这里写目录标题
- 拓扑
- vlan的划分
- 三层设备的配置-LSW6
- 防火墙配置
- 将对应的接口配置相应的IP和划分到相应的区域中
- 需求分析与实现
- DMZ区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问
- 生产区不允许访问互联网,办公区和游客区允许访问互联网
- 办公区设备10.0.2.10不充许访问oMz区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
- 办公区分为市场部和研发部,研发部Ip地址固定,访问DMz区使用匿名认证,市场部需要用户绑定I地址,访问DMz区使用免认证;游客区人员不固定,不允许访问DMz区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站是10.0.3.10
- 生产区访问DMz区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
- 创建一个自定义管理员,不能拥有系统管理的功能
拓扑
vlan的划分
名称 | 地址规划 | vlan划分 |
---|---|---|
游客区 | 10.0.0.0/24 | |
生产区 | 10.0.1.0/24 | 2 |
研发区 | 10.0.2.0/24 | 3 |
服务器区 | 10.0.3.0/24 | |
isp | 12.0.0.0/24,21.0.0.0/24 |
三层设备的配置-LSW6
vlan的创建和划分
vlan batch 2 to 3
port link-type trunk--进入和防火墙相连的接口将接口改为trunk
port trunk allow-pass vlan 2 to 3
port link-type access--进入与生产区相连的接口将此接口划分到对应vlan
port default vlan 2
port link-type access--进入与办公区相连的接口将此接口划分到对应vlan
port default vlan 3
防火墙配置
将对应的接口配置相应的IP和划分到相应的区域中
服务器区域
游客区域
使用子接口来管理办公区域和生产区域
创建两个安全区域对应办公和市场
1.办公
2.市场
创建子接口对应相应的区域
1.生产区域
2.办公区域
isp
因为isp区域是属于外网将其划分到不信任区域合适
需求分析与实现
DMZ区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问
1.关于办公区到dmz策略编写
因为办公区域要在规定的时间里访问所以在时间段选项里设置work时间对应规定时间段
测试
2.关于办公区到dmz策略编写
测试
生产区不允许访问互联网,办公区和游客区允许访问互联网
分析
为防火墙是默认拒绝所有流量,所以默认情况下生产区访问不了互联网。只需要配置办公区和游客区对应的安全策略
1.办公区到互联网
2.游客区到互联网
办公区设备10.0.2.10不充许访问oMz区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
分析
在写策略的时候不写区域书写源地址和目标地址并且在服务选项选择ICMP协议
测试
办公区分为市场部和研发部,研发部Ip地址固定,访问DMz区使用匿名认证,市场部需要用户绑定I地址,访问DMz区使用免认证;游客区人员不固定,不允许访问DMz区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站是10.0.3.10
分析
研发部的IP地址固定可以在创建研发部的用户最后选择单向绑定,市场部需要用户绑定I地址,可以选择双向绑定
1.创建用户组
2.创建用户
认证策略
1.办公区域的研发部访问dmz
2.办公区域的市场部访问dmz
游客区域用户设置
游客访问门户10.0.3.10网站策略
游客访问互联网策略
生产区访问DMz区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
部门和用户的创建
设置账号不许多人使用
首次登录需要修改密码
认证策略
设置生产区到dmz区域的认证(protal)
创建一个自定义管理员,不能拥有系统管理的功能
进入到防火墙系统配置界面选择管理员配置选项。