目录
一、实验拓扑图
二、实验要求:
1、DMZ区的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区设备全天都是可以访问的
2、生产区不允许访问互联网,办公区和游客区允许访问互联网
3、办公区设备10.0.2.20不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4、办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权利,门户网站地址10.0.3.10
5、生产区访问DMZ区时,需要进行protal认证,设立生产区用户架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,
首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
6、创建一个自定义管理员,要求不能拥有系统管理的功能
【前六个要求已经实现,需要查看请前往】http://t.csdnimg.cn/H4gGO编辑http://实验要求前6条
http://xn--6-wg8a39zgimm2fq92cu6ya/
7、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
8、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
9、多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
10、分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
11、游客区仅能通过移动链路访问互联网
【要求7-11已完成,需要查看请前往下面的网址】http://t.csdnimg.cn/VO4mI编辑http://xn--7-11-4u6i726lhttp://xn--7-11-4u6i726l/
12,对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1
13,办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M
14,销售部保证email应用在办公时间至少可以使用10M的带宽,每个人至少1M
15,移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分
16,外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。
【要求12-16已完成,需要查看请前往下面的网址】
http://t.csdnimg.cn/le7CZhttp://t.csdnimg.cn/le7CZ【本篇博客是完成要求17-19】
17,假设内网用户需要通过外网的web服务器和pop3邮件服务器下载文件和邮件,内网的FTP服务器也需要接受外网用户上传的文件。针对该场景进行防病毒的防护。
18,我们需要针对办公区用户进行上网行为管理,要求进行URL过滤,要求在上班时间仅能访问教育/科研类,搜索/门户类网站,以及一个www.example.com/working相关URL都可以访问。其余都不允许访问。
19,通过DNS过滤,实现办公区仅能使用一个域名访问公网的HTTP服务器,另一个不行
三、实验思路
1、对于相关的服务器进行病毒防护
2、对办公区用户进行一个上网行为管理做URL过滤
3、对办公区进行DNS的过滤
四、实验步骤:
1、病毒查杀:
也可以根据相应的情况,做应用例外和病毒例外。
2、URL过滤
3、DNS过滤
1199
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
