实验环境
基于该总公司内网,实现图片所在要求
后文配置请以本图为准
接口配置与网卡配置
1、创建vlan
2、防火墙g0/0/0与云页面登录
登录admin,密码Admin@123,自行更改新密码
更改g0/0/0口ip,敲下命令service-manage all permit
网卡配置
浏览器直接输入g0/0/0IP地址 进入防火墙登录页面
3、新建安全区域
4、采用路由模式,配置接口IP并把通过分配接口把其接口下的设备分到各个区域
注意至少要勾选ping
5、ISP路由器接口
接口配置已完成,此时是各个由防火墙隔离的区域互不相通
防火墙安全策略制定
-
办公室可访问DMZ在工作时间
地址是可以自行创建地址组的
时间段可以自行建立的
这样策略就建立成功了,在工作日9:00-18:00策略生效
-
生产区设备全天可访问DMZ
策略生效测试:生产区客户端成功访问http服务器
-
办公区2.10只可以ping通3.10,不可以访问DMZ两服务器
也是在工作时间内生效
注意策略顺序,从上到下进行匹配,可理解为上面的策略优先执行覆盖下面的
-
游客区可以访问3.10
其他默认拒绝
测试:
-
出口策略 办公区和游客区可以访问互联网,生产区不行
重要在于区域的选择
测试:
生产区不能访问外网
游客区可以访问外网
办公区可以访问外网
用户管理与认证
新建一个认证域
zgs(总公司)就是我新建的
通过新建用户组与用户,管理组织结构
-
办公区结构与认证
建立市场部与研发部
研发部IP固定,访问DMZ匿名认证
创建一个研发部员工,固定IP
创建认证策略
新建
市场部IP绑定,访问DMZ免认证
创建市场部员工,ip我选双向绑定
认证策略
-
游客区统一登陆
密码简单先设置强度
建立游客角色
-
生产区批量建立用户组与用户
三个部门,每个部门三个员工
认证
-
修改密码
-
这是整体结构
管理员的建立
没有系统管理功能
1、建立一个新的角色
没有写系统的权限,其他权限随意自己选
2、建立该管理员
3、该管理员可登录且无管理系统权限
over,结束~
