目录
实验需求
实验拓扑图
要求
1.DMZ区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问。
2.生产区不允许访问互联网,办公区和游客区允许访问互联网。
3.办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10。
4.办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区域使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证,游客区人员不固定,不允许访问DMZ区和生产区,统一使用guest用户登录,密码Admin@123,游客仅有访问公司用户网站和上网的权限,门户网站地址10.0.3.10。
5.生产区访问DMZ区时,需要进行portal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用。
6.创建一个自定义管理员,要求不能拥有系统管理的能力。
基本配置
防火墙的配置
防火墙初始密码是:
Username:admin
Password:Admin@123
进去就需要修改密码,修改完毕后
进去g0/0/0端口配置ip:
[USG6000V1-GigabitEthernet0/0/0]ip address 192.168.100.1 255.255.255.0
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit
对于云的配置
以上防火墙和云配置完毕就可以通过web进入可视化界面
LSW5的配置
[Huawei]vlan batch 2 to 3
[Huawei]int g0/0/2
[Huawei-GigabitEthernet0/0/2] port link-type access
[Huawei-GigabitEthernet0/0/2] port default vlan 2
[Huawei]int g0/0/3
[Huawei-GigabitEthernet0/0/3] port link-type access
[Huawei-GigabitEthernet0/0/3] port default vlan 3
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1] port link-type trunk
[Huawei-GigabitEthernet0/0/1] port trunk allow-pass vlan 2 to 3
配置防火墙ip
创建安全区域
安全策略
配置让生产区到DMZ的策略
SC concem
策略
结果
配置办公区到dmz的策略
BG TO DMZ 1
策略
结果
BG TO DMZ 2
策略
结果
BG TO DMZ 3
策略
结果
BG TO ISP
策略
结果
不能ping通
因为并未对路由器设置nat这里并不能ping通。
配置游客区的策略
YK1 TO 10.0.3.10
策略
结果
YK2 TO SC
策略
结果
YK3 TO ISP
策略
结果
不能ping通
因为并未对路由器设置nat这里并不能ping通。
配置用户
创建认证域
创建用户
办公区
研发部
市场部
生产区
生产1
生产2
生产3
认证策略
配置路由器
配置路由器的ip
[ISP]int g0/0/0
[ISP-GigabitEthernet0/0/0]ip address 12.0.0.2 255.255.255.0
[ISP]int g0/0/1
[ISP-GigabitEthernet0/0/1]ip address 21.0.0.2 255.255.255.0
[ISP]int lo0
[ISP-LoopBack0]ip add 1.1.1.1 24