这是本次实验的大体的拓扑,我们还是按照习惯自下而上开始配置。
二层vlan
此次实验将内网主要分为了三个部分,分别是服务器区域,和两个部门,区域内的交换机都为二层设备,只做转发使用,不需要做任何配置,在sw2上,我们需要为企业a,b分别配置两个vlan,然后向上配置trunk也就是实验的第一步:
然后配置好二层后,我们来到网络层
三层:
我们先分别配置好各自的ip地址,然后为两个部门配置两个子接口,子接口具体的步骤可以见ensp防火墙的初始化登录及防火墙的简单策略-CSDN博客的路由部分
然后有一个很关键的一个点:实验要求我们需要在防火墙上配置dhcp下发ip地址,但是防火墙是拒绝所有的,就算允许了,但是如果不设置安全策略,你dhcp也会下发失败!
所以我们暂时先自己按照可选范围自己先填写一个静态的ip,后面进行策略编写的时候再改回来就行。
防火墙设置dhcp和路由器一模一样的,具体步骤可详见:
初识网络配置以及配置dhcp的服务器过程的理解_error:please delete the network section first.-CSDN博客
的终端部分
我们也可以在网页上查看到我们的防火墙的dhcp服务在状态:
其中如果我们需要绑定一个ip固定dhcp给一个pc,我们可以绑定其mac地址,我们在高级中:
即可。
我们在此可以将默认的安全策略改为允许所有,我们目前应该是所有设备全网可达的状态。
策略
我们按照实验步骤来:
创建安全区域:
然后我们创建地址组:
tips:地址组和安全区域尽量在所有策略开始之前就填写好,因为策略很多都要填写这两个选项,而且建议服务器每个单独写一个地址,然后汇总也写一个地址,因为有很多策略是单独对一个服务器的,而有些是针对dmz区域的。
开始用户认证策略编写:
我们先创建认证域:
我们尽量勾选认证域同名组,这样我们的域就是单独的,不和default组相关。
我们创建用户组:
然后我们将每个组中对应的用户添加进去:
我们选两个特例:
这个是采用了双向绑定:即 该用户只能使用指定的地址登录,该地址仅允许该用户使用
这一个也是双向绑定但是是绑定的mac地址更为严格:
我们尽量在设置用户的时候设置部允许多人同时使用该账号登陆。
开始编写认证策略:
我们在此前设置的安全区域和地址组开始发力,在编写的过程中,我们只需要根据要求来直接编写即可,因为相对重复我们拿一个来说:
我们名字还是尽量见名知意,认证动作:
portal:就是网页认证
免认证:相当于一个通行证,防火墙看到了直接放走
不认证:防火墙直接不看
匿名认证:登进去之后没有名字,只显示ip地址,相对安全。
此外,我们还可以根据要求来进行认证设置:
尽量都这么勾选。
这个有个认证后跳转,就是我们经常见到的,登陆后跳转到原来的网页的一种效果,但是要我们先进入到一个网页,然后被拦截后进入登陆界面,才返回去,如果我们直接就是登陆的这个页面,那就什么都不发生,因为没有原来的web页面。
Tips:要进行认证动作一定要些一个安全策略!!!(非常非常重要!!)
否则你的认证这一行为,在安全策略上是不通过的。
端口号就是你认证设置的端口号。
安全策略:
整体就是这些,对于安全策略的编写具体步骤可详见:
此次实验还插入了管理员的创建:
也比较简单,我们先创建一个新的管理员角色
然后我们添加一个新的管理员即可
这里有一个要注意的点:我们的信任主机要填写防火墙的本地ip地址才可以,不然你使用其他的ip是登不进去当前防火墙的web中的。