防火墙实验拓扑如图所示:
实验要求:
1,DMZ区内的服务器,办公区仅能在办公时间内(9:00 - 18:00)可以访问,生产区的设备全天可以访问.
2,生产区不允许访问互联网,办公区和游客区允许访问互联网
3,办公区设备10.0.2.10不允许访问DMz区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4,办公区Ip地址固定,访问Dmz区使用匿名认证,游客区人员不固定,不允许访问DMz区和生产区,上网时需要进行匿名认证,通过游客组上线,
5. 生产区访问omz区时,需要进行protol认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123, 首次登录需要修改密码,用户过期时间设定为10天
6,创建一个自定义管理员,要求不能拥有系统管理的功能。
配置防火墙步骤:
- 接口Ip地址,区域划分
- 写内网的回报路由
- 安全策略
- 内到外的NAT
- 服务器的映射
注意:在这之前我们必须保证底层设备之间能相互通信所以在交换机上先进行vlan的划分。
LSW2:
[Huawei]vlan batch 2 3 //vlan的划分
[Huawei]int g 0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access //进入g0/0/2口把0/0/2口类型改成access类型
[Huawei-GigabitEthernet0/0/2]int g 0/0/3
[Huawei-GigabitEthernet0/0/3]prot link-type access//进入g0/0/3口把3口变成Access类型。
[Huawei-GigabitEthernet0/0/3]port default vlan 3///把3口划分给vlan3
[Huawei-GigabitEthernet0/0/3]int g 0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type trunk//进入0/1口把0/1口改成trunk类型。
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3该通道允许valn2和vlan3流量通过。
[Huawei-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1//把vlan1 的流量删除否则2 3 流量无法通过主干道。
配置好交换机的vlan以后在进入到防火墙进行IP地址的配置:
FW4:
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.100.2 24//进入主服务口将主服务口的IP地址配好
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit//开启所有服务
所有配置完成以后就可以进入网页进行配置:
找到g1/0/3接口进行配置:
同理可得g1/0/4接口也可以按上面步骤进行操作;
将g1/0/1口划分为DMZ区域;
然后再在安全区域创建两个区域分别是办公网络区域和生产网络区域,如图所示:
在主接口下配置俩个子接口如图所示:
同理可得生产区子接口也是如此:
做好以上操作以后自己检验一下同一个局域网是否能够数据通信,用ping 这个命令查看是否能够ping通网关。
同理可得办公区网络也是如此:
同理可得服务器也是如此;
然后我们将服务器做成一台HTTP服务器用办公区paid进行访问由于没有做策略所以不能进行访问。
进入策略板块进行配置针对办公区用户访问DMZ区服务器的策略:
创建好以后如图所示:
策略做好以后就可以访问HTTP服务器了
由于我是晚上做的所以就是访问失败原因不在策略时间内。
同理可得生产区原理一样呢的如图所示:
到这里第一条要求就已将完成了
针对生产区用户访问服务器创建策略:
进行验证:
再来访问3.10服务器不通说明我们策略成功了:
然后再增加一个paid访问服务器按理来说应该是不通的
这时候第三条要求已经完成了
按照顺序依次创建,办公区,生产区,游客区如图所示:
然后再在办公区下创建两个部门研发部和市场部:
在生产区下依次建立部门123如图所示:
然后再批量创建用户如图所示:
创建好所有的用户组和批量用户如图所示:
最后在把首次登录必须修改密码选上:
从研发部开始
依次创建三个认证策略如图所示:
对策略进行验证:
访问成功说明策略正确
创建一个管理员角色如图所示:
再创建一个管理员如图所示:
最后验证一下是否创建成功注销账号进行登录:
没有了管理员选项系统现在只能读不能写表示实验完成。
1189
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
