实验1 —— 安全策略的练习

已于 2024-07-13 21:58:05 修改
阅读量683 收藏 11
点赞数 6
文章标签: 网络 服务器 linux
于 2024-07-11 01:34:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74543941/article/details/140337762
版权

目录:

实验拓扑图

实验要求

实验思路

实验步骤

1.给相关设备配置IP

cloud配置

​编辑防火墙配置

2.划分vlan,并将接口划入相应的vlan

3.登陆网址给防火墙配置  (https://192.168.100.12:8443)

3.1 防火墙接口划分

3.2 分别创建一个生产区(SC)和一个办公区(BG)

​编辑

3.写安全策略,实现要求

 A.办公区策略

​编辑B. 生产区策略

​编辑C.生产区不可访问互联网策略    -----  无需配置即可达到要求

D.办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和http服务器,仅能ping通10.0.3.10

a.写一条拒绝策略

​编辑

b.写一条允许ping的策略

4.在用户里面创建办公区、生产区、游客区

4.1创建部门

4.2 在游客区下面创建用户​编辑

4.3设置认证选项​编辑

4.4 由于市场部是匿名认证,所以不需要再创建用户;但是研发部是免认证,是需要创建用户,进行双向绑定的;

​编辑

​编辑

当其他的人来访问的时候通过市场部来登录;

关于市场部的认证策略:

​编辑

关于研发部的认证策略:

​编辑

4.5 生产区下创建三个部门以及每个部门创建三个用户

​编辑

​编辑.​编辑

​编辑

​编辑

​编辑

5.创建管理员

​编辑

6.验证:

实验拓扑图

实验要求

1,DMZ区内的服务器,办公区仅能在办公时间内(9:00 - 18:00)可以访问,生产区的设备全天可以访问.
2,生产区不允许访问互联网,办公区和游客区允许访问互联网
3,办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4,办公区分为市场部和研发部,市场部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123
5,生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次
登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
6,创建一个自定义管理员,要求不能拥有系统管理的功能

实验思路

1.给设备配置IP,创建一个测试以太网,给cloud增加端口,并给防火墙配置(开启所有允许服务、修改登录密码)
2.划分vlan
3.给防火墙接口配置
4.按要求创建openlab区域:办公区、生产区、游客区;并设置相应的认证和权限
                  |
               (市场部、研发部--IP地址固定)
5.写安全策略,实现要求
6.按要求创建一个管理员

实验步骤

1.给相关设备配置IP

cloud配置
防火墙配置

[USG6000V1-GigabitEthernet0/0/0]service-manage all permit  ---- 放通所有

2.划分vlan,并将接口划入相应的vlan

[sw7]vlan batch 2 3

[sw7-GigabitEthernet0/0/2]port link-type access

[sw7-GigabitEthernet0/0/2]port default vlan 2

[sw7-GigabitEthernet0/0/2]int g 0/0/3

[sw7-GigabitEthernet0/0/3]port link-type access

[sw7-GigabitEthernet0/0/3]port default vlan 3

[sw7-GigabitEthernet0/0/1]interface GigabitEthernet0/0/1

[sw7-GigabitEthernet0/0/1]port link-type trunk

[sw7-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3

[sw7-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1      -----  尽量把不相关的vlan都禁掉

3.登陆网址给防火墙配置  (https://192.168.100.12:8443)

分析:由图可以看出,防火墙的G1/0/0是连接的DMZ区,G1/0/3连接的内网,内网有两个区,所以我们使用子接口。

3.1 防火墙接口划分

G1/0/0:

G1/0/3

划分结果

3.2 分别创建一个生产区(SC)和一个办公区(BG)

3.写安全策略,实现要求

 A.办公区策略
B. 生产区策略
C.生产区不可访问互联网策略    -----  无需配置即可达到要求
D.办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和http服务器,仅能ping通10.0.3.10
a.写一条拒绝策略
b.写一条允许ping的策略

测试结果

4.在用户里面创建办公区、生产区、游客区

并按要求在办公区下面创建研发部市场部

4.1创建部门

办公区:

生产区:

游客区:

在办公区下面创建研发部和市场部

注意不要勾选允许多人使用!

4.2 在游客区下面创建用户
4.3设置认证选项
4.4 由于市场部是匿名认证,所以不需要再创建用户;但是研发部是免认证,是需要创建用户,进行双向绑定的;
当其他的人来访问的时候通过市场部来登录;
关于市场部的认证策略:
关于研发部的认证策略:
4.5 生产区下创建三个部门以及每个部门创建三个用户
.

创建用户:

5.创建管理员

创建一个角色:

创建管理员:

 

6.验证:

生产区访问DMZ需要使用portal认证,由于没有界面,所以出现未加载的情况。

办公区中的10.0.2.10只能ping通10.0.3.10

实验完成!!

