防御保护课程综合练习

已于 2025-02-11 01:09:20 修改
阅读量294 收藏 4
点赞数 3
文章标签: 网络安全 安全防御
于 2025-02-11 01:08:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_74874800/article/details/145559725
版权

在这里插入图片描述
一、拓扑
在这里插入图片描述二、需求分析+实验步骤

****需求一:根据表格,完成配置****

在这里插入图片描述
接口配置IP

sw2:

sys

vlan 10
vlan 20 

int g 0/0/2
port link-type access
port default vlan 10

int g 0/0/3
port link-type access
port default vlan 20
int g 0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20

需求二:配置DHCP
在这里插入图片描述

FW:


ip pool dhcp-a

gateway-list 172.16.1.254
network 172.16.1.0 mask 255.255.255.0
excluded-ip-address 172.16.1.90 172.16.1.100  # 排除Client1和Client2的静态IP
dns-list 10.0.0.30

ip pool dhcp-b
gateway-list 172.16.2.254
network 172.16.2.0 mask 255.255.255.0
excluded-ip-address 172.16.2.100  # 排除PC1的静态IP
dns-list 10.0.0.30


dhcp enable


interface GigabitEthernet 1/0/1.1
dhcp select global

interface GigabitEthernet 1/0/1.2
dhcp select global

需求三:配置防火墙安全区域
在这里插入图片描述

FW

# 分配区域设置优先级
firewall zone name Trust_A
set priority 70
add interface GigabitEthernet 1/0/1

firewall zone name Trust_B
set priority 80
add interface GigabitEthernet 1/0/1.2

firewall zone name DMZ
 add interface GigabitEthernet 1/0/0

firewall zone name Untrust
 add interface GigabitEthernet 1/0/2

需求四:配置地址组
在这里插入图片描述

FW:

# DMZ服务器地址组
ip address-set DMZ_Server type object
 address 10.0.0.10 32 name OA_Server
 address 10.0.0.20 32 name Web_Server
 address 10.0.0.30 32 name DNS_Server

# 部门A和B的地址组
ip address-set Trust_A_address type object
 address 172.16.1.90 32 name Client1
 address 172.16.1.100 32 name Client2
 address range 172.16.1.1 172.16.1.254 exclude 172.16.1.90 172.16.1.100 name Client3

ip address-set Trust_B_address type object
 address 172.16.2.100 32 name PC1
 address range 172.16.2.1 172.16.2.254 exclude 172.16.2.100 name PC2

需求五:配置管理员
在这里插入图片描述

FW:

# 创建本地用户vtyadmin
local-user vtyadmin class manage
 password cipher admin@123
 service-type telnet
 authorization-role service-admin

# 配置VTY登录权限
user-interface vty 0 4
 authentication-mode aaa
 protocol inbound telnet
 acl 2000  # 限制源IP为172.16.1.0/24

需求六:用户认证
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

FW

1、 创建认证域openlab
aaa
 domain openlab
  authentication-scheme portal
  authorization-scheme default
  accounting-scheme default

2、 创建用户组
user-group /openlab/A name A
user-group /openlab/B name B
user-group /openlab/A/manager name manager
user-group /openlab/A/DevOps name DevOps
user-group /openlab/A/FD name FD
user-group /openlab/B/TD name TD
user-group /openlab/B/MD name MD

