防火墙配置安全策略以及用户认证综合实验

一、拓扑图：

二、实验需求：

1、DMz区内的服务器，办公区仅能在办公时间内(9:00-18：00)可以访问，生产区的设备全天可以访问；

2、生产区不允许访问互联网，办公区和游客区允许访问互联网

3、办公区设备10.0.2.10不允许访问DMz区的FTP服务器和HTTP服务器，仅能ping通10.0.3.10

4、办公区分为市场部和研发部，研发部IP地址固定，访问DMZ区使用匿名认证，市场部需要用户绑定IP地址，访问DMZ区使用免认证;游客区人员不固定，不允许访问DMZ区和生产区，统一使用Guest用户登录，密码Admin@123,

游客仅有访问公司门户网站和上网的权限，门户地址10.0.3.10

5，生产区访问DMz区时，需要进行portal认证，设立生产区用户组织架构，至少包含三个部门，每个部门三个用户，

用户统一密码openlab123，首次登录需要修改密码，用户过期时间设定为10天，用户不允许多人使用

6、创建一个自定义管理员，要求不能拥有系统管理功能

三、实验思路：

1、防火墙配置g0/0/0接口IP地址（192.168.0.1/24），开启server-manage all服务，连接Cloud云后通过web登录；防火墙g1/0/1配置子接口放通对应vlan（生产区vlan10，办公区vlan20）；

2、两条安全策略，通往DMZ区域，一条办公区仅能在办公时间内(9:00-18：00)可以访问，一条生产区的设备全天可以访问；

3、三条安全策略，通往untrust区域，实现生产区不允许访问互联网，办公区和游客区允许访问互联网；

4、 一条安全策略，通往DMZ区域，办公区设备10.0.2.10不允许访问DMz区的FTP服务器和HTTP服务器，但能ping通10.0.3.10；

 5、办公区分为市场部和研发部，研发部IP地址固定，访问DMZ区使用匿名认证，市场部需要用户绑定IP地址，访问DMZ区使用免认证;

6、游客区人员不固定，不允许访问DMZ区和生产区，统一使用Guest用户登录，密码Admin@123,游客仅有访问公司门户网站和上网的权限，门户地址10.0.3.10

7、生产区访问DMz区时，需要进行portal认证，设立生产区用户组织架构，至少包含三个部门，每个部门三个用户，用户统一密码openlab123，首次登录需要修改密码，用户过期时间设定为10天，用户不允许多人使用

8、创建一个自定义管理员，开启只读。

四、实验步骤：

（web登录步骤略）

    1、LSW2配置vlan10（生产区）、vlan20（办公区），配置access和trunk；

LSW2上：

vlan batch 10 20

interface GigabitEthernet0/0/1

 port link-type trunk

 undo port trunk allow-pass vlan all

 port trunk allow-pass vlan 10 to 20

#

interface GigabitEthernet0/0/2

 port link-type access

 port default vlan 10

#

interface GigabitEthernet0/0/3

 port link-type access

 port default vlan 20

2、创建子接口，并划分valn

创建办公区（BG）和生产区（SC）安全区域

创建子接口，划分vlan和安全区域

3、两条安全策略，通往DMZ区域，一条办公区仅能在办公时间内(9:00-18：00)可以访问，一条生产区的设备全天可以访问；

办公区到DMZ：

创建办公时间

生产区访问DMZ：

4、三条安全策略，通往untrust区域，实现生产区不允许访问互联网，办公区和游客区允许访问互联网；

       创建游客区

       配置连接ISP的接口

创建安全策略

游客区：

生产区：

办公区：

5、一条安全策略，办公区通往DMZ区域，办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器，但能ping通10.0.3.10；（因为前面已经有一条BG到DMZ的安全策略，这里直接修改服务，只选icmp服务）

6、办公区分为市场部和研发部，研发部IP地址固定，访问DMZ区使用匿名认证，研发部需要用户绑定IP地址，访问DMZ区使用免认证;

    创建部门：

研发部访问DMZ：

市场部访问DMZ：

7、游客区人员不固定，不允许访问DMZ区和生产区，统一使用Guest用户登录，密码Admin@123,游客仅有访问公司门户网站和上网的权限，门户地址10.0.3.10

    创建guest用户：

游客区不允许访问DMZ和生产区：

       游客仅有访问公司门户网站和上网的权限，门户地址10.0.3.10：

8、生产区访问DMz区时，需要进行portal认证，设立生产区用户组织架构，至少包含三个部门，每个部门三个用户，用户统一密码openlab123，首次登录需要修改密码，用户过期时间设定为10天，用户不允许多人使用

       生产区访问DMZ进行portal认证：

生产区用户组织架构：

9、创建一个自定义管理员，要求不能拥有系统管理的功能