不爱编程的辣椒
关注
  • 6
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
计算机网络实验三—— Cisco Packet Tracer 实验
qq_46580518的博客
12-26 7716
本部分实验共有 15 个,需使用 Cisco Packet Tracer 软件完成。 请大家先了解 VLSM、CIDR、RIP、OSPF、VLAN、STP、NAT 及 DHCP 等概念,以能够进行网络规划和配置。 Cisco Packet Tracer 系列视频 Cisco Packet Tracer 实验教程 CPT 软件使用简介 请使用上面的参考链接 1 ,了解和熟悉 CPT 软件的使用。 直接连接两台 PC 构建 LAN 将两台 PC 直接连接构成一个网络。注意:直接连接需使用交叉线。 进行两台
操作系统实验二——银行家算法
08-29
银行家算法就是为了防止这种情况而提出的一种策略,尤其在多任务并发环境下,资源的有效分配显得尤为重要。该算法的精髓在于预先分配资源,以确保系统始终能处于安全状态,即无论进程如何请求资源,系统总能找到一种...
ACL网络安全配置实验——EVE-NG
peng_2580的博客
04-18 442
访问控制列表(Access Control List,ACL)是控制网络访问的一种有利的工具。所谓ACL就是一种配置脚本,它根据从数据包包头中发现的信息(源地址、目的地址、源端口、目的端口和协议等)来控制路由器应该允许还是拒绝数据包通过,从而达到访问控制的目的。下面通过实验举例进一步了解ACL。
网络安全设备配置练习题1
难办就别办的博客
04-20 4746
一. 单选题(共272题,136) 1.(单选题, 5分)如图所示,客户端A和服务器B之间建立TCP连接,图中两处“?”报文序号应该是下列哪项? A. a+1:a B. a:a+1 C. b+1:b D. a+1:a+1 正确答案:D:a+1:a+1; 2.(单选题, 5分)如图所示为配置 NAT Server 后生成的两条 Server Map 表项,关于该图所呈现的信息,以下哪项描述是错误的?[单选题]*Type: Nat Server. ANY→1.1.1.1[19
Pikachu靶场练习——CSRF
young的博客
09-09 2223
Pikachu靶场练习——CSRF
防火墙练习实验
weixin_75189493的博客
07-11 580
1、DMZ区内的服务器,办公区仅能在办公时间内9:00-18:00)可以访问,生产区的设备全天可以访问;2、生产区不允许访问互联网,办公区和游客区允许访问互联网;3、办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10;4、办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证;
网络安全练习
weixin_51320173的博客
06-10 830
协议:网络协议的简称,网络协议是通信计算机双方必须共同遵从的一组约定。为了使数据在网络上从源到达目的,网络通信的参与方必须遵循相同的规则,这套规则称为协议(protocol)。TCP/IP协议:Transmission Control Protocol/Internet Protocol,传输控制协议/网际协议。是目前使用最广泛的通信协议的集合,包括大量的Internet应用中的标准协议,支持跨网络架构,跨操作系统平台的数据通信。将一台物理计算机虚拟为多台逻辑计算机。
计算机网络实验——Cisco Packet Tracer 实验
热门推荐
Tosharapova的博客
12-24 1万+
文章目录Cisco Packet Tracer 实验一、直接连接两台 PC 构建 LAN二、 Cisco Packet Tracer 实验 本部分实验共有 15 个,需使用 Cisco Packet Tracer 软件完成。 一、直接连接两台 PC 构建 LAN 将两台 PC 直接连接构成一个网络。注意:直接连接需使用交叉线。 进行两台 PC 的基本网络配置,只需要配置 IP 地址即可,然后相互 ping 通即成功。 二、 ...
Pikachu漏洞练习平台实验——XSS(二)
dishan4749253的博客
09-21 2555
概述 反射型XSS(get) XSS案例:盗取Cookie 反射型XSS(post) 存储型XSS XSS案例:钓鱼攻击 XSS案例:键盘记录 DOM型XSS DOM型XSS-X XSS之盲打 XSS之过滤 XSS之htmlspecialchars XSS常见防范措施 XSS之href输出 XSS之js输出 XSS常见Payload ...
网络攻防技术】XSS攻击手实验——Cross-Site Scripting (XSS) Attack Lab
omniscience的博客
11-13 745
