防火墙实验

一、实验拓扑图

二、实验要求

1.DMZ区内的服务器,办公区仅能在办公时间内(9:00 - 18:00)可以访问,生产区的设备全天可以访问

2.生产区不允许访问互联网,办公区和游客允许访问互联网

3.办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10

4.办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证;

游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10;

5.生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修

改密码,用户过期时间设定为10天,用户不允许多人使用

6.创建一个自定义管理员,要求不能拥有系统管理的功能

三、实验思路

1.配置各pc、server、FW的IP地址,生产区为vlan2,办公区为vlan3,在lsw3添加vlan2和vlan3,将g0/0/2口和g0/0/3口配为access口并分别加入vlan2和vlan3

2.在FW的web上的图形化界面上创建安全区域,为物理口g1/0/1创建两个子接口

3.在FW的web上的图形化界面上创建安全策略、添加用户、用户认证

四、实验配置

1.配置vlan,ip

[lsw3]vlan batch 2 to 3

[lsw3-GigabitEthernet0/0/2]port link-type access-----配置为access口

[lsw3-GigabitEthernet0/0/2]port default vlan 2----加入vlan 2

[lsw3-GigabitEthernet0/0/3]port link-type access-----配置为access口

[lsw3-GigabitEthernet0/0/3]port default vlan 3----加入vlan 3

Username:admin-----默认的初始化账号和密码

Password:

<USG6000V1>

[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.100.1 24 --------默认是有个ip地址的(192.168.0.1/24)可以修改

[USG6000V1]int g1/0/2

[USG6000V1-GigabitEthernet1/0/2]ip add 12.0.0.1 24

[USG6000V1-GigabitEthernet1/0/2]int g1/0/3

[USG6000V1-GigabitEthernet1/0/3]ip add 21.0.0.1 24

[USG6000V1-GigabitEthernet1/0/3]int g1/0/0

[USG6000V1-GigabitEthernet1/0/0]ip add 10.0.3.1 24

2.在图形化界面中创建安全区域

点击新建之后会出现该界面,创建办公区的安全区域

创建生产区的安全区域

3.在图形化界面为g1/0/1创建子接口

点击新建之后会出现以下界面,创建连接办公区的子接口

创建连接生产区的子接口

4.将g1/0/0接口加入dmz安全区中

点击之后出现如下界面,将g1/0/0加入安全区域dmz

5.新建安全策略

安全策略中有一条默认安全策略(default---禁止所有)

1)点击之后出现以下界面,新建办公区到服务区时间管理的安全策略

新建生产区访问服务区时间管理的安全策略

2)新建10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10的安全策略

6.新建认证域,并且在此新建用户组(办公区,研发区,游客区);在这三个区下新建用户

1)新建认证域

2)新建用户组

3)新建用户

4)认证策略

新建研发部访问dmz区的认证策略

市场部访问dmz区的认证策略

游客访问访问isp和公司门户网

7.创建管理员

1)新建管理员角色(没有系统管理功能的系统管理员)

创建管理员(在角色一栏选刚创建的没有系统管理功能的系统管理员)

相关推荐
Michaelwubo14 分钟前
Docker dockerfile镜像编码 centos7
运维·docker·容器
远游客071320 分钟前
centos stream 8下载安装遇到的坑
linux·服务器·centos
好像是个likun1 小时前
使用docker拉取镜像很慢或者总是超时的问题
运维·docker·容器
fantasy_arch2 小时前
CPU性能优化-磁盘空间和解析时间
网络·性能优化
LIKEYYLL2 小时前
GNU Octave:特性、使用案例、工具箱、环境与界面
服务器·gnu
云云3213 小时前
搭建云手机平台的技术要求?
服务器·线性代数·安全·智能手机·矩阵
云云3213 小时前
云手机有哪些用途?云手机选择推荐
服务器·线性代数·安全·智能手机·矩阵
cominglately3 小时前
centos单机部署seata
linux·运维·centos
CircleMouse3 小时前
Centos7, 使用yum工具,出现 Could not resolve host: mirrorlist.centos.org
linux·运维·服务器·centos
是Dream呀3 小时前
Python从0到100(七十八):神经网络--从0开始搭建全连接网络和CNN网络
网络·python·神经网络