防火墙的初级使用

实验拓扑:

实验需求:

      1，DMz区内的服务器，办公区仅能在办公时间内(9:80-18:88)可以访问，生产区的设备全天可以访问。

      2，生产区不允许访问互联网，办公区和游客区允许访问互联网

      3,办公区设备18.8.2.10不允许访问DMZ区的FTP服务器和HTTP服务器，仅能ping通10.0.3.10

     4，办公区分为市场部和研发部，研发部IP地址固定，访问omz区使用匿名认证，研发部需要用户绑定1P地址，访问DMZ区使用免认证;游客区人员不固定，不允许访问DMZ区和生产区，统一使用Guest用户登录，密码Admin@123

     5，生产区访问DMZ区时，需要进行protal认证，设立生产区用户组织架构，至少包含三个部门，每个部门三个用户，用户统一密码openlab123，首次登陆需要修改密码，用户过期时间设定为：10天。用户不允许多人使用

    6，创建一个自定义管理员，要求不能拥有系统管理的功能

实验配置思路：

1.先配置IP地址——手动PC的IP地址。防火墙的IP地址，g0/0/0接口需要开启server-manage all,才能进行登录

2.配置Cloud云，通过云登录到防火墙。完成防火墙接口的剩余配置

3.写两条安全策略，完成办公区仅能在办公时间内(9:00-18:00)可以访问，生产区的设备全天可以访问的要求

4. 写三条安全策略，实现生产区不允许访问互联网，办公区和游客区允许访问互联网

5.写两条条安全策略，完成：拒绝FTP和HTTP服务，但能ping通10.0.3.10的任务

6.创建openlab区域，创建办公区，生产区，游客区，办公区下分为市场部，研发部，各部门下创建一个用户，单向绑定，研发部访问DMZ使用匿名验证，生产区访问DMZ使用免认证；游客区不允许访问DMZ和生产区

7.写一条安全策略，禁止ICMP服务，但开通ping10.0.3.10的服务，创建Guest用户，密码Admin@123

8.生产区访问DMZ时进行Portal认证，创建三个部门，每个部门三个用户，密码统一openlab@123，用户过期时设定为10天，用户不允许多人使用，首次登录改密码

9.创建一个自定义管理员，不能拥有管理系统的功能（开启只读）

具体配置步骤

1.配置Cloud云

2.配置IP地址，PC手动配置静态IP，防火墙如下

3.写两条安全策略，完成办公区仅能在办公时间内(9:00-18:00)可以访问，生产区的设备全天可以访问的要求

（1）办公区在办公时间能访问

（2）生产区全天可以访问

4. 写三条安全策略，实现生产区不允许访问互联网，办公区和游客区允许访问互联网

5.需要写两条安全策略，才能使得办公区访问DMZ拒绝FTP和HTTP服务，但能ping通10.0.3.10

（1.）先允许ping服务

（2）拒绝http和https

6.创建openlab认证域，创建办公区，生产区，游客区，办公区下分为市场部，研发部，各部门下创建一个用户

创建认证域

创建部门对应关系及用户：

7.生产区创建三个部门，每个部门三个用户（使用批量创建），密码统一openlab@123，用户过期时设定为10天，用户不允许多人使用，首次登录改密码

剩下两个，用同样的方法

7.写认证策略。研发部访问DMZ使用匿名验证，市场部访问DMZ使用免认证；生产区访问DMZ使用Poetal认证：

研发部访问DMZ:（匿名认证）

市场部访问DMZ:（免认证）

生产区访问DMZ使用Poetal认证：

8.游客区创建Guest用户，密码Admin@123。写安全策略，不允许访问DMZ和生产区，但是可以访问互联网：

创建安全策略，使其不允许访问DMZ和生产区

允许其访问互联网

9.创建一个自定义管理员，不能拥有管理系统的功能（开启只读）：