1,DMZ区内的服务器,办公区仅能在办公时间内(9:00 - 18:00)可以访问,生产区的设备全天可以访问.
2,生产区不允许访问互联网,办公区和游客区允许访问互联网
3,办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4,办公区分为市场部和研发部,市场部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123
5,生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
6,创建一个自定义管理员,要求不能拥有系统管理的功能7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
9,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
11,游客区仅能通过移动链路访问互联网
-
FW1:
FW2:同上,区别:IP ADD 192.168.37.2 24
LSW7
配置PC等,(没及时保存草稿有些图没了,但是很简单,拓扑图上已经标出ip或网段了)
配接口:(注意先新建安全区域SC,YK,DX,BG)
注意G1/0/3接口,需要新建:
配完接口后都勾选ping
-
DMZ区访问控制:
配置时间对象限定办公区的访问时间为9:00至18:00。
- 使用ACL定义办公区和生产区的IP范围。
- 在防火墙策略中允许生产区全天访问DMZ区,办公区按时间段访问DMZ区。
-
其中
-
互联网访问权限:
- 创建ACL分别定义生产区、办公区和游客区的IP地址段。
- 设置安全策略允许办公区和游客区访问互联网,拒绝生产区访问互联网
-
-
特定设备访问限制:
- 为IP地址10.0.2.10配置特殊策略,仅允许ICMP协议访问10.0.3.10,禁止访问DMZ区的FTP和HTTP服务。
-
-
部门访问权限及认证:
-
- 为市场部和研发部分别配置不同的用户组和认证方式。
- 市场部采用匿名认证,研发部采用IP绑定的免认证方式。
- 配置Guest用户供游客区使用,并设定密码。
-
游客访问dmz和生产区
创建生产区用户组及安全策略
设置认证
-
生产区访问DMZ区认证:
- 实施portal认证,为生产区建立用户组织结构,包括至少三个部门,每个部门三个用户。
- 设置统一密码和首次登录强制修改密码的策略,设定用户过期时间为10天。
-
创建管理员
- 测试
-
-
多链路上网与NAT配置:FW2
- FW1:
-
- 配置双出口NAT策略,确保电信和移动链路同时可用。
- 保留一个公网IP不参与NAT转换。
需要新建安全策略
-
分公司访问DMZ区:
- 确保分公司网络可以通过总公司的两条链路访问DMZ区的HTTP服务器。
- 确保分公司网络可以通过总公司的两条链路访问DMZ区的HTTP服务器。
-
游客区访问限制:
- 设置策略确保游客区只能通过移动链路访问互联网。