防火墙练习实验

一、实验拓扑

二、实验要求

1、DMZ区内的服务器,办公区仅能在办公时间内9:00-18:00)可以访问,生产区的设备全天可以访问;

2、生产区不允许访问互联网,办公区和游客区允许访问互联网;

3、办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10; 4、办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证;游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10;

5、生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包括三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天用户不允许多人使用;

6、创建一个自定义管理员,要求不能拥有系统管理的功能;

三、实验思路

1、

(1)配置IP地址

①交换机LSW1划分vlan2和vlan3,接口ge0/0/2对应的生产区为vlan2,接口ge0/0/3对应的办公区为vlan3,接口ge0/0/1配置trunk放通vlan 2和vlan 3的流量;

②pc端、客户端、服务器手动配置IP地址;

(2)登录防火墙FW1并连接cloud云,访问防火墙进入图形化界面

①登录防火墙FW1,默认密码为Admin@123,需要修改密码并开启防火墙所有的功能;

②利用eNSP的Cloud云连接物理机防火墙(web)——cloud云用于连接虚拟机和物理机;

③浏览器访问防火墙进入图形化界面,通过输入为防火墙配置的IP地址,后可加端口号8443;

(3)在防火墙图形化界面,网络-接口-接口列表中新建接口

(4)在防火墙图形化界面,策略-安全策略-安全策略表中新建两条策略,使DMZ区内的服务器,办公区仅能在办公时间内9:00-18:00)可以访问,生产区的设备全天可以访问

2、

(1)禁止生产区访问internet

(2)允许办公区和游客区访问internet

3、

(1)写一条禁止到dmz区的http服务和ftp服务的策略

(2)写一条允许办公区ping通10.0.3.10的策略

4、

(1)在对象-用户-认证域-认证域列表中新建一个大的组网——gongsi

(2)在gongsi里面创建用户组生产区和办公区

(3)在gongsi中新建用户去创建办公区里面的研发部和市场部(密码:@123Admin)

(4)研发部绑定一个地址,到dmz区域使用匿名认证

(5)市场部绑定一个IP地址,到dm区使用免认证

(6)创建Guest用户,然后不允许游客访问DMZ和SC(安全策略)

(7)允许游客访问10.0.3.1

5、

(1)在生产区下面创建三个部门并且每个部门要三个用户;使用批用户创建,密码设置一样

6、

(1)系统-管理员-管理员角色-新建

四、实验步骤

1、要求1

(1)配置IP地址:

①交换机LSW1划分vlan2和vlan3,接口ge0/0/2对应的生产区为vlan2,接口ge0/0/3对应的办公区为vlan3,接口ge0/0/1配置trunk放通vlan 2和vlan 3的流量;
交换机LSW1:
​
[Huawei]vlan 2
[Huawei-vlan2]vlan 3
​
[Huawei-vlan3]int g0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 2
​
[Huawei-GigabitEthernet0/0/2]int g0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type access 
[Huawei-GigabitEthernet0/0/3]port default vlan 3
​
[Huawei-GigabitEthernet0/0/3]int g0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type trunk 
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
②pc端、客户端、服务器手动配置IP地址;

(2)登录防火墙FW1并连接cloud云,访问防火墙进入图形化界面:

①登录防火墙FW1,默认密码为Admin@123,需要修改密码(@123Admin)并开启防火墙所有的功能;

防火墙FW1:
#由于防火墙默认关闭了所有的功能,这里还需要进入到g0/0/0接口下开启功能
​
[USG6000V1]int g0/0/0   
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit
②利用eNSP的Cloud云连接物理机防火墙(web)——cloud云用于连接虚拟机和物理机;

首先,创建一个虚拟以太网,配置好IP之后,再启动ensp进行cloud云配置;

  • win+x 

  • 选中显示适配器之后,点击操作

  • 点击添加过时硬件

  • 点击下一页直到选择常见硬件类型时,选择网络适配器

  • 点击下一页,厂商选择Microsoft,型号选择Microsoft KM-TEST环回适配器

  • 配置虚拟网卡的IP地址

  • 配置cloud云:先增加UDP端口,再增加新创建的虚拟网卡以太网4,然后入端口号默认为1,出端口号选择2,勾选双向通道之后点击增加。

其次,将防火墙的接口ip设置为与虚拟网卡一个网段:

防火墙FW1:
​
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.100.1 24
③浏览器访问防火墙进入图形化界面,通过输入为防火墙配置的IP地址,后可加端口号8443;

(3)在防火墙图形化界面,网络-接口-安全区域-安全区域列表中新建办公区、游客区、生产区;网络-接口-接口列表中新建接口

  • 新建安全区域(办公区、游客区、生产区)

  • 接口GE1/0/0直接配置,启用访问管理中ping功能

  • 接口GE1/0/1配置子接口

  • 接口GE1/0/2直接配置接口

  • 接口GE1/0/3直接配置接口

  • 接口GE1/0/4直接配置接口

(4)在防火墙图形化界面,策略-安全策略-安全策略表中新建两条策略,使DMZ区内的服务器,办公区仅能在办公时间内9:00-18:00)可以访问,生产区的设备全天可以访问

  • 生产区访问DMZ,

  • 办公区访问DMZ

  • 配置系统时间:系统-配置-时钟配置-配置方式选择与本地系统同步时间

测试一下,看客户端是否可以ping通并且访问服务器:

  • 首先,启动服务器的http

  • 其次,看客户端是否可以ping通服务器

  • 再其次,输入服务器的地址

2、要求2

(1)禁止生产区访问internet

(2)允许办公区和游客区访问internet

测试:

查看命中次数确定策略是否写通:

3、要求3

(1)写一条禁止到dmz区的http服务和ftp服务的策略

(2)写一条允许办公区ping通10.0.3.10的策略

测试一下:

4、要求4

(1)在对象-用户-认证域-认证域列表中新建一个大的组网——gongsi

(2)在gongsi里面创建用户组生产区和办公区

(3)在gongsi中新建用户去创建办公区里面的研发部和市场部(密码:@123Admin)

(4)研发部绑定一个地址,到dmz区域使用匿名认证

(5)市场部绑定一个IP地址,到dm区使用免认证

(6)创建Guest用户,然后不允许游客访问DMZ和SC(安全策略)

(7)允许游客访问10.0.3.10

5、要求5

(1)在生产区下面创建三个部门并且每个部门要三个用户;使用批用户创建,密码设置一样

  • 批量创建用户

  • 生产区访问dmz区时,进行portal认证

6、要求6

系统-管理员-管理员角色-新建

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/791637.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

git查看版本,查看安装路径、更新版本

git version 查看版本 git update-git-for-windows 更新版本 git version 查看版本

顶顶通呼叫中心中间件实现随时启动和停止质检(mod_cti基于FreeSWITCH)

文章目录 前言联系我们拨号方案启动停止ASR执行FreeSWITCH 命令接口启动ASR接口停止ASR接口 通知配置cti.json配置质检结果写入数据库 前言 顶顶通呼叫中心中间件的实时质检功能是由两个模块组成:mod_asr 和 mod_qc。 mod_asr:负责调用ASR将用户们在通…

beyond Compare连接 openWrt 和 VsCode

连接步骤总结 1. 新建会话 -> 文件夹比较 2.点击浏览文件夹 3.在弹出页面 配置 ftp 3.1)选中ftp 配置文件 3.2)选中ssh2 3.3)填写我们需要远端连接的主机信息 先点击连接并浏览 得到下方文件夹 弹出无效登录,说明需要密码 我们返回右键刚刚创建的新 …

旷野之间12 - 内容创作用的最佳大模型评测

​​​​​​ 我正在做一个项目,需要我找出最适合内容创作的 LLM。我查看了 lmsys 排行榜上的顶级模型,阅读了其他人对这些模型的评价,查看了顶级 LLM 的模型卡,在没有明确答案后,我决定对所有这些 LLM 进行测试,以完成不同的内容创作任务。 评估模型 我想要评估的模型…

