防火墙综合实验1

实验拓扑图：

实验需求：

1、DMZ区内的服务器，办公区仅能在办公时间内(9:00-18:00)可以访问，生产区的设备全天可以访问。
2、生产区不允许访问互联网，办公区和游客区允许访问互联网。
3、办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器，仅能ping通10.0.3.10。
4、办公区分为市场部和研发部，研发部IP地址固定，访问DMZ区使用匿名认证，市场部需要用户绑定IP地址，访问DMZ区使用免认证；
游客区人员不固定，不允许访问DMZ区和生产区，统一使用Guest用户登录，密码为：Admin@123，游客仅有访问公司门户网站和上网的权限，门户网站地址为：10.0.3.10.
5、生产区访问DMZ区时需要进行Protal认证，设立生产区用户组织框架：
   至少三个部门，每个部门三个用户，用户统一密码：openlab@123，首次登陆需要修改密码，用户过期时间设置为10天，用户不允许多人使用。
6、创建一个自定义管理员，要求不能拥有系统管理的功能。 

实验配置

web登录防火墙页面：

cloud配置：

注：端口映射设置勾选双向通道，修改一下出入段编号添加即可。

添加网卡信息时IP地址和防火墙管理地址需在同一个网段。

初始化防火墙：

Username:admin      //防火墙初始用户名
Password:                //防火墙初始密码为：Admin@123
The password needs to be changed. Change now? [Y/N]: y      //更改密码
Please enter old password: 
Please enter new password: 
Please confirm new password: 

Info: Your password has been changed. Save the change to survive a reboot. 
*************************************************************************
*         Copyright (C) 2014-2018 Huawei Technologies Co., Ltd.         *
*                           All rights reserved.                        *
*               Without the owner's prior written consent,              *
*        no decompiling or reverse-engineering shall be allowed.        *
*************************************************************************


<USG6000V1>sys
Enter system view, return user view with Ctrl+Z.
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]dis ip int b
2024-07-10 10:07:03.530 
*down: administratively down
^down: standby
(l): loopback
(s): spoofing
(d): Dampening Suppressed
(E): E-Trunk down
The number of interface that is UP in Physical is 8
The number of interface that is DOWN in Physical is 2
The number of interface that is UP in Protocol is 3
The number of interface that is DOWN in Protocol is 7

Interface                         IP Address/Mask      Physical   Protocol  
GigabitEthernet0/0/0              192.168.0.1/24       up         up        
GigabitEthernet1/0/0              unassigned           up         down      
GigabitEthernet1/0/1              unassigned           up         down      
GigabitEthernet1/0/2              unassigned           up         down      
GigabitEthernet1/0/3              unassigned           up         down      
GigabitEthernet1/0/4              unassigned           up         down      
GigabitEthernet1/0/5              unassigned           down       down      
GigabitEthernet1/0/6              unassigned           down       down      
NULL0                             unassigned           up         up(s)     
Virtual-if0                       unassigned           up         up(s)     

[USG6000V1-GigabitEthernet0/0/0]service-manage all permit   //开启所有服务
[USG6000V1-GigabitEthernet0/0/0]

在浏览器网址栏输入防火墙管理接口的IP地址，输入用户名密码，即可web连接防火墙

登录后就可以进行配置。

配置IP：

防火墙：
在网络模块的接口选项：

生产区与办公区是两个不同的Vlan，故在防火墙上面配置子接口，采用单臂路由的形式。
在LSW1（总公司）上进行valn划分：

<Huawei>sys
[Huawei]sysname LSW3
[LSW1]vlan batch 2 to 3	
[LSW1]int g 0/0/2	
[LSW1-GigabitEthernet0/0/2]port link-type access 	
[LSW1-GigabitEthernet0/0/2]port default vlan 2
[LSW1-GigabitEthernet0/0/2]int g0/0/3
[LSW1-GigabitEthernet0/0/3]port link-type access 	
[LSW1-GigabitEthernet0/0/3]port default vlan 3
[LSW1-GigabitEthernet0/0/3]int g0/0/1
[LSW1-GigabitEthernet0/0/1]port link-type trunk 
[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
[LSW1-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1

