eNSP防火墙安全策略用户认证综合实验

已于 2024-07-10 22:25:11 修改
阅读量498 收藏 17
点赞数 15
分类专栏: 防御 文章标签: 网络 网络协议 服务器 安全 网络安全
于 2024-07-10 21:31:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67441173/article/details/140298116
版权

一、实验拓扑图

二、实验要求

实验要求:
1、DMZ区内的服务器,生产区仅能在办公时间内(9:00-18:00)可以访问,办公区的设备全天可以访问
2、生产区不允许访问互联网,办公区和游客区允许访问互联网
3、办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4、办公区分为市场部和研发部,研发部ip地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定ip地址,访问DMZ区使用免认证。
       游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网权限,门户网站地址10.0.3.10
5、生产区访问DMZ区时,需要进行protal认证,建立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
6、创建一个自定义管理员,要求不能拥有系统管理的功能

三、实验步骤

1、更改防火墙相关配置

[USG6000V1-GigabitEthernet0/0/0]ip address 192.168.110.5 24
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit//暂时允许通过所有协议

2、交换机相关配置

//创建vlan 10 20
[Huawei]vlan batch 10 20
[Huawei]int g0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 10
[Huawei-GigabitEthernet0/0/3]port link-type access
[Huawei-GigabitEthernet0/0/3]port default vlan 10
[Huawei-GigabitEthernet0/0/1]port link-type trunk
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 //与防火墙直连的接口设置为trunk干道

目录

一、实验拓扑图

二、实验要求

三、实验步骤

1、更改防火墙相关配置

2、交换机相关配置

3、DMZ区内的服务器,生产区仅能在办公时间内(9:00-18:00)可以访问,办公区的设备全天可以访问

3、DMZ区内的服务器,生产区仅能在办公时间内(9:00-18:00)可以访问,办公区的设备全天可以访问

接口IP相应配置

安全策略配置

生产区到DMZ区域

办公区到DMZ区域

测试生产区和办公区的PC和Client是否能成功访问DMZ区域的服务器

4、生产区不允许访问互联网,办公区和游客区允许访问互联网

生产区不允许访问互联网的安全策略:互联网即使ISP的区域和分公司区,将他们都划进untrust区域

办公区和游客区允许访问互联网就将其允许即可

 5、办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10

10.0.2.10不能访问DMZ的两个服务器,即将10.0.2.10作为源地址,两个服务器的地址作为目标地址,然后将其HTTP和FTP相关协议拒绝即可,

但10.0.2.10仅能ping通10.0.3.10,即做一条策略将到目标地址的ping协议放过即可

注意:因为前面做了一个BG到DMZ的策略是将http、https、ftp、tftp、icmp协议都放过了,所以我们要对办公区的策略顺序进行调整,将到DMZ禁止访问服务器的策略放在第一,仅能ping的策略放在第二,匹配规则是逐一向下匹配,前面匹配了上了的协议就不会再往下匹配,这样就不受其他策略所影响了

测试Client能不能访问服务器,和是否能够ping通10.0.3.10

 6、办公区分为市场部和研发部,研发部ip地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定ip地址,访问DMZ区使用免认证。游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网权限,门户网站地10.0.3.10

6.1创建办公区部门

6.2研发部门的IP地址固定就是双向绑定

研发部到DMZ访问方式匿名认证,这里源IP是我们创建研发部用户的IP地址

测试

6.3市场部的用户只需要绑定一个相应的IP,即使单向绑定

市场部访问DMZ区是免认证方式,这里的源IP地址是市场部用户的IP地址

6.44游客区

6.4.1人员不固定,不绑定IP地址

6.3.2创建Guest用户,游客统一使用此账号进行登录互联网和DMZ区域

6.3.3游客区仅能访问互联网和公司网站10.0.3.10,其他都不能访问

6.4测试游客可以访问公司网站10.0.3.10,不能访问生产区

6.5测试游客区Guest用户可以访问生产区和DMZ区

7、生产区访问DMZ区时,需要进行protal认证,建立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用

