一.实验拓扑
二.实验要求
1.DMZ区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问
2.生产区不允许访问互联网,办公区和游客区允许访问互联网
3.办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4.办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户和上网的权限,门户网站地址10.0.3.10
5.生产区访问DMZ时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时设定为10天,用户不允许多人使用
6.创建一个自定义管理员,要求不能拥有系统管理的功能
三.实验思路
1.配置ip地址与cloud云实现云登录防火墙
2.写两条安全策略,完成办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问的要求
- 写三条安全策略,实现生产区不允许访问互联网,办公区和游客区允许访问互联网
4.写一条安全策略,拒绝FTP和HTTP服务,但能ping通10.0.3.10
5.创建openlab区域,创建办公区,生产区,游客区,办公区下分为市场部,研发部,各部门下创建一个用户,单向绑定,研发部访问DMZ使用匿名验证,生产区访问DMZ使用免认证;
游客区不允许访问DMZ和生产区,写一条安全策略,禁止ICMP服务,但开通ping10.0.3.10的服务,创建Guest用户,密码Admin@123
6.生产区访问DMZ时进行Portal认证
四.实验步骤
1.配置防火墙接口ip与cloud云实现浏览器登录
先为实验拓扑配置ip地址
浏览器输入 所配置的路由器接口的 ip地址+8443端口 登录进入防火墙的控制面板
2.安全策略实现办公区办公时间可登录生产区全天可登录
接口对应安全区域划分如下
办公区策略
生产区策略
3. 生产区不允许访问互联网而游客区和办公区可以访问互联网
生产区不可访问互联网策略
其他区域访问互联网策略
4.办公区访问DMZ拒绝FTP和HTTP服务,但能ping通10.0.3.10
拒绝办公区访问FTP与HTTP
5.研发部与市场部认证设置以及游客访问设置
认证域的配置
游客区安全策略
游客的创建
游客的权限配置
6.设立生产区组织架构
生产区用户组的创建
设置认证选项
7.创建自定义管理员
