eNSP公司管理的对象及策略

拓扑图[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

)

实验需求
第一步:根据题目搭建拓扑图

其中交换机的型号为:S5700

防火墙设备为:USG6000V

第二步:启动防火墙设备
复制代码
首先会让你输入密码,默认密码为:Admin@123
其次会让你修改密码。然后就是配置防火墙
<USG6000V1>system view
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0] ip add 192.168.100.1 24
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit 

实现图形界面控制防火墙,所以云cloud,下面是云cloud的配置

云cloud中的绑定信息,刚添加完可能不能立刻识别到,需要开启重启才能识别到,其次这个环回适配器需要自己去手动配置IP,网关,子网掩码等。

做到这一部,咋们就可以去试试看能不能通过在防火墙添加的IP地址在浏览器中抵达防火墙的图形界面了。咋们在浏览器地址栏上输入192.168.100.1

这里输入用户名admin 和之前在终端修改的密码,就可以进入啦。

第三步,vlan的划分及trunk的配置
复制代码
port trunk link-type access
vlan batch 10 20
[SW1-GigabitEthernet0/0/2]port default vlan 10
[SW1-GigabitEthernet0/0/3]port default vlan 20
port link-type trunk 
port trunk allow-pass vlan 10 20
undo     port trunk allow-pass vlan 1
第四步,建立防火墙于LSW交换机的子接口

首先配置生产的子接口

然后再配置办公的子接口

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传 ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/30254abc3667476f947bfc01de56d985.png) 将相应的接口配置完,如图 ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/05a49310c45c4e08a4af3a0600e4af2b.png) ##### 第五步,配置安全策略 1.DMZ区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备可以全天访问 ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/784c40c54544437db4ac262af5b502d4.png) 首先配置办公区的安全策略 ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/4acf9917c8de4cb78883a7b48284c22d.png) 根据实验要求,设置相应的时间 ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/bcaca879ad7442f184a55178cc2076ea.png) 然后配置生产区的安全策略 ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/29f292988248419596018dc1b457aab3.png) ##### 第六步,根据实验要求,将PC端和client等IP都配置好。 ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/883b5db73c854a279bb19a54ec35d3bd.png) ##### 第六步,测试是否成功 首先启动DMZ区的server2 ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/eca74cf905ae47049de83ce8abcc4357.png) 然后用办公区的client2去访问色server2,成功! ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/63dd7b9f70a5415c801363ab4fd5ca3c.png) 其次用生产区的client2去访问色server2,成功! ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/28dcd9f9918044c691aff62381c7cf07.png) ##### 2.生产区不允许访问互联网,办公区和游客区允许访问互联网 ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/418bbdef15fe429a91158c03f620f60f.png) ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/54f89bb1b6e54cbe833f40d6209e3d1a.png) ##### 3.办公室设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10 根据需求,我们可以制定两条策略,一是禁止该设备访问DMZ的FTP和HTTP,第二天允许该设备ping10.0.3.10. ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/b8ffde3ba18c45bebe2327ab5ab09865.png) ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/0df1d93096cd4e3aa3944103bf3865cc.png) 这里策略就做好了,开始检测 ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/4eac81629f9a406c92e16a51b670e34d.png) 这里可以看见,该设备仅能ping10.0.3.10. 因为该设备无法测试HTTP和FTP,所以这里需要借助同区域的client2客户端来检测。 ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/2d805dff3a4a422e85c798820b2da906.png) 这里先确认服务端都启动了 ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/19a0dc410eb445b7ac83493286297050.png) ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/9c7612b5ba6f4954ad1c043b3cc39804.png) 结果如下: ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/df65158f4d2d4bb3aad5c116c97b4c1a.png) ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/7e6ef26f7e704612ab8f56b5801fbae5.png) 根据测试,说明策略是成功了。 ##### 4.办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证,游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限 首先创建市场部和研发部。 ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/94004a57765744e78fef92c428c355f0.png) ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/dda6130ad1cb470baae04e3d1031a82e.png) ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/c75133b0cca845b196d5e65d5db499f6.png) ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/2ce75bf9c39b44e895a8eaef9b233e9b.png) ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/7b4695fda46d4dbda5eb7715948fb720.jpeg) ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/bb465a60404d43ea9c3d9504878c8828.png) ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/cd2eef8c0bf5405b9f447ca680d1a7c9.png) ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/88f3a2fecc8b4c17928888576ddd482e.png) ##### 5.生产访问DMZ区时,需要进行portal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码为Admin@123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用 根据实验要求,生产访问需要进行portal认证。 ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/b07befacdc504d25a5bcac5f8506c0e3.png) 创建生产区下的三个部门,例如人事部,流水线部,搬运部,这里用人事部举例。 ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/23ba72e93a9a44b7928e7e50eed6d2f7.png) 接下来开始为每个组创建用户。 ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/07c506c418844bf1a25887e639f4242a.png) ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/4228f7ca4b0c49f9ac06b8c099a2b403.jpeg) 创建完成,就是这个样子 ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/80e56a52a5984032be9a418ec6ea8905.png) ##### 6,创建一个自定义管理员,要求不能拥有系统管理的功能 ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/ee42d4c0b4974f3c8b165152f5f585da.png) ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/e4dfeba123574be395012d0dc10177f5.png) 这样就创建成功了!!

相关推荐
ALe要立志成为web糕手20 小时前
SESSION_UPLOAD_PROGRESS 的利用
python·web安全·网络安全·ctf
jingshaoyou1 天前
Strongswan linked_list_t链表 注释可独立运行测试
数据结构·链表·网络安全·list
鹅肝手握高V五色1 天前
Wireshark入门教程:如何抓取和过滤网络数据包
websocket·网络协议·tcp/ip·http·网络安全·https·udp
nixiaoge1 天前
RCE漏洞
网络安全
禾木KG1 天前
网络安全-等级保护(等保) 1-0 等级保护制度公安部前期发文总结
网络安全
网络抓包与爬虫1 天前
Wireshark——抓包分析
websocket·网络协议·tcp/ip·http·网络安全·https·udp
仙女很美哦1 天前
Flutter视频播放、Flutter VideoPlayer 视频播放组件精要
websocket·网络协议·tcp/ip·http·网络安全·https·udp
CYRUS STUDIO1 天前
Unidbg Trace 反 OLLVM 控制流平坦化(fla)
android·汇编·算法·网络安全·逆向·ollvm
写代码的小王吧1 天前
【Java可执行命令】(十)JAR文件签名工具 jarsigner:通过数字签名及验证保证代码信任与安全,深入解析 Java的 jarsigner命令~
java·开发语言·网络·安全·web安全·网络安全·jar