防火墙安全实验

匀泪2025-08-01 13:47

一、实验拓补图

二、实验需求

1、VLAN 2属于办公区;VLAN 3属于生产区

2、办公区PC在工作日时间(周一至周五,早8到晚6)可以正常访OA Server,其他时间不允许

3、办公区PC可以在任意时刻访问Web server

4、生产区PC可以在任意时刻访问OA Server,但是不能访问Web Server

5、特例:生产区PC3可以在每周一早10到早11访问Web Server,用来更新企业最新产品信息

三、分析实验需求

一、VLAN 配置

  1. 创建 VLAN:在交换机上分别创建 VLAN 2(办公区)和 VLAN 3(生产区)。
  2. 端口分配
    • 将办公区的 PC(如 PC1)连接的交换机端口划分到 VLAN 2。
    • 将生产区的 PC(如 PC2、PC3)连接的交换机端口划分到 VLAN 3。

二、防火墙策略配置

  1. 办公区 PC(VLAN 2)访问 OA Server
    • 允许规则:配置基于时间的访问规则,允许 VLAN 2 的流量在工作日(周一至周五)的早 8 点到晚 6 点访问 OA Server 所在的服务器(可能在 DMZ 区域或其他特定网段)。
    • 禁止规则:在其他时间段,配置规则禁止 VLAN 2 的流量访问 OA Server。
  2. 办公区 PC(VLAN 2)访问 Web Server:配置允许规则,允许 VLAN 2 的流量在任意时间访问 Web Server。
  3. 生产区 PC(VLAN 3)访问 OA Server:配置允许规则,允许 VLAN 3 的流量在任意时间访问 OA Server。
  4. 生产区 PC(VLAN 3)访问 Web Server
    • 常规禁止规则:配置规则禁止 VLAN 3 中除 PC3 外的其他 PC 访问 Web Server。
    • PC3 特殊规则:配置基于时间的访问规则,允许 PC3(属于 VLAN 3)在每周一的早 10 点到早 11 点访问 Web Server。

三、路由配置

  1. 三层交换机或路由器:确保三层交换机或路由器上配置了正确的路由,使得不同 VLAN 之间以及与外部网络(如 Internet)能够进行通信。
  2. 默认网关:为每个 VLAN 配置默认网关,以便 VLAN 内的设备能够访问其他网络。

四、时间策略配置

  1. 在防火墙或相关设备上:配置时间对象,定义工作日(周一至周五)、早 8 点到晚 6 点、每周一的早 10 点到早 11 点等时间范围。
  2. 关联时间对象与访问规则:将时间对象与相应的防火墙访问规则进行关联,以实现基于时间的访问控制。

五、服务器配置

  1. OA Server 和 Web Server:确保服务器上的相关服务(如 OA 系统、Web 服务)正常运行,并且服务器的网络配置(如 IP 地址、子网掩码、默认网关等)正确,能够与其他网络设备进行通信。

四、具体配置

一、配置IP地址

OA Server

WEB Server

PC1

PC2

PC3

检查IP配置

PC1-PC2

PC2-PC3

PC1-PC3

二、划分vlan

LSW2配置

复制代码 
[LSW2]vlan batch 2 3
[LSW2]interface GigabitEthernet 0/0/2
[LSW2-GigabitEthernet0/0/2]port link-type access 
[LSW2-GigabitEthernet0/0/2]port default vlan 2
[LSW2]interface GigabitEthernet 0/0/3
[LSW2-GigabitEthernet0/0/3]port link-type access 
[LSW2-GigabitEthernet0/0/3]port default vlan 3
[LSW2]interface GigabitEthernet 0/0/4
[LSW2-GigabitEthernet0/0/4]port link-type access 
[LSW2-GigabitEthernet0/0/4]port default vlan 3
[LSW2]interface GigabitEthernet 0/0/1
[LSW2-GigabitEthernet0/0/1]port link-type trunk 
[LSW2-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 to 3

三、cloud配置

四、防火墙配置

在华为ENSP模拟器中防火墙的默认账号是:admin 密码是:Admin@123

进入防火请设备并且重置密码

复制代码 
Username:admin
Password:
The password needs to be changed. Change now? [Y/N]: y
Please enter old password: 
Please enter new password: 
Please confirm new password:

进入接口开启服务

复制代码 
[USG6000V1]interface GigabitEthernet 0/0/0
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit

五、进入网页后台配置

配置GE1/0/0接口为dmz区域

GE1/0/1的两个子接口为trust区域

配置防火墙接口

在GE1/0/1接口新建两个子接口分别是GE1/0/1.1,GE1/0/1.2

六、策略配置

一、PC3配置

配置名称和描述以及源安全区域和目的安全区域

配置源地址和目标地址

将服务器一并配置

新建时间段

检查配置

二、办公区PC在工作日时间(周一至周五,早8到晚6)可以正常访问OA Server,其他时间不允许

检查配置

三、办公区PC可以在任意时刻访问Web server

检查配置

四、生产区PC可以在任意时刻访问OA Server,但是不能访问Web Server

检查配置

相关推荐
ayt0074 分钟前
Netty AbstractNioChannel源码深度剖析:NIO Channel的抽象实现
java·数据库·网络协议·安全·nio
北京耐用通信23 分钟前
无缝衔接·高效传输——耐达讯自动化CC-Link IE转Modbus TCP核心解决方案
网络·人工智能·物联网·网络协议·自动化·信息与通信
亚空间仓鼠1 小时前
OpenEuler系统常用服务(五)
linux·运维·服务器·网络
聊点儿技术1 小时前
CDN调度失准导致跨省流量浪费?在GSLB层用IP归属地查询实现精准就近接入
网络·ip·ip归属地查询·ip地址查询·ip离线库·cdn调度
咸鱼嵌入式1 小时前
【AutoSAR】详解PDUR模块
网络
AI成长日志2 小时前
【AI原生开发实战】1.2 传统开发 vs AI原生开发:思维转变与架构差异
服务器·架构·ai-native
戮戮2 小时前
Spring Cloud Gateway 零拷贝参数校验:一种高性能网关架构实践
java·网络·架构·gateway
2301_780789662 小时前
零信任架构在云安全落地过程中的最佳实践
服务器·人工智能·游戏·架构·零信任
[ ]8982 小时前
Stack_MLAG_知识点梳理
网络·笔记·网络协议
上海云盾-小余2 小时前
精准抵御流量攻击:高防 IP + 游戏盾组合部署实战详解
网络·tcp/ip·游戏
热门推荐
01GitHub 镜像站点02一周AI热点速览(2026.03.31-04.06):GPT-6曝光、谷歌开源Gemma 4、资本狂飙与模型军备竞赛03OpenClaw 请求超时 llm request timed out 怎么解决?3 种方案实测,附完整排查流程04AI 编程效率翻倍:Superpowers Skills 上手清单 + 完整指南05Oh My Codex 快速使用指南06CodeBuddy与WorkBuddy深度对比:腾讯两款AI工具差异及实操指南07VMware Workstation Pro 17 虚拟机完整安装教程(2026最新)08Qwen3.5-Omni与Qwen3.6模型全面解析(含测评/案例/使用教程)09MySQL表约束详解:8大核心约束实战指南10UV安装并设置国内源