防御实验一
拓扑结构展示:
一、
根据题目,先为办公区做安全策略主要策略有以下几点:
1、书写名称和描述,名称和描述要明确 ,让除本人以外的人也能理解
2、确定源地址 为办公区,目标地址 为DMZ区
3、确定时间段
4、可以设置标签,方便后续查看
5、确定服务,如:HTTP,FTP,ICMP等
具体操作如下图
完成后点击允许 操作,点击确定 即可
其中时间段的work需要创建,具体如下:
设置开始和结束时间,每周生效时间为周一到周五,工作日。
然后解决生产区
具体操作和办公区差不多,具体就是时间段不一样,如下:
这里时间选择any 表示任何时间,这个选择不用自己创建
当然以上的操作都需要先创建区域
具体操作如下
点击网络 中的接口 ,在不同的接口配置拓扑图上对应的区域,图中DMZ表示DMZ区 ,DX和LT分别代表电信和联通 ,SC表示生产区,BG表示办公区,YK表示游客区
配置如下:
区域配置在如下图
区域创建时,只需要配置名称和描述,接口不用配置,到时候在接口对应配置区域时可以选择,就如上图的安全区域
其中G1/0/3要划分两个子接口,来区分办公区和生产区,他们通过VLAN划分,这里我划分的是VLAN 2 和VLAN 3 ,这时候配置的时候要表明VLAN
具体结构如下:
办公区配置,现在是晚上10点,所以配置允许时间是9点到18点,所以现在该策略是禁止的
但是生产区是全天,所以现在还允许
二、
生产不可访问,配置如下
其中untrust是分别表示电信和联通,表示的是互联网,我还创建了一个区域表示互联网
可以方便操作
办公区和游客可以访问,配置如下:
将办公区和游客区都概括进去,然后全部允许访问
三、
首先让10.0.2.10禁止访问,配置如下
然后允许其他的操作,配置如下
结果显示:
可以ping,但是不能访问HTTP和FTP
四、
我自己又创建了两个PC机,作为已经绑定IP地址的研发部和市场部,如最上面的拓扑图
然后在对象 中的用户 中分别创建SC,BG,和YK分别代表生产,办公和游客
创建过程如下:
然后配置认证,在认证策略 中配置,研发部采用匿名认证 如下图:
市场部采用免认证 ,如下图:
游客不能访问DMZ区和生产区,配置如下:
游客创建,名称为Guest,密码为Admin@123
游客可以访问门户网站和互联网,配置如下:
五、
生产区建立对应的组和用户:如下:
访问认证配置为Porltal认证,上网方式也应该如此配置,如上:
配置时不能勾选允许多人同时使用 如上:
首次登录修改密码和过期时间,都在对象 的认证选项中配置,如上图:
六、
在系统 的管理员 的管理员角色 中配置自定义 管理员
自定义的权限只有系统 是无 ,其他都是读写
然后在管理员 中创建自定义管理员,配置如下:
角色选择自己创建的管理员角色
自此,实验基本完成。