3、用户配置
高管
```bash
local-user user_001 class network
 password cipher admin@123  # 设置密码
 service-type portal        # 允许Portal认证
 group /openlab/A/manager   # 分配到manager组
 bind ip 172.16.1.90 mac <Client1_MAC>  # 绑定IP和MAC地址(替换为实际MAC)
 force-change-password enable  # 首次登录需修改密码
 quit

运维

local-user DevOps_001 class network
 password cipher admin@123  
 service-type portal        
 group /openlab/A/DevOps    # 分配到DevOps组
 force-change-password enable

财务

local-user FD_001 class network
 password cipher admin@123  
 service-type portal        
 group /openlab/A/FD        # 分配到FD组
 bind ip 172.16.1.100 mac <Client2_MAC>  
 force-change-password enable

技术

local-user TD_001 class network
 password cipher admin@123  
 service-type portal        
 group /openlab/B/TD        # 分配到TD组
 force-change-password enable  


local-user TD_002 class network
 password cipher admin@123
 service-type portal
 group /openlab/B/TD
 force-change-password enable


local-user TD_003 class network
 password cipher admin@123
 service-type portal
 group /openlab/B/TD
 force-change-password enable

市场

local-user MD_001 class network
 password cipher admin@123  # 设置密码
 service-type portal        # 允许Portal认证
 group /openlab/B/MD        # 分配到MD组
 force-change-password enable  # 首次登录需修改密码
 account-expire 10          # 账号过期时间为10天


local-user MD_002 class network
 password cipher admin@123
 service-type portal
 group /openlab/B/MD
 force-change-password enable
 account-expire 10


local-user MD_003 class network
 password cipher admin@123
 service-type portal
 group /openlab/B/MD
 force-change-password enable
 account-expire 10


local-user MD_004 class network
 password cipher admin@123
 service-type portal
 group /openlab/B/MD
 force-change-password enable
 account-expire 10


local-user MD_005 class network
 password cipher admin@123
 service-type portal
 group /openlab/B/MD
 force-change-password enable
 account-expire 10

4、配置用户策略
高管免认证

security-policy
 rule name policy_auth_01
  source-zone Trust_A
  destination-zone any
  source-address 172.16.1.90 32  # 高管用户IP
  action permit no-auth          # 免认证

运维Portal

rule name policy_auth_02
 source-zone Trust_A
 destination-zone dmz
 source-address 172.16.1.0 24  # 运维部用户IP范围
 destination-address 10.0.0.0 24  # DMZ服务器地址
 action permit portal          # Portal认证

技术匿名

rule name policy_auth_04
 source-zone Trust_B
 destination-zone dmz
 source-address 172.16.2.0 24  # 技术部用户IP范围
 destination-address 10.0.0.0 24  # DMZ服务器地址
 action permit anonymous       # 匿名认证

5、保存

需求七:安全策略
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

FW
policy_1


security-policy
 rule name policy_01
  source-zone Trust_A
  destination-zone Local
  source-address 172.16.1.10 32  
  service telnet                
  action permit

policy-2


 rule name policy_02
  source-zone Trust_A Trust_B
  destination-zone Local
  service dhcp                  
  action permit

policy-3

# 允许部门A和部门B访问DNS服务器
 rule name policy_03
  source-zone Trust_A Trust_B
