一、实验拓扑图
二、实验要求
1、DMZ区域内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问
2、生产区不允许访问互联网,办公区和游客区允许访问互联网
3、办公区设备10.0.1.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4、办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,
5、生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123
首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
6、创建一个自定义管理员,要求不能拥有系统管理功能
三、实验步骤
1)配置防火墙和外网ISP设备IP地址
防火墙具有web管理界面,为了方便直接在web界面进行配置
防火墙的接口除了配置ip地址外,还需要对区域进行划分,将接口加到区域才可以使用
出接口设备加上网关会在路由表默认加一条缺省路由,如下图
ISP的IP地址
2)配置办公、生产区访问时间的安全策略
所有安全策略配置概图
条件:
1、DMZ区域内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问
思路:
限制办公区访问BMZ区的时间在9:00到18:00,时间段可以自定义一个时间段
实现:
办公区策略
生产区策略
测试:
在每做完一个条件进行测试,以防万一
在工作时间内,办公区应该正常访问DMZ区,生产区全天正常访问
3)配置访问外网的安全策略
条件:
生产区不允许访问互联网,办公区和游客区允许访问互联网
思路:
防火墙默认拒绝所有,所以生产区不用做,只放通办公区和游客区访问外网的untrust区域即可
因为要访问外网,需要再边界设备配置NAT,所以这块我们需要在防火墙做easy ip即可
实现:
安全策略:
NAT策略:
目的类型是按去哪区域和出接口都可以
测试:
4)配置办公区某设备对DMZ区的安全策略
条件:
办公区设备10.0.1.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
思路:
因为前面做了办公区对DMZ的所有都是放通,这里写的策略需要写在上面两条之前,
第一条策略:10.0.1.10到10.0.3.10仅放通icmp服务
第二条策略:10.0.1.10到DMZ区所有IP、服务都禁止
上面两条是逻辑最清晰的一条办法,还有别的办法也可以实现同样的效果,看自己
实现:
测试:
设备10.0.1.10应该只能ping通10.0.3.10,其他服务和其他设备均不能访问
5)配置用户和用户策略
条件:
办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,
5、生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123
首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
思路:
添加认证域,然后添加办公区以及用户
配置市场部的认证策略,
修改密码强度
实现:
创建认证域:
创建用户组和用户:
其他用户组以此类推
创建用户:
组织架构:
认证策略:
测试:
由于ensp软件原因,只能验证免认证和匿名认证,portal认证需要验证账号密码,ensp没有验证界面
6)配置管理员
条件:
创建一个自定义管理员,要求不能拥有系统管理功能
实现:
首先创建管理员角色,配置其权限
创建管理员账号,角色选择自定义管理员
测试:
可以明显看到选项变少,并且不能修改