ENSP实现防火墙区域策略与用户管理

目录

实验拓扑与要求​编辑

交换机与防火墙接口的配置

交换机:

创建vlan

接口配置

防火墙配置及接口配置

防火墙IP地址配置

云配置​编辑​编辑​编辑

在浏览器上使用https协议登陆防火墙,并操作

访问网址:https://192.168.100.1:8443​编辑​编辑

防火墙G1/0/1配置子接口​编辑​编辑

防火墙关于DMZ区域的接口G1/0/0​编辑

防火墙关于游客区的接口G1/0/4​编辑

防火墙关于ISP的接口G1/0/1​编辑

防火墙策略建立

1.新建区域​编辑

2.策略建立

办公区访问DMZ​编辑

生产区访问DMZ​编辑

游客区只能访问门户网站10.0.3.10​编辑

针对单个IP10.0.2.10的策略​编辑​编辑

创建toISP的策略

办公区访问ISP

游客区访问ISP

[整体效果:生效顺序 ​编辑](#整体效果:生效顺序 编辑)

[NAT策略可以上网的关键 ​编辑](#NAT策略可以上网的关键 编辑)

防火墙用户创建与管理

办公区的市场部和研发部用户​编辑

[针对市场部和研发部的策略 ​编辑​编辑](#针对市场部和研发部的策略 编辑编辑)

[游客区用户和组的创建 ​编辑](#游客区用户和组的创建 编辑)

生产区用户与组的创建

批量创建生产区车间1的用户(车间2,3同理)​编辑

[生产区的用户策略 ​编辑​编辑](#生产区的用户策略 编辑编辑)

最终整体结构图

[​编辑 设置登录​编辑](#编辑 设置登录编辑)

系统用户创建

设置身份(不选系统相关权限)​编辑新建用户身份选择刚刚建立的管理员​编辑要先有身份再有登录用户!

实验拓扑与要求

要求

1.DMZ区域内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问

2.生产区不允许访问互联网,办公区和游客区允许访问互联网

3.办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping10.0.3.10

4.办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网权限,门户网站地址为10.0.3.10

5.生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123;首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用

6.创建一个自定义管理员,要求不能拥有系统管理功能

交换机与防火墙接口的配置

LSW7交换机配置vlan,其中生产区在vlan2,办公区在vlan3.防火墙在G1/0/3上配置子接口分别实现管理,命令如下。

交换机:

创建vlan
[LSW5]vlan batch  2 to 3
接口配置
[LSW5]int g 0/0/2
[LSW5-GigabitEthernet0/0/2]port link-type access        # 定义接口类型
[LSW5-GigabitEthernet0/0/2]port default  vlan 2           # 定义所属valn

[LSW5]int g 0/0/3
[LSW5-GigabitEthernet0/0/3]port link-type access 
[LSW5-GigabitEthernet0/0/3]port default vlan 3
 
[LSW5]int g 0/0/1  
[LSW5-GigabitEthernet0/0/1]port link-type trunk 
[LSW5-GigabitEthernet0/0/1]port trunk allow-pass vlan  2 3     # 放通vlan 2 3 内的流量

[LSW5-GigabitEthernet0/0/1]undo  port trunk allow-pass vlan  1  # 出于对网络安全的考虑,拒绝vlan1内的流量通过

防火墙配置及接口配置

防火墙IP地址配置

Username:admin
Password:        # 默认密码为Admin@123
The password needs to be changed. Change now? [Y/N]: y
Please enter old password:     
Please enter new password:        # 修改新密码为Mysql@123
Please confirm new password: 

 Info: Your password has been changed. Save the change to survive a reboot. 
*************************************************************************
*         Copyright (C) 2014-2018 Huawei Technologies Co., Ltd.         *
*                           All rights reserved.                        *
*               Without the owner's prior written consent,              *
*        no decompiling or reverse-engineering shall be allowed.        *
*************************************************************************
<USG6000V1>sys

[USG6000V1]int g 0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.100.1 24   # 修改IP地址

[USG6000V1-GigabitEthernet0/0/0] service-manage all permit    # 开启服务

云配置

在浏览器上使用https协议登陆防火墙,并操作
访问网址:https://192.168.100.1:8443

防火墙G1/0/1配置子接口

防火墙关于DMZ区域的接口G1/0/0

防火墙关于游客区的接口G1/0/4

防火墙关于ISP的接口G1/0/1

防火墙策略建立

1.新建区域

2.策略建立

办公区访问DMZ
生产区访问DMZ
游客区只能访问门户网站10.0.3.10
针对单个IP10.0.2.10的策略

创建toISP的策略

办公区访问ISP
游客区访问ISP

整体效果:生效顺序

NAT策略可以上网的关键

防火墙用户创建与管理

办公区用户与组的创建

办公区的市场部和研发部用户

针对市场部和研发部的策略

游客区用户和组的创建

生产区用户与组的创建

批量创建生产区车间1的用户(车间2,3同理)

生产区的用户策略

最终整体结构图

设置登录

系统用户创建

设置身份(不选系统相关权限)新建用户身份选择刚刚建立的管理员要先有身份再有登录用户!

以上实验密码统一为Mysql@123,实验完成

相关推荐
正在走向自律10 分钟前
阿里云ESC服务器一次性全部迁移到另一个ESC
服务器·阿里云·云计算
gywl35 分钟前
openEuler VM虚拟机操作(期末考试)
linux·服务器·网络·windows·http·centos
青木沐35 分钟前
Jenkins介绍
运维·jenkins
WTT00111 小时前
2024楚慧杯WP
大数据·运维·网络·安全·web安全·ctf
苹果醋31 小时前
React源码02 - 基础知识 React API 一览
java·运维·spring boot·mysql·nginx
了一li2 小时前
Qt中的QProcess与Boost.Interprocess:实现多进程编程
服务器·数据库·qt
日记跟新中2 小时前
Ubuntu20.04 修改root密码
linux·运维·服务器
唐小旭2 小时前
服务器建立-错误:pyenv环境建立后python版本不对
运维·服务器·python
明 庭2 小时前
Ubuntu下通过Docker部署NGINX服务器
服务器·ubuntu·docker