  destination-zone dmz
  destination-address 10.0.0.30 32 
  service dns                     
  action permit

policy-4

 rule name policy_04
  source-zone Trust_A
  destination-zone dmz
  source-address 172.16.1.0 24  
  destination-address 10.0.0.0 24  
  action permit

policy-5


 rule name policy_05
 source-zone Trust_A
 destination-zone dmz
 source-address 172.16.1.90 32  # 高管IP
 source-address 172.16.1.100 32  # 财务部IP
 destination-address 10.0.0.10 32  # OA服务器IP
 destination-address 10.0.0.20 32  # Web服务器IP
 service http https             
 action permit

policy-6

time-range no_worktime
 periodic daily 00:00 to 08:00  # 每天0点到8点
 periodic daily 18:00 to 23:59  # 每天18点到23点59分

 rule name policy_06
 source-zone Trust_A
 destination-zone Untrust
 source-address 172.16.1.0 24  # 运维部IP范围
 time-range no_worktime        # 非工作时间段(需提前定义)
 action permit

policy-7

# 允许高管随时访问互联网
 rule name policy_07
  source-zone Trust_A
  destination-zone Untrust
  source-address 172.16.1.90 32  # 高管IP
  action permit

policy-8

# 允许技术部访问DMZ区域的Web服务器
 rule name policy_08
  source-zone Trust_B
  destination-zone dmz
  source-address 172.16.2.100 32  # 技术部PC1的IP
  destination-address 10.0.0.20 32  # Web服务器IP
  action permit

policy-9

# 允许技术部和市场部访问OA服务器,仅HTTP/HTTPS权限
 rule name policy_09
  source-zone Trust_B
  destination-zone dmz
  source-address 172.16.2.100 32  # 技术部PC1的IP
  source-address 172.16.2.0 24    # 市场部IP范围
  destination-address 10.0.0.10 32  # OA服务器IP
  service http https              # 允许HTTP和HTTPS服务
  action permit

policy-10

# 允许市场部访问互联网
 rule name policy_10
  source-zone Trust_B
  destination-zone Untrust
  source-address 172.16.2.0 24  # 市场部IP范围
  action permit

policy-11

time-range weekend
 periodic Saturday 00:00 to 23:59  
 periodic Sunday 00:00 to 23:59    
# 每周末拒绝除运维部以外的流量访问DMZ区域
 rule name policy_11
  source-zone Trust_A Trust_B
  destination-zone dmz
  source-address 172.16.1.0 24  # 部门A IP范围
  source-address 172.16.2.0 24  # 部门B IP范围
  time-range weekend            
  action deny
易水寒181
关注
信息安全概论课程练习与参考解答
qq_45180475的博客
01-03 6707
一、单项选择题 1.密码学的目的是( C )。 A. 研究数据加密 B. 研究数据解密 C. 研究数据保密 D. 研究漏洞扫描 2.数据机密性安全服务的基础是( D )。 A. 数据完整性机制 B. 数字签名机制 C. 访问控制机制 D. 加密机制 3.数字签名要预先使用单向Hash函数进行处理的原因是( C )。 A. 多一道加密工序使密文更难破译 B. 提高密文的计算速度 C. 缩小签名密文的长度,加快数字签名和验证签名的运算速度 D. 保证密文能正确还原成明文 4.基于通信双方共同拥有的但是不为别人知
华为eNSP综合实验:单臂路由、DHCP、RIP、OSPF、VLAN、ACL
清风明月的博客
07-03 846
本实验为华为eNSP综合实验,为某学校相关课程期末考试真题,当时没有完全理解,现在由于工作需求,重新温习相关技术,于是想到用本实验来练练手,提升一下实验操作能力。主要涉及交换机VLAN划分、trunk口放通vlan;路由器单臂路由配置、ACL、DHCP配置、RIP配置、OSPF配置以及路由引入。由于时间原因,尚未再次细致检查,问题也不大,明天抽空再看一下。希望路过的大佬不吝赐教!!!!!欢迎各位讨论交流!需要考题和答卷的请移步下载(开头下载资源)。
防御保护课程课后综合练习
chenwenyi666的博客
02-09 794
密码:admin@123搭配pdf文件查看思路:拿到拓扑图首先想到先做到路由层面的全网通,没有链路聚合的情况下先配IP地址,发现有些使用DHCP自动下发IP地址,有些则是配置的静态IP。思路转为首先做好DHCP服务。
防御保护课程,第七章,课后综合练习
LOXOI的博客
02-11 710
1、部门A分为运维部、高层管理、财务部;其中,财务部IP地址为静态IP。高管地址DHCP固定分配。2、部门B分为研发部和市场部;研发部IP地址为静态IP3、新建一个认证域,所有用户属于认证域下组织架构4、根据下表信息,创建企业组织架构5、用户密码统一为admin@1236、首次登录必须修改密码1、高级管理者访问任何区域时,需要使用免认证。2、运维部访问DMZ区域时,需要进行Portal认证。3、技术部和市场部访问DMZ。
