ENSP实现防火墙区域策略与用户管理

1.DMZ区域内的服务器，办公区仅能在办公时间内（9：00-18：00）可以访问，生产区的设备全天可以访问

2.生产区不允许访问互联网，办公区和游客区允许访问互联网

3.办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器，仅能ping10.0.3.10

4.办公区分为市场部和研发部，研发部IP地址固定，访问DMZ区使用匿名认证，研发部需要用户绑定IP地址，访问DMZ区使用免认证；游客区人员不固定，不允许访问DMZ区和生产区，统一使用Guest用户登录，密码Admin@123，游客仅有访问公司门户网站和上网权限，门户网站地址为10.0.3.10

5.生产区访问DMZ区时，需要进行protal认证，设立生产区用户组织架构，至少包含三个部门，每个部门三个用户，用户统一密码openlab123；首次登录需要修改密码，用户过期时间设定为10天，用户不允许多人使用

6.创建一个自定义管理员，要求不能拥有系统管理功能

交换机与防火墙接口的配置

LSW7交换机配置vlan，其中生产区在vlan2，办公区在vlan3.防火墙在G1/0/3上配置子接口分别实现管理，命令如下。

交换机：

创建vlan

[LSW5]vlan batch  2 to 3

接口配置

[LSW5]int g 0/0/2
[LSW5-GigabitEthernet0/0/2]port link-type access        # 定义接口类型
[LSW5-GigabitEthernet0/0/2]port default  vlan 2           # 定义所属valn

[LSW5]int g 0/0/3
[LSW5-GigabitEthernet0/0/3]port link-type access 
[LSW5-GigabitEthernet0/0/3]port default vlan 3
 
[LSW5]int g 0/0/1  
[LSW5-GigabitEthernet0/0/1]port link-type trunk 
[LSW5-GigabitEthernet0/0/1]port trunk allow-pass vlan  2 3     # 放通vlan 2 3 内的流量

[LSW5-GigabitEthernet0/0/1]undo  port trunk allow-pass vlan  1  # 出于对网络安全的考虑，拒绝vlan1内的流量通过

防火墙配置及接口配置

防火墙IP地址配置

Username:admin
Password:        # 默认密码为Admin@123
The password needs to be changed. Change now? [Y/N]: y
Please enter old password:     
Please enter new password:        # 修改新密码为Mysql@123
Please confirm new password: 

 Info: Your password has been changed. Save the change to survive a reboot. 
*************************************************************************
*         Copyright (C) 2014-2018 Huawei Technologies Co., Ltd.         *
*                           All rights reserved.                        *
*               Without the owner's prior written consent,              *
*        no decompiling or reverse-engineering shall be allowed.        *
*************************************************************************
<USG6000V1>sys

[USG6000V1]int g 0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.100.1 24   # 修改IP地址

[USG6000V1-GigabitEthernet0/0/0] service-manage all permit    # 开启服务