网络安全防御 -- 防火墙安全策略用户认证综合实验

实验拓扑：

实验目的：

1、DMZ区内的服务器，办公区仅能在办公时间内(9:00-18:00)可以访问，生产区的设备全天可以访问。

2、生产区不允许访问互联网，办公区和游客区允许访问互联网。

3、办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器，仅能ping通10.0.3.10。

4、办公区分为市场部和研发部，研发部IP地址固定，访问DMZ区使用匿名认证，市场部需要用户绑定IP地址，访问DMZ区使用免认证；

游客区人员不固定，不允许访问DMZ区和生产区，统一使用Guest用户登录，密码为：Admin@123，游客仅有访问公司门户网站和上网的权限，门户网站地址为：10.0.3.10.

5、生产区访问DMZ区时需要进行Protal认证，设立生产区用户组织框架：

至少三个部门，每个部门三个用户，用户统一密码：openlab@123，首次登陆需要修改密码，用户过期时间设置为10天，用户不允许多人使用。

6、创建一个自定义管理员，要求不能拥有系统管理的功能。

实验配置：

防火墙准备

在修改密码以及修改管理接口IP后采用带内管理模式中的Web管理方式进行配置。需要在虚拟机中添加一个Cloud，连接防火墙设备才能在电脑上访问到防火墙。

Cloud配置

这里用于测试的网卡是新建的一张换回网卡，手动配置IP地址为172.168.100.22/24

防火墙基本操作（虚拟设备需要开启服务，真实设备不需要）：

因为我们需要通过云在浏览器图形化界面对防火墙进行操作，所以需要防火墙和运在同一个网段，

所以我们把FW0/0/0接口IP地址改为172.68.100.2/24

Username:admin
Password:
The password needs to be changed. Change now? [Y/N]: y
Please enter old password:                          #初始默认是Admin@123
Please enter new password: 
Please confirm new password: 
Error: New passwords are different.
The password needs to be changed. Change now? [Y/N]: y
Please enter old password: 
Please enter new password: 
Please confirm new password: 

 Info: Your password has been changed. Save the change to survive a reboot. 
*************************************************************************
*         Copyright (C) 2014-2018 Huawei Technologies Co., Ltd.         *
*                           All rights reserved.                        *
*               Without the owner's prior written consent,              *
*        no decompiling or reverse-engineering shall be allowed.        *
*************************************************************************


<USG6000V1>
Jul 10 2024 11:51:11 USG6000V1 ENTEXT/4/CPUUSAGESUDDENCHANGE:1.3.6.1.4.1.2011.5.
25.31.2.0.29 Entity 0: The CPU usage on SPU11 CPU0 is suddenly changed from 64% 
to 7%, and the change value is 57% , exceeding threshold value 40%.
<USG6000V1>sys
Enter system view, return user view with Ctrl+Z.
[USG6000V1]ser	
[USG6000V1]service-man	
[USG6000V1]dis ip int b
2024-07-10 11:51:47.410 
*down: administratively down
^down: standby
(l): loopback
(s): spoofing
(d): Dampening Suppressed
(E): E-Trunk down
The number of interface that is UP in Physical is 4
The number of interface that is DOWN in Physical is 6
The number of interface that is UP in Protocol is 3
The number of interface that is DOWN in Protocol is 7

Interface                         IP Address/Mask      Physical   Protocol  
GigabitEthernet0/0/0              192.168.0.1/24       up         up       该接口默认ip址为 192.168.0.1/24 

GigabitEthernet1/0/0              unassigned           up         down      
GigabitEthernet1/0/1              unassigned           down       down      
GigabitEthernet1/0/2              unassigned           down       down      
GigabitEthernet1/0/3              unassigned           down       down      
GigabitEthernet1/0/4              unassigned           down       down      
GigabitEthernet1/0/5              unassigned           down       down      
GigabitEthernet1/0/6              unassigned           down       down      
NULL0                             unassigned           up         up(s)     
Virtual-if0                       unassigned           up         up(s)     

[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit   #开启所有服务
Jul 10 2024 11:52:07 USG6000V1 DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.25
.191.3.1 configurations have been changed. The current change number is 1, the c
hange loop count is 0, and the maximum number of records is 4095.

[USG6000V1-GigabitEthernet0/0/0]ip address 172.168.100.1 24

浏览器搜素FWip进入图形化界面

PC、server、client的相关基本配置：

PC2：

PC3：

Client1：

Client2：

Server2：

Server3：

交换机配置

生产区与办公区是两个不同区域用不同的Vlan，故在防火墙上面配置子接口，采用单臂路由的形式

先在LW7创建两个vlan

[Huawei]sys	
[Huawei]sysname LW7

[LW7]vlan batch 2 to 3
Info: This operation may take a few seconds. Please wait for a moment...done.

[LW7]int g0/0/2
[LW7-GigabitEthernet0/0/2]port link-type access 
[LW7-GigabitEthernet0/0/2]port default vlan 2

[LW7-GigabitEthernet0/0/2]int g0/0/3	
[LW7-GigabitEthernet0/0/3]port link-type access 	
[LW7-GigabitEthernet0/0/3]port default vlan 3


[LW7-GigabitEthernet0/0/3]int g0/0/1
[LW7-GigabitEthernet0/0/1]port link-type trunk 
[LW7-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
[LW7-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1

配置子接口：

[USG6000V1]int g1/0/3.1
[USG6000V1-GigabitEthernet1/0/3.1]ip address 10.0.1.1 24

[USG6000V1-GigabitEthernet1/0/3.1]int g1/0/3.2
[USG6000V1-GigabitEthernet1/0/3.2]ip address 10.0.2.1 24

在FW1的web网页中做相关配置

添加安全区域（SC,BG,YK）

G1/0/3:配置对应的子接口

G1/0/3.1:

G1/0/3.2:

g1/0/4

g1/0/0

g1/0/1:

g1/0/2:

接口总体配置如下：

安全策略配置：

1.DMZ区内的服务器，办公区仅能在办公时间内（9：00 --- 18：00）可以访问，生产区的设备全天可以访问

办公区：

生产区：

测试：

用生产区的PC ping Server1

2.生产区不允许访问互联网，办公区和游客区允许访问互联网：

3.办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器，仅能ping通10.0.3.10

对10.0.2.10 禁止对DMZ区的http和ftp服务

4.办公区分布为市场部和研发部，研发部IP地址固定，访问DMZ区使用匿名验证；市场部需要用户绑定IP地址，访问DMZ区使用免认证；游客区人员不固定，不允许访问DMZ区和生产区，统一使用Guest用户登录，密码Admin@123，游客仅有访问公司门户网站和上网的权限，门户网站地址10.0.3.10

（1）研发部IP地址固定，访问DMZ区使用匿名验证

研发部地址为10.0.2.20

（ 2)市场部需要用户绑定IP地址，访问DMZ区使用免认证

（3)游客区人员不固定，不允许访问DMZ区和生产区，统一使用Guest用户登录，密码Admin@123，游客仅有访问公司门户网站和上网的权限，门户网站地址10.0.3.10

创建游客使用的用户：

密码Admin@123

游客使用Guest用户登录，仅有访问公司门户网站和上网的权限，门户网站地址10.0.3.10：

5.生产区访问DMZ区时，需要进行protal认证，设立生产区用户组织架构，至少包含三个部门，每个部门三个用户，用户统一密码openlab123，首次登录需要修改密码，用户过期时间设定为10天，用户不允许多人使用

批量创建用户：

密码openlab 123

用户不允许多人使用

生产区用户组织架构

6.创建一个自定义管理员，要求不能拥有系统管理的功能