7.1设置到DMZ的认证策略,认证方式是Portal

7.2建立用户架构,三个部门是研发部、销售部、宣传部,每个部门有三个用户

首次登录必须修改密码

 8、创建一个自定义管理员,要求不能拥有系统管理的功能

Hhmy
关注
  • 15
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略
JohnnyG2000的博客
05-18 1万+
防火墙综合实验一、实验要求1. 总部需要通过VPN与分支和合作伙伴进行通信2. 分支机构(Branch)员工使用NGFW接入总部。要求实现分支机构安全访问IPSec保护的总部内网服务器。3. 合作伙伴(Partner)使用NGFW接入总部。要求实训合作伙伴通过GRE隧道与总部进行通信。4. 所有的客户端可以通过公网IP地址来访问WEB服务器二、实验拓补三、实验配置1. 防火墙安全区域划分(包括Tunnel接口)2. 静态路由3. GRE配置4. IPSec VPN配置5. Easy-ip配置6. NAT S
防火墙安全策略用户认证综合实验
2201_75584091的博客
07-10 130
cloud相关配置:配置端口IP地址[USG6000V1-GigabitEthernet0/0/0]service-manage all permit vlan batch 10 20pprt link-type access port default vlan10
网络安全防御【防火墙安全策略用户认证综合实验
miss_copper的博客
07-10 737
先新建一个管理员角色(网络安全管理员):再新建一个管理员(用户名密码自拟):至此本实验全部结束!!!
eNSP综合实验合集(eNSP综合大作业合集)
热门推荐
m0_46179473的博客
12-12 16万+
该文章对eNSP综合实验做了一个汇总的归纳和总结,文章中包含了多个综合实验,可以自由的切换到相应的文章中进行查看
ENSP防火墙IP级综合性简单实验配置
qq_53108686的博客
10-02 1738
ENSP防火墙IP级综合性简单实验配置
eNSP综合实例:防火墙配置GRE over IPSec VPN 网页版
weixin_44611826的博客
04-20 3849
eNSP综合实例:防火墙配置GRE over IPSec VPN 网页版
ENSP综合实验
qq_50829760的博客
12-01 1124
1、总部出口配置napt,分支机构出口配置easy-ip以实现对外网的访问;2、使用点到点的IPSec VPN技术,实现总部与分部数据安全传输;3、在汇聚层交换机使用MSTP+VRRP技术实现负载均衡以及增加网络的可靠性;
基于eNSP+软考中级各类组网技术/综合实验
m0_46179473的博客
03-26 1万+
由于华为近几年在国内的市场越来越大,网络工程师中的组网技术的题目都由思科变为了华为,所以华为的设备还是有必要学习一下的了;由于本文章只提供,在设计过程中的关键技术与设计笔记(可根据以下所提供的设计与实现步骤一步一步自行实现(每一条命令都是关键的命令);但是如果有需要的也可以根据以下地址进行下载完整的topo图和完整的配置进行参考与借鉴 [配套资源:基于eNSP+软考中级各类组网技术/综合实验,网络规划topo图及其相应实验的配套软件.rar]
ENSP防火墙综合实验(一)
最新发布
adc8848nb的博客
07-10 150
5.生产部门访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户用户统一密码open1ab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用。4.办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证,游客区人员不固定,统一使用Guest用户登录,密码Admin@123,游客区人员不固定,统一使用Guest用户登录,密码Admin@123,生产区不允许访问互联网,
华为ensp防火墙镜像包
03-11
华为ensp防火墙镜像包
华为防火墙安全策略基础
09-16
安全策略基础
ensp防火墙USG6000v
02-04
eNSP里面的防火墙USG6000v可用版本,解决eNSP防火墙USG6000v为beta版的问题 适合刚入手学习eNSP及其防火墙配置的实验 亲测可配置云、nat、IP v6过渡技术、VRRP、隧道等技术
防火墙基础配置1_ensp防火墙配置_ensp华为防火墙配置_
09-29
这是我自己制作的关于ensp防火墙的基本配置文件
防火墙期末设计大作业(ensp)
08-09
企业网可通过IPsec VPN在公网上为三个甚至三个异地私有网络提供安全通信通道,通过加密通道保证连接的安全性,此时内部的服务器仅对认可的用户开放服务,大大的提高了网络的扩展性、便捷性与安全性。 北京总部部署...
Iperf基本用法
peterhunter0320的博客
07-04 340
Iperf支持TCP和UDP协议,可以用于点对点或客户端-服务器等模式的网络测试。在Windows系统中,您可以下载Iperf的预编译版本,并将其解压到任意文件夹中。以上是Iperf的一些基本用法,您可以根据实际需要调整各种参数来满足不同的测试需求。更多详细的使用方法和参数,您可以通过运行iperf3 -h命令来查看帮助文档。在Linux系统中,您可以使用包管理器安装Iperf。Iperf的使用非常灵活,可以通过命令行参数来调整测试的各种参数。iperf3 -c <服务器IP地址> -u -b 10M。
Zabbix自动发现
Lzcsfg的博客
07-08 518
在 Zabbix 中,自动发现(Auto Discovery)是一种强大的功能,用于自动识别和监控网络设备、服务或应用程序中的动态变化。通过自动发现功能,Zabbix 可以自动添加、配置和监控新的网络节点或服务,大大简化了管理和监控大规模环境的复杂性。
基于STM32设计的管道有害气体检测装置(ESP8266局域网)176
07-06 378
基于STM32设计的管道有害气体检测装置采用了一系列先进的传感器技术,针对多种有害气体进行检测,通过实时监测烟雾浓度、甲烷、一氧化碳、甲醛等有害气体的浓度以及温湿度等参数,并通过OLED显示和ESP8266上传数据至手机端,可以使相关工作人员及时了解管道环境的情况,采取相应的控制和调节措施,从而保障工作人员和公众的健康与安全。 为了确保传感器正常工作和数据的准确性,装置还引入了温湿度检测机制,因为气体传感器的性能受温湿度影响较大,适宜的温度和湿度条件能够确保传感器的稳定工作和数据准确性。
RedHat运维-LinuxSELinux基础4-端口绑定SELinux上下文
a15735748145a的博客
07-06 627
12. 将60001/tcp端口上的SELinux上下文由http_port_t调整为gopher_port_t的方法是______________________;13. 将60002/tcp端口上的SELinux上下文由gopher_port_t调整为ssh_port_t的方法是______________________;14. 将60003/tcp端口上的SELinux上下文由ssh_port_t调整为http_port_t的方法是_______________________;
设置无标题 android
05-02
在Android应用中,设置无标题是一种简洁和美观的设计方式,可以为用户提供更流畅的使用体验。以下是一些实现设置无标题的方法: 1. 在Android的Manifest文件中,找到对应Activity的标签,并添加”android:theme="@android:style/Theme.NoTitleBar"“属性。这样可以通过Android自带的主题去掉标题栏。 2. 使用自定义的主题,可以在样式表中添加以下代码: <style name="AppTheme" parent="Theme.AppCompat.NoActionBar"> <!-- ...其他样式... --> </style> 这种方式可以通过设置主题去除ActionBar和标题栏,同时保留其他布局元素。 3. 去掉代码中的setTitle()方法,这是一种最简单的方法,通过不设置Activity的标题来实现无标题。 以上就是三种常见的实现Android无标题的方式,开发者可以根据实际需求进行选择。值得注意的是,去除标题栏可能会影响用户的导航体验,因此在设计上需要考虑周全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值