可以利用www.example60.com,image_www文件夹下的apache_csp.conf文件有这些网站的根目录信息,可以把代码保存在www.example60.com,让代码调用这个网站的JavaScript代码。self表示只允许从同一域名加载资源,*.example.com表示只允许加载该域名的子域名的资源,unsafe-inline允许内联脚本(一般指script标签的JS代码)、onclick等的执行。此任务的目标是发布一条包含JavaScript的恶意消息,以显示一个警报窗口。
Web安全实验环境——WebGoat
08-22
WebGoat是一个专门为网络安全教育设计的实验环境,它是一个开源的Web应用,旨在帮助学习者理解和防御各种Web应用程序安全漏洞。这个项目由OWASP(开放网络应用安全项目)发起,是一个广泛使用的教学平台,用于教授...
C语言实训——算法与编程实验
05-31
在"C语言实训——算法与编程实验"中,我们聚焦于使用C语言进行一系列核心的编程实践,这包括了几个关键的计算机科学概念和技术。以下是这些实训主题的详细讲解: 1. **算法与编程**:算法是解决问题或执行任务的...
重庆市铜梁县2017届高考物理二轮总复习专题十二必考电学实验增分策略练习含解析20180404369
09-10
本资料主要涉及的是高中物理电学实验中的几个关键知识点,特别是针对高考物理复习,特别是2017年重庆市铜梁县高考物理二轮复习中的必考实验——测绘小灯泡的伏安特性曲线。以下是这些知识点的详细说明: 1. **伏安...
system_programming:实验1,码头工人
04-02
不过,这里我们的主要焦点是第一个实验——"码头工人"。 在系统编程中,"Shell"标签提示我们这个实验可能与命令行接口(CLI)或者Shell脚本编程有关。Shell是用户与操作系统之间的一个接口,允许用户通过命令行执行...
从零开始做题:logtime
weixin_44626085的博客
07-10 248
给出1个pcapng文件。
vue2 实现原生 WebSocket
weixin_38797742的博客
07-11 291
原生WebSocket: new WebSocket。
Mac虚拟机跑Windows流畅吗 Mac虚拟机连不上网络怎么解决 mac虚拟机网速慢怎么解决
2401_82916694的博客
07-10 656
选择Shared模式,你的Mac会当作虚拟机的路由器。一般来说,拥有更高性能的Cpu(如Apple M2或M3芯片)、更大的内存(建议16GB以上)、以及足够的存储空间可以显著提升虚拟机中Windows的运行流畅度。Mac的防火墙或其他安全设置可能阻止虚拟机访问网络,如果你的Mac主机可以访问网络,并且排查了上文介绍的情况,那么可以尝试关闭Mac电脑防火墙,再检查虚拟机是否可以连接网络。使用Mac虚拟机运行Windows是否流畅,取决于几个关键因素:硬件配置、虚拟机软件的选择以及虚拟机的设置。
hmallox勒索病毒科普:了解其威胁与防御策略
最新发布
safe130_的博客
07-14 454
halo,.360,.faust,.2700, .eking,elbie, .wis,.mkp,.malox,.rmallox,.mallox,.hmallox, .anony, .ma1x0,.live,.carver,.locked,_locked,.locked1,.svh , lockbit, .src, .secret , .datah, .BEAST,.DevicData-P, .kat6.l6st6r 等等,:用户从非官方或不受信任的源下载软件时,可能会无意中安装带有勒索病毒的软件包。
软件安全实验二——pwn
09-12
你好!很高兴回答你的问题。关于软件安全实验二中的攻击方式Pwn,我可以为你提供一些基本的信息。Pwn是指通过利用软件漏洞来获取对计算机系统的控制权。在实验二中,你可能会学习和尝试使用缓冲区溢出漏洞、格式化字符串漏洞、堆溢出等技术来进行Pwn攻击。 缓冲区溢出是一种常见的Pwn攻击技术,它利用了程序在处理输入数据时没有正确限制长度的漏洞。通过向程序输入过长的数据,可以覆盖到程序运行时的内存空间中的其他重要数据,例如返回地址。通过修改返回地址,攻击者可以控制程序流程,执行恶意代码。 格式化字符串漏洞是另一种常见的Pwn攻击技术。它利用了C语言的格式化字符串函数(如printf、sprintf等)在处理格式化字符串时存在的安全问题。通过向程序输入特定格式的字符串,攻击者可以读取或修改内存中的数据,甚至执行任意代码。 堆溢出是利用堆内存管理中的漏洞进行攻击的一种技术。在使用动态分配内存时,如果没有正确地释放或管理内存,可能会导致堆溢出。通过在堆中溢出写入数据,攻击者可以修改关键数据结构,从而影响程序的执行逻辑。 以上只是Pwn攻击的一些基本概念,实际的Pwn攻击还涉及很多技术和细节。在进行任何Pwn攻击之前,请务必遵循法律和道德规范,并确保你在合法授权的环境中进行实验。 如果你有任何关于Pwn攻击或软件安全实验的具体问题,我会尽力为你解答。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值