生产区的设备全天可以访问.
创建地区

BG策略

SC策略

测试一下

办公区:17:00测试

2,生产区不允许访问互联网,办公区和游客区允许访问互联网

创建地区

办公区不能访问外网

办公区游客区能访问外网

3,办公区设备10.0.2.10不允许访问dwz区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10

将这条策略移动到顶

这里方便测试吧pc换成了client,显然达到了目的

4,办公区分为市场部和研发部,研发部IP地址固定,访问dwz区使用匿名认证,市场部需要用户绑定IP地址,访问pwz区使用免认证;游客区人员不固定,不允许访问dwz区和生产区,统一使用quest用户登录,密码Admin@123, 游客仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10

研发部IP地址固定,访问dwz区使用匿名认证
创建办公区认证域

创建研发部组

创建研发人员用户

制定策略

测试

成功命中

市场部需要用户绑定IP地址,访问pwz区使用免认证
创建市场部用户组

创建市场部用户名

制定策略

测试

成功命中

办公区用户结构

游客区人员不固定,不允许访问dwz区和生产区,有访问公司门户网站,门户网站地址10.0.3.10

不写dwz和生产区的策略自然就不能访问了,所以只需要写能到10.0.3.10即可

测试

可以明显看到游客区访问门户网站OK,但是其他地方就不行

游客有上网的权限

统一使用quest用户登录,密码Admin@123,
创建游客域

创建游客用户

制定策略

测试

由于ensp限制pc段不能进行protal用户认证所以ping不通,但是能命中策略

5,生产区访问dwz区时,需要进行protai认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用,

创建生产域

创建生产组

批量创建用户

生产区组织架构

首次登录需要修改密码,用户过期时间设定为10天

编写策略

测试

由于ensp限制pc段不能进行protal用户认证所以ping不通,但是能命中策略

6.创建一个自定义管理员,要求不能拥有系统管理的功能

创建管理员角色

创建管理员

测试

城南敢死队
关注
  • 6
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
零基础学FPGA(十)牛刀小试——串行口通信电路设计
08-30
以上各部分的实现涉及到Verilog或VHDL等硬件描述语言,通过编写代码来定义逻辑功能。程序包括对信号的检测、计数器的使用、状态机的设计等。 6. **RTL视图与测试**: 完成代码编写后,通过仿真工具生成RTL...
Appium小试
02-26
本文整理了一些自己在开发过程中经常会用到的竞品分析工具,这些工具可以帮助分析竞品。让我们得以了解竞品相应的一些技术信息,例如:代码质量、某种业务的实现方式、用了什么第三方库等。除此之外,也有一些高端...
scratch2源码动画小试
03-22
scratch2源码动画小试本资源系百度网盘分享地址
jquery小试牛刀
05-25
《jQuery小试牛刀》 在Web开发领域,jQuery是一个不可或缺的JavaScript库,它极大地简化了DOM操作、事件处理、动画效果以及Ajax交互等任务。本文将深入探讨jQuery的核心概念和常见用法,帮助读者更好地理解和运用这...
Zabbix自动发现
Lzcsfg的博客
07-08 750
在 Zabbix 中,自动发现(Auto Discovery)是一种强大的功能,用于自动识别和监控网络设备、服务或应用程序中的动态变化。通过自动发现功能,Zabbix 可以自动添加、配置和监控新的网络节点或服务,大大简化了管理和监控大规模环境的复杂性。
从零开始做题:logtime
weixin_44626085的博客
07-10 237
给出1个pcapng文件。
YOLOv10改进 | 特殊场景检测篇 | 轻量级的低照度图像增强网络IAT改进YOLOv10暗光检测(全网独家首发)
Snu77的博客
07-11 7879
本文给大家带来的改进机制是轻量级的变换器模型:Illumination Adaptive Transformer (IAT),用于图像增强和曝光校正。其基本原理是通过分解图像信号处理器(ISP)管道到局部和全局图像组件,从而恢复在低光或过/欠曝光条件下的正常光照sRGB图像。具体来说,IAT使用注意力查询来表示和调整ISP相关参数,例如颜色校正、伽马校正。模型具有约90k参数和约0.004s的处理速度,能够在低光增强和曝光校正的基准数据集上持续实现优于最新技术(State-of-The-Art, SOTA)
Mac虚拟机跑Windows流畅吗 Mac虚拟机连不上网络怎么解决 mac虚拟机网速慢怎么解决
2401_82916694的博客
07-10 630
选择Shared模式,你的Mac会当作虚拟机的路由器。一般来说,拥有更高性能的Cpu(如Apple M2或M3芯片)、更大的内存(建议16GB以上)、以及足够的存储空间可以显著提升虚拟机中Windows的运行流畅度。Mac的防火墙或其他安全设置可能阻止虚拟机访问网络,如果你的Mac主机可以访问网络,并且排查了上文介绍的情况,那么可以尝试关闭Mac电脑防火墙,再检查虚拟机是否可以连接网络。使用Mac虚拟机运行Windows是否流畅,取决于几个关键因素:硬件配置、虚拟机软件的选择以及虚拟机的设置。
访问控制的定义与原理
SafePloy_SH的博客
07-11 188
访问控制(Access Control)是一种重要的安全机制,用于限制对程序中的数据、函数、类以及计算机系统中资源(如文件、数据库、网络设备等)的访问权限。其主要目的是保护系统中的敏感信息和资源,防止未经授权的访问和操作,确保系统的安全性、完整性和可靠性。综上所述,访问控制是保障系统安全的重要手段之一,它通过限制用户对资源的访问权限来防止未经授权的访问和操作。允许用户对自身所创建的访问对象(如文件、数据表等)进行访问,并可将对这些对象的访问权授予其他用户或收回其访问权限。
