安全防御拓扑1

目录

实验的拓扑:

要求:

我搭建的实验拓扑

步骤:

创建vlan:

接口配置:

防火墙:

防火墙配置:

建立安全策略:

防火墙的用户:

办公区的市场部和研发部用户

市场部和研发部的策略

游客区的用户

生产区的用户

设置登陆

系统用户的创建

新用户身份选择刚创立的管理员


实验的拓扑:

要求:

1,DMZ区内的服务器,办公区仅能在办公时间内(9:00 - 18:00)可以访问,生产区的设备全天可以访问.
2,生产区不允许访问互联网,办公区和游客区允许访问互联网
3,办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4,办公区分为市场部和研发部,市场部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123
5,生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次
登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用

我搭建的实验拓扑

步骤:

创建vlan:

创建两个vlan用于区分生产区和办公区,所以应该进入到交换机lsw3

vlan batch 2 to 3
一次性创建两个vlan

此时此刻就可以划分vlan区域了,2给生产区,3给办公区

接口配置:

进入到交换机链接两个区域的接口"生产区 g0/0/2","办公区 g0/03",对两个区域进行分别的修改

生产区:

port link-type access
port default plan 2

办公区:

port link-type access
port default plan 3

此时此刻就将两个区域划分好了,由于交换机的g0/0/1口链接着防火墙,所以,需要在上面进行设置,于是乎在口上:

port link-type trunk 
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 2 to 3 10 20 
port discard tagged-packet

交换器就配置完成了已经

防火墙:

防火墙的网页设置:

先将cloud上绑定信息,添加端口,做到如图后即可

进入防火墙后将接口0/0/0的ip改为跟绑定的网卡的ip一个段(直接进入接口,ip address)

添加完后,在接口上输入指令:service-manage all permit

然后在自己浏览器上输入接口的ip地址,允许进入后,就可以通过自己修改后的管理员的密码和账号就可以对模拟防火墙进行配置了

(查看高级,选择"继续前往")

(输入账号和修改后的密码,就可顺利进入)

防火墙配置:

选择上面一栏的网络,就可以直接跳转到接口

(为配置好后的接口页面)

在拓扑上可以看到连接lsw3交换机的是防火墙的g1/0/1口,所以在页面上选择g1/0/1口,并在这个口下创建两个小接口1.1和1.2,分别对应生产区和办公区

(生产区)

(办公区)

分配好后再根据拓扑图上的情况创建相对应的区域,进入旁边的安全区域里,就可以创建区域

创建区域时需要将其对应的接口给填进去

拓扑上的区域都创建完成后,回到接口处便可以对显示的其他接口进行区域划分

建立安全策略:

进入安全策略页面选择策略再选择安全策略一栏,即可进行创建策略和策略组,

策略组分为DMZ和ISP,旗下:

办公区访问DMZ

生产区访问DMZ

10.0.2.10能去的和不能去的

(能去的)

(不能去的)

游客区只能访问10.0.3.10

办公区去isp的

游客区去isp的

全部策略和策略组

设置NAT策略,来上网

选择下面的NAT策略即可进入创建NAT策略

(即可)

防火墙的用户:

进入对象一栏,选择用户里的default

办公区的市场部和研发部用户

先创建三个对应区域的用户组

市场部

研发部

市场部和研发部的策略

在旁边的认证策略里即可进行创建

市场部

研发部

游客区的用户

创建好游客区的用户组后便可以进行用户的创建

生产区的用户

创建好生产区以及其下的车间后,进行批量用户创建

(注意其每行下的注释,其它车间也是这样进行批量创建)

生产区的策略

设置登陆

在旁边的认证选项里

系统用户的创建

在上方系统一栏里,找到管理员,选定管理员角色

新用户身份选择刚创立的管理员

相关推荐
小春学渗透14 分钟前
Day107:代码审计-PHP模型开发篇&MVC层&RCE执行&文件对比法&1day分析&0day验证
开发语言·安全·web安全·php·mvc
粤海科技君37 分钟前
如何使用腾讯云GPU云服务器自建一个简单的类似ChatGPT、Kimi的会话机器人
服务器·chatgpt·机器人·腾讯云
傲骄鹿先生1 小时前
阿里云centos7.9服务器磁盘挂载,切换服务路径
服务器·阿里云·磁盘
落樱坠入星野1 小时前
拿下阿里云之后如何在本地运行镜像进行分析
经验分享·安全·网络安全·阿里云·云计算
不爱学习的YY酱1 小时前
【计网不挂科】计算机网络期末考试——【选择题&填空题&判断题&简述题】试卷(4)
网络·计算机网络
装睡的小5郎1 小时前
家庭宽带如何开启公网ipv4和ipv6
网络
iSee8571 小时前
ArcGIS地理空间平台 manager 任意文件读取漏洞复现
安全
yfs10241 小时前
压缩Minio桶中的文件为ZIP,并通过 HTTP 响应输出
网络·网络协议·http
有谁看见我的剑了?1 小时前
Ubuntu 22.04.5 配置vlan子接口和网桥
服务器·网络·ubuntu
hgdlip1 小时前
有什么办法换网络ip动态
网络·tcp/ip·智能路由器