进攻即是最好的防御!19 个练习黑客技术的在线网站
2401_85280228的博客
03-06 485
这里罗列了19个合法的来练习黑客技术的网站,不管你是一名开发人员、安全工程师、代码审计师、渗透测试人员,通过不断的练习才能让你成为一个优秀安全研究人员。mutillidaemutillidae是一个免费,开源的Web应用程序,提供专门被允许的安全测试和入侵的Web应用程序。国内比较好的安全知识在线学习平台,把复杂的操作系统、工具和网络环境完整的在网页进行重现,为学习者提供完全贴近实际环境的实验平台,是一个合法和安全的测试黑客技能的网站,并包含黑客资讯、文章、论坛和教程,旨在帮助你学习黑客技术。
进攻即是最好的防御!19个练习黑客技术的在线网站
baimao__Ch的博客
12-24 803
进攻即是最好的防御,这句话同样适用于信息安全的世界。这里罗列了19个合法的来练习黑客技术的网站,不管你是一名开发人员、安全工程师、代码审计师、渗透测试人员,通过不断的练习才能让你成为一个优秀安全研究人员。以下网站希望能给各位安全小伙伴带来帮助!若有其他的补充和推荐,欢迎给小编留言(排名不分先后)免费和开源的web应用程序安全项目。它有助于安全爱好者及研究人员发现和防止web漏洞。DVIA是一个iOS安全的应用。它的主要目标给移动安全爱好者学习iOS的渗透测试技巧提供一个合法的平台。
Packet Tracer - 综合技能练习(配置各种 IOS 功能,包括 AAA、SSH 和基于区域的策略防火墙 (ZPF),以保护路由器的安全)
傻傻的心动的博客
05-11 5331
路由器和交换机预先配置了基本设备设置,例如 IP 地址分配和路由。您需要使用 CLI 配置各种 IOS 功能,包括 AAA、SSH 和基于区域的策略防火墙 (ZPF),以保护路由器的安全。 您需要配置 R1 和 R3 之间的站点间 VPN。您需要保护 网络上的交换机的安全。此外,还需要在 ASA 上配置防火墙 功能。
全面掌握XSS攻击防御技术
weixin_33173126的博客
11-12 849
本文还有配套的精品资源,点击获取 简介:XSS攻击是一种网络安全威胁,尤其在Web前端开发中常见,涉及反射型、存储型、DOM-Based等攻击类型,以及防御策略和绕过过滤技巧。本课程将详细介绍XSS攻击的原理和危害,并指导如何通过技术手段有效防范。学习如何对用户输入进行验证过滤、使用CSP策略和输出内容的适当编码,以及更新框架和库来保护Web应用免受攻击。 1. ...
渗透测试练习靶场汇总
2401_84215240的博客
12-03 962
Vulfocus 官网:在线演示:2.BUUCTF在线评测writeup文章:https://github.com/niudaii/my-vulstack-wphttps: //接下来我将给各位同学划分一张学习计划表!
19个练习黑客技术的在线网站
2402_84205067的博客
07-31 506
下面给大家总结了一套适用于网安零基础的学习路线,应届生和转行人员都适用,学完保底6k!就算你底子差,如果能趁着网安良好的发展势头不断学习,日后跳槽大厂、拿到百万年薪也不是不可能!网络安全产业就像一个江湖,各色人等聚集。
ccna综合技能练习完成
06-23
**标题解析:** "ccna综合技能练习完成" 这个标题表明了这是一个关于Cisco Certified Network Associate(CCNA)认证的综合技能实践课程或者资源包,重点在于通过一系列的练习来提升学习者的技能水平,并且已经到了...
《高级财务管理》期末综合练习题(09春).doc
09-09
【高级财务管理】期末综合练习题涉及的知识点涵盖了企业集团、财务管理目标、企业组织形式、公司治理、财务决策、资本结构、筹资策略、投资管理、内部控制等多个方面。 1. **企业集团**:企业集团是由多个独立法人...
2021年教师招聘考试题库《教育理论综合知识》考点强化练习带答案解析_248.docx
10-23
【教育理论综合知识】 1. **尝试—错误学说的学习定律**:这指的是心理学家桑代克提出的"试误说",他认为学习的过程是通过尝试和错误逐步建立联结的过程,其中包含三个基本定律:效果律(行为结果的满意或不愉快...
2021年教师招聘考试题库《教育理论综合知识》考点强化练习带答案解析_206.docx
10-23
【教育理论综合知识】是教师招聘考试中的一个重要科目,涵盖了教育学、心理学、教育法规等多个领域。以下是根据题目内容解析的一些关键知识点: 1. **终身性**:现代教育强调终身学习,即人们应该持续不断地学习和...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8697
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
1.金融风控知识与架构介绍.ipynb
最新发布
05-17
1.金融风控知识与架构介绍.ipynb
基于Plecs仿真的全桥PSFB+ZVS技术参数研究与应用案例 电力电子
05-17
内容概要:本文详细探讨了基于Plecs仿真的全桥移相全桥变换器(PSFB)结合副边同步整流(ZVS)的技术参数研究及其应用案例。文章首先介绍了系统的配置,重点在于确保驱动时序对齐以及优化移相角来实现ZVS。接着讨论了同步整流的关键点,即精确控制副边开关管的驱动时序以避免反向导通的问题。随后提供了参数调整的具体方法,如改变变压器匝比、计算合适的电感值以及选择适当的散热材料。最后分享了一些常见的仿真问题解决方案,比如处理震荡尖峰和轻载情况下的ZVS失效。同时推荐了几款实用的仿真工具和相关文献供进一步学习。 适合人群:从事电力电子设计的专业人士,特别是那些希望深入了解PSFB和ZVS技术的研究人员和技术工程师。 使用场景及目标:适用于需要进行高效电源转换设计的场合,旨在帮助读者掌握PSFB和ZVS的工作原理,提高电路性能,降低损耗并优化系统参数。 其他说明:文中提供的代码片段和参数设定均为实际仿真过程中积累的经验,对于初学者来说是非常宝贵的参考资料。此外,还提到了一些常见错误及其解决办法,有助于减少开发过程中的障碍。
基于指标预测与对比的我国“双一流”高校专利转化潜力研究.zip
05-17
基于指标预测与对比的我国“双一流”高校专利转化潜力研究.zip
插秧机系统设计.rar
05-17
插秧机系统设计.rar
布里斯托大学计算机科学专业核心课程练习介绍
资源摘要信息:"布里斯托大学计算机科学专业必修课程练习概述: 布里斯托大学(University of Bristol),位于英格兰西南部城市布里斯托,成立于1876年,是一所享誉全球的研究型大学,隶属于红砖大学、罗素大学...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值