目录
(1)DMZ区的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区设备全天都是可以访问。
(2)生产区不允许访问互联网,办公区和游客区允许访问互联网:
(3)办公区设备10.0.2.20不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10。
一、实验拓扑图
二、实验要求
1、DMZ区的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区设备全天都是可以访问的
2、生产区不允许访问互联网,办公区和游客区允许访问互联网
3、办公区设备10.0.2.20不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4、办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权利,门户网站地址10.0.3.10
5、生产区访问DMZ区时,需要进行protal认证,设立生产区用户架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab@123,
首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
6、创建一个自定义管理员,要求不能拥有系统管理的功能
三、实验思路
- 首先拓扑图中各个设备的IP地址划分合理
- 会使用FW的web服务操作
- 要注意在这个拓扑图中FW的组网方式是路由模式
- FW与总公司连接的生产区和办公区的接口,需要使用到子接口
- 各个交换机接口配置要注意是access口还是trunk口
- 根据实验要求做出相关的安全策略和认证策略
- 创建管理员,并给它指定相关功能
四、实验步骤
1、打开ensp防火墙的web服务(带内管理的工作模式)
Clound1(云)的操作:
要增加一条UDP的信息和一张虚拟网卡(不要使用电脑中的真实网卡,可以自己添加一张虚拟环回网卡)的信息,要形成双向通道在端口映射表中显现出来
FW的基本操作:
开启防火墙后需要登录用户名和密码,第一次默认的用户名:admin,密码:Admin@123;
登录成功之后需要修改你的密码才能进入防火墙的用户视图。
防火墙的g0/0/0口默认的IP地址为192.168.0.1/24;但是我们需要在浏览器中打开FW的web服务就需要将g0/0/0接口的IP地址修改为与我们Clound中虚拟网卡通一个网段才行。
列如:我的虚拟网卡的IP为:192.168.142.1/24,那么我们就修改防火墙g0/0/0接口的IP为:192.168.142.10/24。保证在同一个网站,那么我们的浏览器就可以访问。
在防火墙中g0/0/0口中开启所有的服务:
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit
如果你的浏览器搜索防火墙g0/0/0的IP地址的web网页打不开有以下几种解决方案
- 首先检查你的FW和Clound中虚拟网卡的配置是否正确
- 将Ncap、火绒、完美竞技平台等等与ensp不兼容的程序卸载
- 关闭你的杀毒软件和系统的防火墙
- 换几个浏览器试一试或者写一个小众的IP地址(如172.156.142.1)
PC、server、client的相关基本配置:
PC1:
PC2:
PC5:
Server1:
Server2:
Client1:
Client2:
Client3:
2、在FW1的web网页中网络相关配置
添加安全区域(SC,BG,YK)
G1/0/0:
G1/0/1:
G1/0/2:
G1/0/3:配置对应的子接口
G1/0/3.1:
G1/0/3.2
G1/0/4:
总的接口列表:
启动访问管理选项将ping勾选了,便于后续测试
3、交换机LSW6(总公司)的相关配置:
生产区:
[Huawei]int g0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 2
办公区:
[Huawei-GigabitEthernet0/0/2]int g0/0/3
[Huawei-GigabitEthernet0/0/3]p l a
[Huawei-GigabitEthernet0/0/3]p d v 3
与防火墙相连:
[Huawei-GigabitEthernet0/0/3]int g0/0/1
[Huawei-GigabitEthernet0/0/1]p l t
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
[Huawei-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1
4、路由器相关接口配置:
[Huawei]sysname ISP
电信接口端:
[ISP]int g0/0/0
[ISP-GigabitEthernet0/0/0]ip add 12.0.0.2 24
移动接口端:
[ISP-GigabitEthernet0/0/0]int g0/0/1
[ISP-GigabitEthernet0/0/1]ip add 21.0.0.2 24
分公司接口端:
[ISP-GigabitEthernet0/0/1]int g0/0/2
[ISP-GigabitEthernet0/0/2]ip add 23.0.0.2 24
[ISP-GigabitEthernet0/0/2]q
环回口(用于测试):
[ISP]int LoopBack 0
[ISP-LoopBack0]ip add 1.1.1.1 24
[ISP-LoopBack0]q
[ISP]dis ip int bri
5、相关安全策略配置:
(1)DMZ区的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区设备全天都是可以访问。
办公区访问DMZ服务器的安全策略:
生产区访问DMZ服务器的安全策略:
测试一下:
使用生产区的PC去ping DMZ区的server1:
在DMZ区server1中开启http服务,在生产区client1中获取相关地址的http文件:
测试成功!!!
(2)生产区不允许访问互联网,办公区和游客区允许访问互联网:
生产区:
办公区and游客区:
测试一下:但是由于我们暂时还没有在防火墙上面做NAT公私网地址转换,所以都ping不通,只有通过ping之后查看安全策略的流量变化。
未做操作时的流量情况(观察命中次数)
生产区pc1 ping ISP 的环回地址:
可以观察到自动匹配到了生产区不能访问互联网这条安全策略(该策略命中次数增加)
办公区PC2 ping ISP 的环回地址:
可以观察到自动匹配到了办公区和游客区能访问互联网这条安全策略(该策略命中次数增加)
测试成功!!!
(3)办公区设备10.0.2.20不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10。
Client2:10.0.2.:20不允许访问DMZ区的FTP服务器和HTTP服务器
Client2:10.0.2.:20仅能ping通DMZ区的10.0.3.10。
添加我们需要的client2和sever1的地址
我们需要更改一下安全策略的顺序(匹配顺序是自上到下),使我们刚刚创建的这两个策略放在最顶上,因为要求1中策略的范围过大,会影响我们实验测试效果。
测试一下:
10.0.2.20 ping 10.0.3.10:
10.0.2.20 ping 10.0.3.20:
Server1 开启http服务,使用client2去访问:
访问失败!!!
Server2 开启ftp服务,使用client2去访问:
访问失败!!!
测试成功!!!
6、相关认证策略配置:
(1)办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权利,门户网站地址10.0.3.10。
创建一个办公区(放在默认组的下一级):
创建一个游客区(放在默认组的下一级):
在办公区里面创建市场部和研发部:
在游客区中创建一个公共用户:(统一使用Guest用户登录,密码Admin@123)
做相关的认证策略,研发部IP地址(10.0.1.20)固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;
做安全策略使游客区人员不固定,不允许访问DMZ区和生产区,游客仅有访问公司门户网站和上网的权利,门户网站地址10.0.3.10。
注意要将游客区人员匹配门户网址这条策略放在游客区人员允许访问DMZ区和生产区这条策略之前才有效果。
测试一下:
使用游客区的client3 去访问门户网址10.0.3.10(http服务):
门户网址(server1)开启http服务:
使用游客区client3去访问门户网址:
获取成功!
测试成功!!!
(2)生产区访问DMZ区时,需要进行protal认证,设立生产区用户架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab@123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
做认证策略使生产区访问DMZ区时,需要进行protal认证:
创建生产区(在default组下一级):
在生产组下创建三个部门:
在每个部门下创建三个用户:
批量创建用户过程演示(要取消勾选多人同时使用该账号,用户过期时间设定为10天)
7、创建一个自定义管理员,要求不能拥有系统管理的功能
先新建一个管理员角色(网络安全管理员):
再新建一个管理员(用户名密码自拟):
至此本实验全部结束!!!