网络安全-防御 第一次作业(由于防火墙只成功启动了一次未补截图)

防火墙安全策略课堂实验报告

一、拓扑

本实验拓扑包含预启动设备、DMZ区域(含OA Server和Web Server)、防火墙(FW1)、Trust区域(含办公区PC和生产区PC)等。具体IP地址及连接关系如给定拓扑图所示,办公区对应VLAN 2,生产区对应VLAN 3,各设备通过不同接口与防火墙相连。

二、需求

  1. VLAN 2属于办公区,VLAN 3属于生产区。
  2. 办公区PC在工作日(周一至周五,早8到晚6)可以正常访问OA Server,其他时间不允许。
  3. 办公区PC可以在任意时刻访问Web Server。
  4. 生产区PC可以在任意时刻访问OA Server,但是不能访问Web Server。
  5. 特例:生产区PC3可以在每周一早10到早11访问Web Server,用来更新企业最新产品信息。

三、需求分析

(一)时间策略分析

  1. 对于办公区PC访问OA Server,需要设置时间策略,限定在工作日(周一至周五)的早8到晚6时间段。
  2. 生产区PC3访问Web Server的特例,需要设置每周一的早10到早11时间策略。

(二)区域访问策略分析

  1. 需配置办公区(VLAN 2)到DMZ区域(OA Server和Web Server)的访问策略,区分不同的访问时间和服务器。
  2. 生产区(VLAN 3)到DMZ区域的访问策略,允许访问OA Server但禁止访问Web Server,同时处理PC3的特例访问。

四、配置详细信息

(一)Web界面配置

  1. 登录防火墙:打开浏览器,输入防火墙IP地址,使用用户名admin和密码admin@123登录。
  2. 配置区域:进入"区域"配置界面,将接口分别加入Trust区域和DMZ区域。
  3. 配置时间策略
    • 在"时间"配置模块,创建"工作日8 - 18"时间对象,设置周一至周五的早8到晚6时间段。
    • 创建"周一10 - 11"时间对象,设置每周一的早10到早11时间段。
  4. 配置安全策略
    • 办公区PC访问OA Server策略:源区域为Trust(办公区VLAN 2),目的区域为DMZ(OA Server),服务为any,时间为"工作日8 - 18",动作为允许;其他时间配置一条拒绝策略。(截图展示策略配置界面及参数设置)
    • 办公区PC访问Web Server策略:源区域为Trust(办公区VLAN 2),目的区域为DMZ(Web Server),服务为any,时间为any,动作为允许。
    • 生产区PC访问OA Server策略:源区域为Trust(生产区VLAN 3),目的区域为DMZ(OA Server),服务为any,时间为any,动作为允许。
    • 生产区PC访问Web Server策略:源区域为Trust(生产区VLAN 3),目的区域为DMZ(Web Server),服务为any,时间为any,动作为拒绝。
    • 生产区PC3访问Web Server特例策略:源IP为PC3的IP(192.168.1.130),源区域为Trust,目的区域为DMZ(Web Server),服务为any,时间为"周一10 - 11",动作为允许。

(二)命令行配置

  1. 进入系统视图

    system - view

  2. 配置区域

    firewall zone trust
    add interface GigabitEthernet 0/0/1
    quit
    firewall zone dmz
    add interface GigabitEthernet 0/0/0
    quit

  3. 配置时间策略

    time - range workday_8 - 18 08:00 to 18:00 working - days
    time - range monday_10 - 11 10:00 to 11:00 monday

  4. 配置安全策略

    rule name office_to_oa_allow
    source - zone trust
    destination - zone dmz
    source - address 192.168.1.0 255.255.255.0
    destination - address 10.0.0.1 255.255.255.0
    service any
    time - range workday_8 - 18
    action permit
    rule name office_to_oa_deny
    source - zone trust
    destination - zone dmz
    source - address 192.168.1.0 255.255.255.0
    destination - address 10.0.0.1 255.255.255.0
    service any
    action deny
    rule name office_to_web_allow
    source - zone trust
    destination - zone dmz
    source - address 192.168.1.0 255.255.255.0
    destination - address 10.0.0.2 255.255.255.0
    service any
    action permit
    rule name production_to_oa_allow
    source - zone trust
    destination - zone dmz
    source - address 192.168.1.129 0.0.0.0
    destination - address 10.0.0.1 255.255.255.0
    service any
    action permit
    rule name production_to_web_deny
    source - zone trust
    destination - zone dmz
    source - address 192.168.1.129 0.0.0.0
    destination - address 10.0.0.2 255.255.255.0
    service any
    action deny
    rule name pc3_to_web_allow
    source - zone trust
    destination - zone dmz
    source - address 192.168.1.130 0.0.0.0
    destination - address 10.0.0.2 255.255.255.0
    service any
    time - range monday_10 - 11
    action permit

五、测试

(一)通信结果测试

  1. 在工作日早8到晚6,使用办公区PC访问OA Server,能正常访问;在非工作日或非此时间段,访问失败。
  2. 办公区PC在任意时刻均可访问Web Server。
  3. 生产区PC在任意时刻均可访问OA Server,访问Web Server失败。
  4. 在每周一早10到早11,生产区PC3可以访问Web Server,其他时间访问失败。

(二)会话表测试

在防火墙的Web界面或通过命令行查看会话表,在办公区PC访问OA Server(符合策略时间)时,会话表中会显示相应的会话记录,包含源IP、目的IP、服务等信息;不符合策略时,无对应会话记录。其他策略访问情况同理。

(三)server - map表测试

通过命令行查看server - map表,验证各服务器映射相关信息是否正确,如DMZ区域服务器的地址映射等。

相关推荐
世界尽头与你31 分钟前
【网络法医】Docker取证
运维·安全·网络安全·docker·容器
网络安全Ash1 小时前
网络安全ITP是什么 网络安全产品ips
安全·web安全
楠目5 小时前
防火墙综合练习2
安全
网络安全Jack5 小时前
网络安全 理清 安全 边界
安全·web安全
战神/calmness6 小时前
DeepSeek影响网络安全行业?
人工智能·安全·信息安全
ZTLJQ6 小时前
黑客实战教程-SQL注入攻击与跨站脚本(XSS)攻击
网络·安全·网络安全·网络攻击模型
黑客Ash7 小时前
b s架构 网络安全 网络安全架构分析
网络·web安全·架构
doubt。10 小时前
3.攻防世界 unseping(反序列化与魔术方法)
网络·web安全·网络安全·php·代码复审
阿里云云原生12 小时前
云消息队列 ApsaraMQ Serverless 演进:高弹性低成本、更稳定更安全、智能化免运维
运维·安全·serverless