网络安全防御 -- 防火墙安全策略用户认证综合实验

实验拓扑:

实验目的:

1、DMZ区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问。

2、生产区不允许访问互联网,办公区和游客区允许访问互联网。

3、办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10。

4、办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证;

游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码为:Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址为:10.0.3.10.

5、生产区访问DMZ区时需要进行Protal认证,设立生产区用户组织框架:

至少三个部门,每个部门三个用户,用户统一密码:openlab@123,首次登陆需要修改密码,用户过期时间设置为10天,用户不允许多人使用。

6、创建一个自定义管理员,要求不能拥有系统管理的功能。

实验配置:

防火墙准备

在修改密码以及修改管理接口IP后采用带内管理模式中的Web管理方式进行配置。需要在虚拟机中添加一个Cloud,连接防火墙设备才能在电脑上访问到防火墙。

Cloud配置

这里用于测试的网卡是新建的一张换回网卡,手动配置IP地址为172.168.100.22/24

防火墙基本操作(虚拟设备需要开启服务,真实设备不需要):

因为我们需要通过云在浏览器图形化界面对防火墙进行操作,所以需要防火墙和运在同一个网段,

所以我们把FW0/0/0接口IP地址改为172.68.100.2/24

Username:admin
Password:
The password needs to be changed. Change now? [Y/N]: y
Please enter old password:                          #初始默认是Admin@123
Please enter new password: 
Please confirm new password: 
Error: New passwords are different.
The password needs to be changed. Change now? [Y/N]: y
Please enter old password: 
Please enter new password: 
Please confirm new password: 

 Info: Your password has been changed. Save the change to survive a reboot. 
*************************************************************************
*         Copyright (C) 2014-2018 Huawei Technologies Co., Ltd.         *
*                           All rights reserved.                        *
*               Without the owner's prior written consent,              *
*        no decompiling or reverse-engineering shall be allowed.        *
*************************************************************************


<USG6000V1>
Jul 10 2024 11:51:11 USG6000V1 ENTEXT/4/CPUUSAGESUDDENCHANGE:1.3.6.1.4.1.2011.5.
25.31.2.0.29 Entity 0: The CPU usage on SPU11 CPU0 is suddenly changed from 64% 
to 7%, and the change value is 57% , exceeding threshold value 40%.
<USG6000V1>sys
Enter system view, return user view with Ctrl+Z.
[USG6000V1]ser	
[USG6000V1]service-man	
[USG6000V1]dis ip int b
2024-07-10 11:51:47.410 
*down: administratively down
^down: standby
(l): loopback
(s): spoofing
(d): Dampening Suppressed
(E): E-Trunk down
The number of interface that is UP in Physical is 4
The number of interface that is DOWN in Physical is 6
The number of interface that is UP in Protocol is 3
The number of interface that is DOWN in Protocol is 7

Interface                         IP Address/Mask      Physical   Protocol  
GigabitEthernet0/0/0              192.168.0.1/24       up         up       该接口默认ip址为 192.168.0.1/24 

GigabitEthernet1/0/0              unassigned           up         down      
GigabitEthernet1/0/1              unassigned           down       down      
GigabitEthernet1/0/2              unassigned           down       down      
GigabitEthernet1/0/3              unassigned           down       down      
GigabitEthernet1/0/4              unassigned           down       down      
GigabitEthernet1/0/5              unassigned           down       down      
GigabitEthernet1/0/6              unassigned           down       down      
NULL0                             unassigned           up         up(s)     
Virtual-if0                       unassigned           up         up(s)     

[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit   #开启所有服务
Jul 10 2024 11:52:07 USG6000V1 DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.25
.191.3.1 configurations have been changed. The current change number is 1, the c
hange loop count is 0, and the maximum number of records is 4095.