windows局域网文件传输方案
aidayei的专栏
07-08 303
1.共享文件:采用smb协议传输数据,可以直接通过windows资源管理器地址栏中输入ip:\share目录,也可以用windows自带的Robocopy命令拷贝。2.ftp方式:采用ftp协议传输数据,服务端需要有ftp服务器,或者采用sftp或scp方式,需要服务端装open-ssh服务器。4.tcp/udp方式:采用tcp/udp协议传输数据,需要自己编写socket服务端和客户端,传输数据切割和重组等。3.http方式:采用http协议传输数据,服务端需要装python,通过python -m。
UDP协议介绍和作用
小蜜蜂vs码农
07-10 1038
UDP协议介绍和作用
SQL Server设置端口:跨平台指南
招风的黑耳CSDN
07-09 581
在使用SQL Server时,设置或修改其监听的端口是确保数据库服务安全访问和高效管理的重要步骤。由于SQL Server可以部署在多种操作系统上,包括Windows、Linux和Docker容器等,因此设置端口的步骤和方法也会因平台而异。本文将为您提供一个跨平台的指南,帮助您在不同环境下设置SQL Server的端口。
ENSP防火墙综合配置
Enjoy_zhuo的博客
07-11 139
因为ISP返回的数据包会被防火墙最后的默认安全策略给拒绝,所以,把要ISP返回的数据给允许通过。
RIP路由协议概述
张海涛的专栏
07-12 162
若该条路由在被记为16跳后,120s内还没有收到更新,则将这条路由从路由表中删除。发送路由更新时,目标地址为广播地址:255.255.255.255。路由器每隔30s从每个启动RIP协议的接口发送出路由更新信息。若一条路由在180s内没有收到更新,这条路由的跳数将记为16。发送路由更新时,目标地址为组播地址224.0.0.9。RIP是一个【距离——矢量】路由选择协议。发送路由更新时【不携带】子网掩码,属于。发送路由更新时【携带】子网掩码,属于。当路由器的更新周期为30s到来时,向邻居发送路由表。
计网(1.1~1.4)
最新发布
2301_76590691的博客
07-12 363
网络:由若干结点和连接这些结点的链路组成互联网:多个网络还可以通过路由器互连起来,这样就构成了一个覆盖范围更大的网络,也可 被称为“网络中的网络因特网是世界上最大的互连网络计算机网络的精确定义并未统一计算机网络的简单定义:一些互相连接的、自治的计算机的集合互连是指计算机之间可以通过有线或无线的方式进行数据通信自治是指独立的计算机,它有自己的硬件和软件,可以单独运行使用集合是指至少需要两台计算机。
医疗器械网络安全| 常见安全漏洞与防护措施
网 安 云
07-08 772
通过加强代码审查和安全测试、采用安全设计原则和最佳实践、加强网络安全保护、实施严格的访问控制、建立安全监控和响应机制、关注并遵循相关标准和规范以及加强安全培训和意识提升等措施,可以有效防止医疗器械软件被攻击和滥用,为患者提供更加安全可靠的医疗服务。
CCNA-2-V7-模块7–9:可用且可靠的网络考试答案
YingtingXiao的博客
07-12 420
CCNA-2-V7-模块7–9:可用且可靠的网络考试答案
高级持续性威胁(APT)攻击检测
学-> 思->用
07-10 327
APT攻击的复杂性和隐蔽性使其成为网络安全领域的一大挑战。通过多层防御、威胁情报、持续监控、端点检测和用户教育等策略,结合基于签名、行为、流量和沙箱的检测技术,企业和安全团队可以更有效地检测和应对APT攻击。
网络设备常见漏洞与解决方法
weixin_48579910的博客
07-11 921
网络设备是网络安全的重要组成部分,面临各种安全漏洞,包括默认凭证、固件漏洞、配置错误、未授权访问和各种协议攻击。通过实施定期更新固件、强认证和加密、限制远程管理、配置最小权限、启用日志和监控以及定期安全审计等防护措施,可以有效提升网络设备的安全性,防范各种安全威胁,保护网络基础设施和数据的安全。通过实施上述具体的解决方法,可以有效地防范网络设备的常见安全漏洞。定期更新设备固件、配置强认证和加密、限制远程管理访问、配置最小权限、启用日志和监控以及定期进行安全审计,是确保网络设备安全的重要措施。
linux防火墙之牛刀小试
05-31
Linux防火墙是一种网络安全机制,可以保护主机免受恶意攻击和未经授权的访问。在Linux系统中,有多种防火墙可供选择,如iptables、firewalld等。 如果你想进行牛刀小试,可以使用iptables来配置Linux防火墙。以下是一些基本的iptables命令: 1. 查看当前iptables规则: ``` iptables -L ``` 2. 清除当前iptables规则: ``` iptables -F ``` 3. 允许某个IP地址访问特定端口: ``` iptables -A INPUT -s <IP地址> -p tcp --dport <端口号> -j ACCEPT ``` 4. 禁止某个IP地址访问特定端口: ``` iptables -A INPUT -s <IP地址> -p tcp --dport <端口号> -j DROP ``` 5. 允许所有IP地址访问特定端口: ``` iptables -A INPUT -p tcp --dport <端口号> -j ACCEPT ``` 6. 禁止所有IP地址访问特定端口: ``` iptables -A INPUT -p tcp --dport <端口号> -j DROP ``` 以上是一些基本的iptables命令,可以让你快速入门Linux防火墙的使用。当然,对于复杂的网络环境,你需要更深入地了解iptables的规则语法和命令参数,才能更好地保护你的主机。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值