拓扑图如上
1、DMZ区内的服务器,办公区仅能在办公时间内(9: 00- 18:00)可以访问,生产区的设备全天可以访问
2、生产区不允许访问互联网,办公区和游客区允许访问互联网
3、办公区设备10.0.2.10不允许访问DMZ区FIP服务器和HTTP服务器,仅能ping通10.0.3.10
4、办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证;
5、游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门互网站和上网的权限,门互网站地址10.0.3.10
6、生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门有三个用户,用户同一密码openlab123.首次登陆需要修改密码,用户过期时间设定为10天,用户不允许多人使用
6,创建一个自定义管理员,要求不能拥有系统管理的功能
策略要求如上
实验步骤:
首先配置vlan 命令较为简单 不做过多展示
防火墙配置:
ip:
安全区域创建:
配置子接口 由于防火墙为单臂形式 需要配置子接口
vlan2对应1.0网段
vlan3对应2.0网段
测试连通性:
测试网关
测试服务器连通性
## 1.配置策略 要求办公区仅在办公时间内能访问
配置策略
生产区设备全天访问
这里不进行时间的划分默认为全天
## 2.办公区不允许访问dmz 区域的ftp http服务器
测试连通性:
此时只能访问10.0.3.10
## 3.设定认证策略
办公区 市场部 研发部
研发部ip固定 访问dmz区域时 采取匿名认证
市场部免认证 使用ip绑定的方式认证
游客区域:
游客区 用户不固定 采取认证方式 使用同一账户guest登录
定义guest用户:
用户只能访问门户网站
生产区配置:
生产区架构:
配置认证方式
接下来只需要添加用户即可使用
最后是创建一个自定义管理员 要求不能管理系统
创建管理员:
完成实验