防火墙组网实验配置

已于 2024-07-10 13:14:13 修改
阅读量653 收藏 18
点赞数 17
文章标签: 网络
于 2024-07-10 09:48:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fatsheep8_5/article/details/140314831
版权

一、实验拓扑图:

二、实验要求:

1,DMZ区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问.

2,生产区不允许访问互联网,办公区和游客区允许访问互联网

3,办公区设备10.0.2.10不允许访问DMz区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10

4,办公区分为市场部和研发部,研发部IP地址固定,访问DMz区使用匿名认证,研发部需要用户绑定IP地址,访问pMz区使用免认证;

游客区人员不固定,不允许访问DMz区和生产区,统一使用Guest用户登录,密码Admin@123

5,生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次

登录需要修改密码,用户过期时间设定为10天

6,创建一个自定义管理员,要求不能拥有系统管理的功能

三、实验思路:

1.给内网配通:先在sw7上划分valn区域 分别为vlan10 跟vlan 20 并且接口设置为acesses口

再在0/0/1口上配置trunk放通vlan10 20 的流量

2,登录防火墙,初始密码(Admin@123)需要修改;云端配置,并且通过云访问防火墙的http配置页面

3,配置两条安全策略使DMZ区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问;

4,写一条安全策略,拒绝FTP和HTTP服务,但能ping通10.0.3.10

5创建feiyang区域,创建办公区,生产区,游客区,办公区下分为市场部,研发部,各部门下创建一个用户,单向绑定,研发部访问DMZ使用匿名验证,生产区访问DMZ使用免认证;

6,在生产区下面创建三个部门并且每个部门要三个用户;使用批用户创建,密码设置一样即可

7,创建自定义管理员,不拥有系统管理功能即可;

四、实验步骤:

1.给SW7配置:

[sw7-GigabitEthernet0/0/2]port link-type access

[sw7-GigabitEthernet0/0/2]port default vlan 10

[sw7-GigabitEthernet0/0/2]int g 0/0/3

[sw7-GigabitEthernet0/0/3]p l a

[sw7-GigabitEthernet0/0/3]p d v 20

[sw7-GigabitEthernet0/0/3]

interface GigabitEthernet0/0/1

 port link-type trunk

 port trunk allow-pass vlan 10 20

2.进行防火墙的登陆,和对cloud的配置,以及访问防火墙的http页面:

默认密码为:Admin@123  需要修改密码

防火墙需要配置管理服务和修改他的IP使处于一个网段:

[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.100.1 24

[USG6000V1-GigabitEthernet0/0/0]service-manage all permit

cloud的配置:

登录到192.168.100.1的防火墙配置页面:

配置各个接口应该处于的区域:

防火墙各个接口的配置:

1/0/0

1/0/1

1/0/2:

1/0/3

对他做子接口:

1/0/4:

要满足第一个要求:

1,DMZ区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问.
需要做以下两条安全策略:

对于办公区的安全策略:

针对生产区的安全策略:

测试:

2,生产区不允许访问互联网,办公区和游客区允许访问互联网

做如下安全策略:

1、禁止生产区访问Internet

允许办公区和游客区访问internet

完成上诉要求,查看命中次数确定策略是否写通:

3,办公区设备10.0.2.10不允许访问DMz区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
针对此做两条策略:

先做一条禁止到dmz区的http服务和ftp服务

再做允许ping10.0.3.10的

测试:

查看策略是否命中:

4.创建用户区域:

在认证域里面创建大的组网

然后在feiyang里面创建用户组生产区和办公区:

创建办公区里面的研发部和市场部:

研发部到dmz区域使用匿名认证,并且绑定一个地址:

Sc to dmz免认证

创建Guest用户,然后不允许到DMZ和SC(安全策略)

游客区禁止访问dmz和生产区,但是能够访问10.0.3.10(如下两条安全策略):

5,生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天

修改首次登录需要修改密码:

最后创建的组别为:

基础架构为:

安全策略顺序如下:

6,创建一个自定义管理员,要求不能拥有系统管理的功能

fatsheep洋
关注
  • 17
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
综合组网实验
06-13
计算机网络课程综合组网实验,内附配置方法和配置分析。
计算机组网技术实验指导书.pdf
01-07
本文档是一个计算机组网技术实验指导书,涉及华为 3Com 认证课程实验指导书,实验内容涵盖交换机基本配置与升级、交换机端口配置、VLAN 基础配置、生成树协议 STP、路由器基本配置与升级、PPP、MP 协议配置、帧中继...
ensp防火墙综合实验lab
enterprise2333的博客
12-20 1万+
实验要求: 1.完成防火墙组网基础配置(IP,安全域,路由(可配置动态路由,只可宣告防火墙untrust所在网段)ISP路由器不能存在防火墙非untrust区域内路由),校本部和南校区防火墙管理地址分别为192.168.0.1/24,192.168.0.2/24 2.校本部防火墙1/0/1设置为二层接口,在防火墙配置SVI分别为vlan 10和vlan 20的网关,两SVI安全域均为trust 3.PC2可以使用防火墙出接口地址上网访问到百度服务器(可ping通6.6.6.6即可) 4.使用校本部防火墙
网络安全——防火墙配置实验
m0_53533553的博客
11-12 6944
(1)要求172.16.10.20可以上网,并且可以访问DMZ区域的FTP和WEB服务 (2)172.16.10.10不能上网,但是能够访问DMZ区域的FTP和WEB服务 (3)内网用户通过NAT(easy-ip)的形式访问互联网。
配置ACL包过滤防火墙典型实验
zszfs的博客
10-25 3004
配置ACL包过滤防火墙
ensp中防火墙双机热备配置实验
qq_44845384的博客
11-16 4584
ensp中防火墙双机热备配置实验
防火墙组网与安全策略实验
最新发布
yfy0308的博客
07-13 275
办公区的10.0.2.20不允许访问dmz区的ftp服务器和http服务器,只能ping通10.0.3.10,由于已经有了办公区访问dmz的策略,此时再写一条针对10.0.2.20的策略为,拒绝10.0.2.20访问dmz区的ftp,http服务,放在bg to dmz前。所有接口均配置为三层接口。
防火墙组网实验
享你所想
01-26 373
办公区全天可以访问服务器区,其中10.0.2.20可以访问FTP服务器和HTTP服务器,10.0.2.10仅可以ping通10.0.3.10。需求三:办公区在访问服务器区时采用匿名认证的方式进行上网行为管理。生产区在工作时间内可以访问服务器区,仅可以访问http服务器。需求四:配置防火墙NAT策略。配置IP地址、VLAN。新建两个区域SC和BG。
华为防火墙基本配置实例
热门推荐
weixin_45457085的博客
10-13 1万+
实验背景 : 一、trust区域:G1/0/0、G1/0/1接口下的设备划分到此区域 1、SW1与SW2做lacp链路聚合; 2、公司trust区域划分两个VLAN分别在交换层做MSTP,实现流量负载分担; 3、trust区域核心路由器层做双DHCP服务器做双备份,运行VRRP实现网关备份; 二、DMZ区域:G1/0/2接口下的设备划分到此区域 1、服务器做目的NAT允许untrust区域访问; 2、允许trust区域→DMZ区域的流量访问; 三、untrust区域:G1/0/3接口下的..
华为防火墙配置简单综合案例
m0_74298658的博客
12-29 1963
华为防火墙配置简单综合案例
H3C防火墙RBM+VRRP 组网配置
qq_23930765的博客
07-04 7266
