实验拓扑图
实验要求
1.生产区在工作时间可以访问服务器区,仅可以访问http服务器
2.办公区全天可以访问服务器区,其中,10.0.2.20可以访问FTP和HTTP服务器
10.0.2.10仅可以ping通10.0.3.10
3.办公区在访问服务器区时采用匿名认证方式进行网上行为管理
4.办公区设备可以访问公网,其他区域不行
前置工作
请看此页HUAWEI---usg6000v防火墙接口配置实验-CSDN博客
路由器AR2模拟ISP,接口需要配置IP,12.0.0.2/24, 21.0.0.2/24,
需要配置环回IP,1.1.1.1/24 模拟外网众多IP
布置安全策略(功能请看描述栏)
默认策略为禁止流量通过,因此只需做需要放行的流量的策略即可
布置认证策略(功能请看描述栏)
设置通向外网接口IP
布置NAT策略(功能请看描述栏)
默认策略为不做NAT,因此只需为工作区做NAT即可达成目的