[USG6000V1-GigabitEthernet0/0/0]ip address 172.168.100.1 24
浏览器搜素FWip进入图形化界面

PC、server、client的相关基本配置:

PC2:

PC3:

Client1:

Client2:

Server2:

Server3:

交换机配置

生产区与办公区是两个不同区域用不同的Vlan,故在防火墙上面配置子接口,采用单臂路由的形式

先在LW7创建两个vlan

[Huawei]sys	
[Huawei]sysname LW7

[LW7]vlan batch 2 to 3
Info: This operation may take a few seconds. Please wait for a moment...done.

[LW7]int g0/0/2
[LW7-GigabitEthernet0/0/2]port link-type access 
[LW7-GigabitEthernet0/0/2]port default vlan 2

[LW7-GigabitEthernet0/0/2]int g0/0/3	
[LW7-GigabitEthernet0/0/3]port link-type access 	
[LW7-GigabitEthernet0/0/3]port default vlan 3


[LW7-GigabitEthernet0/0/3]int g0/0/1
[LW7-GigabitEthernet0/0/1]port link-type trunk 
[LW7-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
[LW7-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1
配置子接口:
[USG6000V1]int g1/0/3.1
[USG6000V1-GigabitEthernet1/0/3.1]ip address 10.0.1.1 24

[USG6000V1-GigabitEthernet1/0/3.1]int g1/0/3.2
[USG6000V1-GigabitEthernet1/0/3.2]ip address 10.0.2.1 24

在FW1的web网页中做相关配置

添加安全区域(SC,BG,YK)
G1/0/3:配置对应的子接口

G1/0/3.1:

G1/0/3.2:

g1/0/4

g1/0/0

g1/0/1:

g1/0/2:

接口总体配置如下:

安全策略配置:

1.DMZ区内的服务器,办公区仅能在办公时间内(9:00 --- 18:00)可以访问,生产区的设备全天可以访问

办公区:

生产区:

测试:

用生产区的PC ping Server1

2.生产区不允许访问互联网,办公区和游客区允许访问互联网:
3.办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
对10.0.2.10 禁止对DMZ区的http和ftp服务
4.办公区分布为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名验证;市场部需要用户绑定IP地址,访问DMZ区使用免认证;游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10
(1)研发部IP地址固定,访问DMZ区使用匿名验证

研发部地址为10.0.2.20

( 2)市场部需要用户绑定IP地址,访问DMZ区使用免认证
(3)游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10

创建游客使用的用户:

密码Admin@123

游客使用Guest用户登录,仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10:

5.生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用

批量创建用户:

密码openlab 123

用户不允许多人使用

生产区用户组织架构

6.创建一个自定义管理员,要求不能拥有系统管理的功能
相关推荐
qq_297504612 分钟前
【解决】Linux更新系统内核后Nvidia-smi has failed...
linux·运维·服务器
_oP_i7 分钟前
.NET Core 项目配置到 Jenkins
运维·jenkins·.netcore
weixin_4373982115 分钟前
Linux扩展——shell编程
linux·运维·服务器·bash
小燚~17 分钟前
ubuntu开机进入initramfs状态
linux·运维·ubuntu
小林熬夜学编程24 分钟前
【Linux网络编程】第十四弹---构建功能丰富的HTTP服务器:从状态码处理到服务函数扩展
linux·运维·服务器·c语言·网络·c++·http
上海运维Q先生29 分钟前
面试题整理15----K8s常见的网络插件有哪些
运维·网络·kubernetes
hhhhhhh_hhhhhh_39 分钟前
ubuntu18.04连接不上网络问题
linux·运维·ubuntu
冷心笑看丽美人1 小时前
探秘 DNS 服务器:揭开域名解析的神秘面纱
linux·运维·服务器·dns
wenxiaocsdn1 小时前
某科技局国产服务器PVE虚拟化技术文档
运维·服务器
深圳安锐科技有限公司2 小时前
首次接触结构安全自动化监测系统,价格高吗?后期维护?
运维·自动化