基本组网如上,本实验采用HCL模拟器完成。fw1与fw2建立RBM,上下行采用vrrp对接。sw3、sw4为2层交换机,当防火墙RBM连接意外断开时,可以通过交换机透传vrrp报文,靠vrrp自身的协商机制实现主备。在fw1、fw2均使用vrrp 2的虚地址进行ipsec配置,正常情况下流量走fw1,只有fw1和fw6建立ipsec sa,由于RBM还不支持ipsec的同步,因此正常情况下fw2不和fw6建ipsec,当主备切换时流量上到fw2,感兴趣流自动触发fw2和fw6建立ipsec隧道,同时由于fw
华为ENSP全系实验.zip
07-06
详解小型企业组网实验1 详解无状态自动配置IPv6地址 详解三层交换机与防火墙对接上网配置示例 详解配置路由重发布(OSPF 与 RIP) 详解配置交换机多生成树MSTP+VRRP 的典型组网 详解路由器上的虚拟路由冗余协议 VRRP...
基于eNSP加防火墙的千人中型校园/企业网络规划与设计(附所有配置命令)
06-04
文件中包含了基于eNSP加防火墙的千人中型校园/企业网络规划与设计的topo图及其完整的配置(2份 区别就是第二个加了无线网络规划设计(WIFI))(三层架构,核心层、汇聚层、计入层),并加所有的配置命令(以txt形式在...
基于eNSP防火墙千人中型校园(企业)网络规划与设计-ensp综合实验.rar
03-08
文件中包含了基于eNSP加防火墙的千人中型校园/企业网络规划与设计的topo图及其完整的配置(2份 区别就是第二个加了无线网络规划设计(WIFI))(三层架构,核心层、汇聚层、计入层),并加所有的配置命令(以txt形式在...
基于eNSP+软考中级各类组网技术/综合实验
03-26
文件中包含了千人网络设计的topo图及其完整的配置防火墙配置实验、模拟钓鱼网站等综合实验,和一些单个技术的配置,比如RIP实验,NAT地址转换和访问控制列表ACL等单个实验的拓扑及配置。如果下载了该些拓扑图,...
基于eNSP防火墙千人中型校园(企业)网络规划与设计-综合实验.rar+所有配置命令+测试文档1400字和测试截图
05-14
文件中包含了基于eNSP加防火墙的千人中型校园/企业网络规划与设计的topo图及其完整的配置(2份 区别就是第二个加了无线网络规划设计(WIFI))(三层架构,核心层、汇聚层、计入层),并加所有的配置命令(以order.txt...
基于ensp防火墙双击热备二层网络规划与设计(命令齐全)-参考文章-配置实验命令笔记
07-02
文件中包含了基于ensp防火墙双击热备二层网络规划与设计的topo图及其完整的配置(2份 区别就是第二个加了无线网络规划设计(WIFI))(二层架构,核心层、计入层),文件在加入了相应的配套文章连接,并加入了实验的...
ensp三层架构组网实验
12-22
ensp三层架构是企业网络中常用的一种架构模式,它将网络分为核心层、分布层和接入层三个部分,可以提供高效的数据传输和良好的网络性能。进行ensp三层架构组网实验时,需要首先规划好网络的拓扑结构,明确各个设备的位置和连接方式。 在进行实验时,可以使用华为ensp模拟器模拟各种设备,如交换机、路由器和PC等,并进行配置和连接。首先配置核心层设备,将其连接到Internet或其他外部网络,然后配置分布层和接入层设备,最后配置PC机并进行连接。 在实验过程中,可以进行一些常见的网络故障排除和优化配置,如路由器的路由表配置、VLAN的划分、STP协议的调优等。实验还可以测试网络的数据传输性能,通过ping测试和traceroute命令确认网络的可达性和数据传输路径。 最后,进行ensp三层架构组网实验时需要小心处理网络安全问题,合理配置防火墙、访问控制列表、虚拟专用网络等安全措施,保障网络信息的安全性和隐私性。 总的来说,ensp三层架构组网实验需要充分的规划和准备,通过模拟器进行各项配置和连接,并经过测试和调优,来验证网络的稳定性和性能,从而为企业网络的建设和运维提供参考和指导。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

fatsheep洋

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值