新建办公区，生产区和游客区：
在网络模块中的安全区域中新建




分配IP：
为了方便测试，需勾选：

生产区和办公区IP地址：


通向dmz及游客区的IP地址：


通向公网的接口：

接口配置完成。

配置LSP网络IP地址：

[Huawei]sys LSP
[LSP]int g0/0/0
[LSP-GigabitEthernet0/0/0]ip add 12.0.0.1 24
[LSP-GigabitEthernet0/0/0] 
[LSP-GigabitEthernet0/0/0]int g0/0/1
[LSP-GigabitEthernet0/0/1]ip add 21.0.0.1 24
[LSP-GigabitEthernet0/0/1]int  l0
[LSP-LoopBack0]ip add 1.1.1.1 24
[LSP-LoopBack0]dis ip int b
*down: administratively down
^down: standby
(l): loopback
(s): spoofing
The number of interface that is UP in Physical is 5
The number of interface that is DOWN in Physical is 0
The number of interface that is UP in Protocol is 4
The number of interface that is DOWN in Protocol is 1

Interface                         IP Address/Mask      Physical   Protocol  
GigabitEthernet0/0/0              12.0.0.1/24          up         up        
GigabitEthernet0/0/1              21.0.0.1/24          up         up        
GigabitEthernet0/0/2              unassigned           up         down      
LoopBack0                         1.1.1.1/24           up         up(s)     
NULL0                             unassigned           up         up(s)     
[LSP-LoopBack0]

至此IP地址分配完成。

需求一

DMZ区内的服务器，办公区仅能在办公时间内(9:00-18:00)可以访问，生产区的设备全天可以访问。

使用安全策略：

新建：

修改work time ：

新建：

测试：
将server1模拟为HTTP服务器：

分别使用生产区client来访问服务器，并查看是否命中对应策略：
生产区：

获取成功！

策略命中加1 ！
办公区：

获取成功！

策略命中加1！
由此需求一完成！

需求二

生产区不允许访问互联网，办公区和游客区允许访问互联网。

互联网统一设置是untrust区域，故只需要控制生产区和办公区通向untrust区域的流量。

新建策略：


测试：
生产区访问互联网：

策略命中次数增加

办公区访问互联网：


游客区访问互联网：


因为没做公私网地址转换，故ping不通，但从策略命中次数可以看出
需求二完成！

需求三：

办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器，仅能ping通10.0.3.10。

新建地址：



策略：


因为先前有一条办公区在工作时间允许访问DMZ区，故需要将新建策略放在这条策略之前且应先放通ping后再禁止其他服务：

测试：
server1 模拟HTTP服务器（已设置）
server2 模拟ftp服务器：

访问http:

访问失败！
访问ftp:

访问失败！
ping:
访问10.0.3.10：

访问成功！
访问10.0.3.20:

访问失败！
需求三完成！

需求四：

办公区分为市场部和研发部，研发部IP地址固定，访问DMZ区使用匿名认证，市场部需要用户绑定IP地址，访问DMZ区使用免认证；
游客区人员不固定，不允许访问DMZ区和生产区，统一使用Guest用户登录，密码为：Admin@123，游客仅有访问公司门户网站和上网的权限，门户网站地址为：10.0.3.10。

建立办公区组及其下的市场部和研发部：

对研发部和市场部做认证策略：
这里将client2当作研发部，PC2当作市场部。

研发部IP地址固定，访问DMZ区使用匿名认证,：

创建游客区：

在游客区创建Guest用户：

允许访问外网（前面的需求已经实现了）

允许访问门户网站10.0.3.10：

访问门户网站的优先级应当大于禁止访问DMZ区的优先级

测试：
游客访问外网：


因为没做公私网转换，故不同，但能命中策略
游客访问门户网站：

成功。
游客访问dmz其他设备：

失败

需求五：

生产区访问DMZ区时需要进行Protal认证，设立生产区用户组织框架：
至少三个部门，每个部门三个用户，用户统一密码：openlab@123，首次登陆需要修改密码，用户过期时间设置为10天，用户不允许多人使用。

创建生产区并设立框架



部门二：




将首次登陆修改密码打开：

用户框架完成！

需求五完成

需求六

创建一个自定义管理员，要求不能拥有系统管理的功能

创建成功：

由此全部配置已完成！！！