实验拓扑
实验要求
1、DMz区内的服务器,办公区仅能在办公时间内(9: 00一18: 00)可以访问,生产区的设备全天可以访问.
2、生产区不允许访问互联网,办公区和游客区允许访问互联网
3、办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4、办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMz区使用免认证;游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123;游客仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10
5、生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码open1ab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
6、创建一个自定义管理员,要求不能拥有系统管理的功能
配置思路
1.先实现“全网互通”(把防火墙只当作路由器时能实现全网通,实际上因为防火墙的原因必须写上相应的策略才可通),配置ip,以及二层配置如在LSW1上配置vlan,防火墙设备G1/0/1设置子接口分别作为vlan2,vlan3的网关子接口。
2,通过web界面对防火墙进行一些策略的配置(包括安全策略,认证策略),先建接口,划分区域。
配置过程
(1)配置个设备的IP地址(略),配置vlan.
SW1:
[LSW1]inter g0/0/2
[LSW1-GigabitEthernet0/0/2]port link-type access
[LSW1-GigabitEthernet0/0/2]port default vlan 2
[LSW1]inter g0/0/3
[LSW1-GigabitEthernet0/0/3]port link-type access
[LSW1-GigabitEthernet0/0/3]port default vlan 3
[LSW1]inter g0/0/1
[LSW1-GigabitEthernet0/0/1]port link-type trunk
[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
FW1:
G0/0/0口配置IP地址,这里通过ENSP接入的云到本机的IP地址为192.168.100.10,所以给防火墙这里配置的是192.168.100.1
G1/0/0口:
G1/0/1创建子接口。办公区:
下面的的访问管理需要勾选ping选项
生产区:
G1/0/4口,游客区:
功能实现
1)DMz区内的服务器,办公区仅能在办公时间内(9: 00一18: 00)可以访问,生产区的设备全天可以访问。
办公区:
vlan id别设置,不然无法识别。
生产区:
2)生产区不允许访问互联网,办公区和游客区允许访问互联网
生产区:
办公区:
游客区:
3)办公区不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
仅能ping通10.0.3.10
10.0.2.10不许访问DMZ区的FTP服务器和HTTP服务器
验证:
4)办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网权限,门户网站地址为10.0.3.10
对象-->用户-->认证域-->新建
创建完之后这里会出现一个认证域,进去创建用户Open-->新建
先创用户组,再创各个部门,再创用户同时将用户加入对应的用户组这样方便以后的管理。
在open里创建用户组办公区和生产区
再创建办公区的市场部
市场部需要用户绑定IP地址,这里选双向绑定,该IP地址只能该用户登录
要求研发部IP地址固定,这里选单向绑定
访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证
新建认证策略:
市场部用户——>认征策略
修改认证:认证动作选择匿名认证
研发部用户——>认证策略
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网权限,网站地址为10.0.3.10
5)生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
设置首次登录需要修改密码