目录
实验拓扑
自己搭建拓扑
实验要求
实验步骤
整通总公司内网
sw3配置vlan
防火墙配置IP
配置安全策略(DMZ区内的服务器,办公区仅能在办公时间内(9: 00- 18:00)可以访问,生产区的设备全天可以访问)
配置nat策略(实现办公区和游客区可以访问互联网)
配置安全策略(实现办公区设备10.0.2.10不允许访问DMZ区FIP服务器和HTTP服务器,仅能ping通10.0.3.10)
设置认证域(办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证)
游客区配置
生产区配置
编辑 创建一个自定义管理员,要求不能拥有系统管理的功能
实验拓扑
自己搭建拓扑
实验要求
1、DMZ区内的服务器,办公区仅能在办公时间内(9: 00- 18:00)可以访问,生产区的设备全天可以访问
2、生产区不允许访问互联网,办公区和游客区允许访问互联网
3、办公区设备10.0.2.10不允许访问DMZ区FIP服务器和HTTP服务器,仅能ping通10.0.3.10
4、办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证;
5、游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门互网站和上网的权限,门互网站地址10.0.3.10
6、生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门有三个用户,用户同一密码openlab123.首次登陆需要修改密码,用户过期时间设定为10天,用户不允许多人使用
6,创建一个自定义管理员,要求不能拥有系统管理的功能
实验步骤
整通总公司内网
sw3配置vlan
防火墙配置IP
创建安全区域
子接口配置
各个接口配置(仅仅展示配置后)
配置安全策略(DMZ区内的服务器,办公区仅能在办公时间内(9: 00- 18:00)可以访问,生产区的设备全天可以访问)
设置时间对象
实现办公区9点到6点的访问
设置安全策略
实现办公区仅能在办公时间内(9: 00- 18:00)可以访问DMZ区
实现生产区设备可以全天访问
实现生产区全天可以访问DMZ
配置nat策略(实现办公区和游客区可以访问互联网)
配置安全策略(实现办公区设备10.0.2.10不允许访问DMZ区FIP服务器和HTTP服务器,仅能ping通10.0.3.10)
设置认证域(办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证)
办公区分市场部研发部
研发部IP地址固定,访问DMZ区使用匿名认证
市场部需要用户绑定IP地址,访问DMZ区使用免认证
游客区配置
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门互网站和上网的权限,门互网站地址10.0.3.10
游客区人员不固定,不允许访问DMZ区和生产区
统一使用Guest用户登录,密码Admin@123
游客区只能访问门互网站
生产区配置
生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门有三个用户,用户同一密码openlab123.首次登陆需要修改密码,用户过期时间设定为10天,用户不允许多人使用
设立生产区用户组织架构,至少包含三个部门
用户同一密码openlab123.首次登陆需要修改密码,用户过期时间设定为10天,用户不允许多人使用
创建一个自定义管理员,要求不能拥有系统管理的功能
配置角色
创建管理员