防火墙区域策略与用户管理，NAT智能选路，

实验要求

1，DMZ区内的服务器，办公区仅能在办公时间内（9：00 - 18：00）可以访问，生产区的设备全天可以访问.
2，生产区不允许访问互联网，办公区和游客区允许访问互联网
3，办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器，仅能ping通10.0.3.10
4，办公区分为市场部和研发部，市场部IP地址固定，访问DMZ区使用匿名认证，研发部需要用户绑定IP地址，访问DMZ区使用免认证；
游客区人员不固定，不允许访问DMZ区和生产区，统一使用Guest用户登录，密码Admin@123
5，生产区访问DMZ区时，需要进行protal认证，设立生产区用户组织架构，至少包含三个部门，每个部门三个用户，用户统一密码openlab123，首次
登录需要修改密码，用户过期时间设定为10天,用户不允许多人使用
6，创建一个自定义管理员，要求不能拥有系统管理的功能7，办公区设备可以通过电信链路和移动链路上网(多对多的NAT，并且需要保留一个公网IP不能用来转换)
8，分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
9，多出口环境基于带宽比例进行选路，但是，办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护，保护阈值80%；
10，分公司内部的客户端可以通过域名访问到内部的服务器，公网设备也可以通过域名访问到分公司内部服务器；
11，游客区仅能通过移动链路访问互联网12，对现有网络进行改造升级，将当个防火墙组网改成双机热备的组网形式，做负载分担模式，游客区和DMZ区走FW3，生产区和办公区的流量走FW1
13，办公区上网用户限制流量不超过100M，其中销售部人员在其基础上限制流量不超过60M，且销售部一共10人，每人限制流量不超过6M
14，销售部保证email应用在办公时间至少可以使用10M的带宽，每个人至少1M
15，移动链路采用的是100M的带宽，要求游客区用户仅能占用50M，并且基于在线地址进行动态均分
16，外网访问内网服务器，下行流量不超过40M，DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。

一、防火墙区域策略与用户管理

交换机与防火墙接口的配置

LSW7交换机配置vlan，其中生产区在vlan2，办公区在vlan3.防火墙在G1/0/3上配置子接口分别实现管理

交换机

防火墙接口配置

        防火墙G1/0/1配置子接口

防火墙关于DMZ区域的接口G1/0/2

防火墙关于游客区的接口G1/0/4

防火墙关于ISP的接口G1/0/0

防火墙策略建立

   1.新建区域

   2.策略建立

 办公区访问DMZ

生产区访问DMZ

游客区只能访问门户网站10.0.3.10

针对单个IP10.0.2.10的策略

防火墙用户创建与管理

        办公区用户与组的创建

               1、 办公区的市场部和研发部用户

              2、  针对市场部和研发部的策略

  游客区用户和组的创建

生产区用户与组的创建

               1、 批量创建生产区车间1的用户（车间2，3同理）

   2、生产区的用户策略

最终整体结构图

   设置登录

系统用户创建

        1、设置身份（不选系统相关权限）

2、新建用户身份选择刚刚建立的管理员

二、nat技术与智能选路

 nat实验思路

一、办公区设备可以通过电信链路和移动链路上网(多对多的NAT，并且需要保留一个公网IP不能用来转换)
第一步：找到NAT策略，新建NT策略表，
第二步：新建NAT策略如下表，BG区是之前已经配置好的10.0.2.0/24网段，“666”是自创地址池，点配置可进行设置，创建地址池12.0.0.5-12.0.0.7，勾选配置黑洞路由，勾选允许接口地址转换，随意保留一位地址池内的地址，点击确定，

第三步：点击新建安全策略，自动生成安全策略即可，
第四步：回到ensp上进行ping测试,
二、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
第一步：登录分公司防火墙，做分公司到公网的NAT（前提条件，每个接口的IP地址先配好）
测试一下能否ping通12.0.0.1（电信）和21.0.0.1（移动）：

第二步：登录总公司防火墙，配置公网到DMZ区http服务器的端对端NAT转换，
配置可通过电信（12.0.0.0/24）链路访问10.0.3.19的http服务器的nat配置可通过移动链路（21.0.0.0/24）访问10.0.3.20

第三步：通过分公司区域内设备访问总公司DMZ区的http服务器来查看会话表进行验证，
三、多出口环境基于带宽比例进行选路，但是，办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护，保护阈值80%
第一步：登录总公司防火墙，找到网络-路由-智能选路-全局选路策略，点击配置
第二步：选择根据链路带宽负载分担，创建电信和移动链路接口，只展示电信的，移动的以此类推，
第三步：要实现10.0.2.10智能通过电信访问互联网，需要写一个策略路由，先找到“策略路由”栏，然后进行配置，

第四步：到接口栏对接口配置过载保护阈值，
四、分公司内部的客户端可以通过域名访问到内部的服务器，公网设备也可以通过域名访问到分公司内部服务器
第一步：启动分公司防火墙，将公网和分公司内部服务器做个端到端的目标NA
第二步：将分公司内部设备和内部服务器做一个“源地址和目标地址同时转换”，以防火墙为媒介来传递信息，保证内部设备能够通过域名正常访问内部设备，由于是内部到内部，可不做安全策略，
第三步：配置100.0.0.0/24网段的域名服务器，将公网客户端，分公司客户端，总公司客户端填上域名信息，启动分公司内部http服务器，进行测试（记得点保存，服务器最后一起启动）
五、游客区仅能通过移动链路访问互联网
第一步：登录总公司防火墙，给游客区到移动区配置easy ip NAT
第二步：进行测试，游客区到公网，会话表中只会出现移动链路，不会出现电信链路