拓扑图:
实验要求:
1:
办公区工作时间(9.00-18.00)才可以访问
sever,生产区可以全天访问
2:
生产区不可以访问互联网,办公和访客区可以
3:办公设备client不可以访问
dmz1的ftp服务器
4:
办公设备ip固定,采用匿名认证,访客人员不固定,不可以访问DMZ和生产区也是匿名认证
5:
生产区访问DMZ时采用portal认证,设立生产用户组三个,密码为openlab123,初创要改密码,有效10天
6:自定义管理员但不拥有系统管理
实验分析:
1.防火墙对安全区域的时间段控制
2.防火墙对安全区域的访问限制
3.防火墙对安全区域的特定访问限制
4.防火墙的认证方式
5.用户人员的创建
实验步骤:
1.配置ip和cloud等配置
按照拓扑图配置我们的设备ip和交换机的VLAN
交换机4:
[Huawei-GigabitEthernet0/0/2]port link-type trunk
[Huawei-GigabitEthernet0/0/2]port trunk allow-pass vlan 2
现在对生产和办公两个区的交换机配置
生产:
[Huawei-GigabitEthernet0/0/2]port l a
[Huawei-GigabitEthernet0/0/2]p d v 2
办公:
[Huawei-GigabitEthernet0/0/1]p l t
[Huawei-GigabitEthernet0/0/1]p t a v 23
输入账号密码进入防火墙
G 0/0/0端口,配置ip和cloud连接的网卡ip 在同网段
cloud配置
现在给每个网段的服务器,客户端和主机配置上ip地址
server1:
在防火墙对应端口配上网关ip
使用[USG6000V1-GigabitEthernet1/0/0]service-manage all permit 放开服务器的服务
按照上述过程配置好所有终端
2.
通cloud进入防火墙的web配置界面开始配置
进入我们的
进入接口配置,配置我们两个VLAN区域的子接口设置子网关
并给上服务器一段的接口一别名设置DMZ区域方便管理
与此同时我们还要创建两个区划分给生产和办公区
在子接口的配置上选上各个区域
要求一:办公区工作时间(9.00-18.00)才可以访问
sever,生产区可以全天访问
我们现在进入策略>>安全策略里面限制时间
同时规范我们的策略名称
测试
更改为非工作时间测试
办公访问失败
生产访问成功
要求2:
生产区不可以访问互联网,办公和访客区可以
首先打开我们的防火墙为公网口配置IP
进入公网路由器配置IP
防火墙将公网接口配置为UNtrust区域(勾选ping服务方便测试)
进入策略前,先设置我们的生产组,访客组,办公组
3.办公设备client不可以访问dmz的ftp服务器
4:
办公设备ip固定,采用匿名认证,访客人员不固定,不可以访问DMZ和生产区,也是匿名认证
5:
生产区访问DMZ时采用portal认证,设立生产用户组三个,密码为openlab123,初创要改密码,有效10天
先新建一个company(后面将两个组分开创建 ,后面作为访客组)包含生产和办公组
再创建其办公和生产的子组
然后办公组(client IP固定采用双向向绑定):过期时间10天后
生产组同理,我们现在创建用户组的认证策略
生产组去DMZ区域要portal认证
并在认证配置处勾选初登录改密码
设置认证策略
将company基础上创建两个组,分别为生产部门和办公部门
将办公和生产用户调离过去
现在配置安全策略使得用户组分开管理
办公和访客
生产
我们在办公组的基础上再细分为两个用户
再次添加策略
勾选服务ftp
这里我们之前设置的办公组的,现在我们去company组配置访客区
tips:我们这里要把这个访客词条放到最下面,设置any 区域访问 any 区域都要匿名认证
记得设置不绑定
同样的到生产区也是![](https://i-blog.csdnimg.cn/direct/857b08d75bb946e9b89b4a2fee30b92d.png)
6:
自定义管理员但不拥有系统管理
设置为审计管理员
测试:
ftp:
启动服务器的ftp
使用被禁止的client连接
办公区正常不登录访问DMZ
生产区PC直接ping失败
查认证匹配出现命中