实验要求:
1. DMZ区内的服务器,办公区仅能在办公时间内(9:00 - 18:00)可以访问,生产区的设备全天可以访问.
2. 生产区不允许访问互联网,办公区和游客区允许访问互联网
3. 办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4. 办公区分为市场部和研发部,市场部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123
5. 生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
6. 创建一个自定义管理员,要求不能拥有系统管理的功能
7. 办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
8. 分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
9. 多出口环境基于带宽比例进行选路, 但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%
10. 分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
11. 游客区仅能通过移动链路访问互联网
12. 对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1
13. 办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M
14. 销售部保证email应用在办公时间至少可以使用10M的带宽,每个人至少1M
15. 移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分
16. 外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M
一.1. 办公区设备可以通过电信链路和移动链路上网
2. 配置电信网的地址池
二、分公司访问总公司http服务器
1. 新建服务器映射NAT在FW1防火墙上配置外网能通过电信访问DMZ区的HTTP服务器
2. 在FW1防火墙上配置外网能通过移动 访问DMZ区的HTTP服务器
3、在FW2上配置安全策略,使得分公司可以访问外网
4、FW2上创建NAT策略
5、在FW1上创建http到电信和移动的安全策略
6、在FW1上做一条NAT策略
三、多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
1、新建电信和移动的链路接口并选源进源出
2、配置全局选路策略并选择开启源IP会话保持
3、对移动和电信的接口开启链路开启过载保护
4. 办公区中10.0.2.10该设备只能通过电信的链路访问互联网
四. 分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器
1、新建目标NAT的地址池
2. 新建NAT策略与安全策略
3. 私网访问需要作双向NAT策略
四、游客区仅能通过移动链路访问互联网
1、新建源NAT策略并放通游客区发往公网的流量
2. 新建一个仅能通过移动链路访问互联网策略路由
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
