防火墙配置安全策略以及用户认证综合实验

发布于:2024-07-11 ⋅ 阅读:(22) ⋅ 点赞:(0)

一、拓扑图:

二、实验需求:

1、DMz区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问;

2、生产区不允许访问互联网,办公区和游客区允许访问互联网

3、办公区设备10.0.2.10不允许访问DMz区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10

4、办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证;游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,

游客仅有访问公司门户网站和上网的权限,门户地址10.0.3.10

5,生产区访问DMz区时,需要进行portal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,

用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用

6、创建一个自定义管理员,要求不能拥有系统管理功能

三、实验思路:

1、防火墙配置g0/0/0接口IP地址(192.168.0.1/24),开启server-manage all服务,连接Cloud云后通过web登录;防火墙g1/0/1配置子接口放通对应vlan(生产区vlan10,办公区vlan20);

2、两条安全策略,通往DMZ区域,一条办公区仅能在办公时间内(9:00-18:00)可以访问,一条生产区的设备全天可以访问;

3、三条安全策略,通往untrust区域,实现生产区不允许访问互联网,办公区和游客区允许访问互联网;

4、 一条安全策略,通往DMZ区域,办公区设备10.0.2.10不允许访问DMz区的FTP服务器和HTTP服务器,但能ping通10.0.3.10;

 5、办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证;

6、游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户地址10.0.3.10

7、生产区访问DMz区时,需要进行portal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用

8、创建一个自定义管理员,开启只读。

四、实验步骤:

(web登录步骤略)

    1、LSW2配置vlan10(生产区)、vlan20(办公区),配置access和trunk;

LSW2上:

vlan batch 10 20

interface GigabitEthernet0/0/1

 port link-type trunk

 undo port trunk allow-pass vlan all

 port trunk allow-pass vlan 10 to 20

#

interface GigabitEthernet0/0/2

 port link-type access

 port default vlan 10

#

interface GigabitEthernet0/0/3

 port link-type access

 port default vlan 20

2、创建子接口,并划分valn

创建办公区(BG)和生产区(SC)安全区域

创建子接口,划分vlan和安全区域

3、两条安全策略,通往DMZ区域,一条办公区仅能在办公时间内(9:00-18:00)可以访问,一条生产区的设备全天可以访问;

办公区到DMZ:

创建办公时间

生产区访问DMZ:

4、三条安全策略,通往untrust区域,实现生产区不允许访问互联网,办公区和游客区允许访问互联网;

       创建游客区

       配置连接ISP的接口

创建安全策略

游客区

生产区:

办公区:

5、一条安全策略,办公区通往DMZ区域,办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,但能ping通10.0.3.10;(因为前面已经有一条BG到DMZ的安全策略,这里直接修改服务,只选icmp服务)

6、办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;

    创建部门:

研发部访问DMZ:

市场部访问DMZ:

7、游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户地址10.0.3.10

    创建guest用户:

游客区不允许访问DMZ和生产区:

       游客仅有访问公司门户网站和上网的权限,门户地址10.0.3.10:

8、生产区访问DMz区时,需要进行portal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用

       生产区访问DMZ进行portal认证:

生产区用户组织架构:

9、创建一个自定义管理员,要求不能拥有系统管理的功能