防火墙安全策略综合实验

(我搭建的拓扑图） 

第一步  基础配置

还是如其他的实验一样配置IP地址，因为这次实验防火墙使用的使路由模式，所以需要配置防火墙接口IP，通过环回网卡与云，实现带内管理，直接在电脑浏览器上登录防火墙。在网络模块配置好IP地址（互联网的两个接口需要配置网关地址，接口需要勾选ping，否则以后无法测试）

 个人建议在配置IP地址前在对象模块中的地址组中配置每个区域的IP地址，在网络的安全区域中配置好安全区域，以便以后的操作。至此第一步完成。

第二步 编写安全策略

为实现条件一，使办公区只能在规定时间内访问DMZ区域，生产区全天可以访问。需要编写两条策略。在策略模块中新建策略

 至此条件一实现。

而条件二，生产区不能访问互联网，办公区与游客区允许访问互联网，则需要为生产区编写一条拒绝策略，办公区与游客区编写允许策略但仅此还不能够访问到互联网，还需要在防火墙上配置NAT策略

到此实现了条件二。 

 此时条件三需要做的安全测略，为拒绝10.10.2.10访问10.10.3.10的FTP服务器与http服务器，所以不同之前，要将ftp、tftp、http、https服务禁止掉，而且还需要将这条策略移动到最前面，至少要在条件一中的BG允许策略之前，防止被它先匹配到。（因为安全策略是自上而下匹配）

 至此条件二完成。

 条件四中需要编写拒绝游客区访问生产区域办公区，只能访问门户网站10.10.3.10的安全策略

但由于没有允许访问这两个区域的有关策略，所以拒绝可以交给默认策略来做，只编写允许访问10.10.3.10的策略就可以。（但这种行为是存在安全风险的因为你不知道以后又没有相关的允许策略，一旦大意就出现了漏洞，拒绝策略应该在允许策略下面）

五、六中没有安全策略，至此安全策略配置完成。

第三步 编写用户组与用户以及认证策略

在对象的用户模块中先创建一个用户域，然后基于域创建各个用户组

然后开始创建用户，在条件四中要求有研发组域市场组，我在研发组域市场组下各创建了一个用户 

 然后为游客区与生产区创造用户

使用同样的方法三次将生产区三个部门下的人全部创建完毕。然后开始编写认证策略

第一个研发部门匿名认证访问DMZ区

市场部门免认证访问DMZ区

第四个条件完成

最后一个，生产区Portal认证访问DMZ区以及第一次登录必须改密码，（时间限制在创建用户时设置）

第四步 创建自定义管理员 

在系统的管理员模块进行创建，由于没有系统管理权限，所以系统只给看的权限

然后再管理员模块进行创建登录账号即可。至此全部完成。