【软件测试】 1+X初级 功能测试试题

培训进修模块需求说明书 普通员工登录系统,在“培训进修”模块,可以查看个人培训进修的信息。 培训进修需求包括用户(UI)页面、业务规则两部分。 UI 界面 培训进修:列表页 培训进修:查看培训信息 业务规…

【Git基本操作】添加文件 | 修改文件 | 及其各场景下.git目录树的变化

目录 1. 添加文件&add操作和commit操作 2. .git树状目录的变化 3. git其他操作 4. 修改文件 4.1 git status 4.2 git diff 1. 添加文件&add操作和commit操作 add操作:将工作区中所有文件的修改内容 添加进版本库的暂存区中。commit操作:…

springboot轻松音乐-计算机毕业设计源码48092

目 录 摘要 1 绪论 1.1研究背景与意义 1.2研究现状 1.3论文结构与章节安排 2 基于微信小程序的轻松音乐系统分析 2.1 可行性分析 2.1.1 技术可行性分析 2.1.2 经济可行性分析 2.1.3 法律可行性分析 2.2 系统功能分析 2.2.1 功能性分析 2.3 系统用例分析 2.4 系统…

Mysql查询近半年每个月有多少天

Mysql 查询近6个月每个月有多少天: SELECT DATE_FORMAT(DATE_ADD(NOW(),INTERVAL-(CAST( help_topic_id AS SIGNED INTEGER )) MONTH ), %Y-%m) as months,DAY(LAST_DAY(CONCAT(DATE_FORMAT(DATE_ADD(NOW(),INTERVAL-(CAST( help_topic_id AS SIGNED INTEGER )) MO…

Java protobuf序列化

Protobuf概述 Protobuf(全称:Protocol Buffers)是由 Google 开发的一种语言中立、平台无关、可扩展的序列化协议。它用于高效地结构化数据的序列化和反序列化。Protobuf 的主要特点是其紧凑、高效和可扩展的编码格式,使其在各种网…

【单片机毕业设计选题24056】-基于STM32的八路抢答器设计

系统功能: 系统上电后显示“欢迎使用八路抢答系统请稍后”,两秒后进入正常页面显示。 第一行显示系统状态信息,第二行显示抢答计时时间,第三行显示设定的抢答时间, 第四行显示系统状态(空闲状态或计时状态&#xff…

【Qt】之【Bug】MaintenanceTool qt安装组件 无法下载存档

解决 参考:qt更新组件时,提示无法下载存档 进入MaintenanceTool.exe所在目录,使用命令行,镜像源打开程序,进行更新或添加组件 .\MaintenanceTool.exe --mirror https://mirrors.cloud.tencent.com/qt/顺利

基于Intel Chainer 和姿势检测的动作识别(人体、面部、手部关键点识别动作识别)

项目概述 目标 开发一个能够实时或近实时识别特定动作的系统,如运动姿势、表情变化或手势控制。实现对人体关键点的精确追踪,以便于分析和理解人的动态行为。 技术栈 Intel硬件:可能使用Intel的高性能计算平台,如Xeon处理器或…

Spark RDD优化

Spark RDD优化 一、分区优化二、持久化优化三、依赖优化四、共享变量优化五、提交模式与运行模式优化六、其他优化 一、分区优化 分区数调整:RDD的分区数可以通过repartition和coalesce方法进行调整。合理的分区数可以提高并行度,但过多的分区会增加管…

实现Android夜间模式主题:从入门到精通

实现Android夜间模式主题:从入门到精通 随着用户对夜间模式的需求越来越高,Android开发者需要掌握如何在应用中实现夜间模式。本文将详细介绍在Android中实现夜间模式的步骤,包括配置、实现、以及一些最佳实践,帮助开发者创建更具吸引力和用户友好的应用。 夜间模式的优势…

Git分支结构

目录 1. 线性分支结构 2. 分叉与合并结构 3. 分支与标签的关系 4. 并行开发与分支管理策略 测试(本机系统为Rocky_linux9.4) 合并失败解决 删除分支 删除本地分支 删除远程分支 Git 中的分支结构是版本控制中非常重要的概念之一,它描…

基于Java+SpringMvc+Vue技术的就医管理系统设计与实现系统(源码+LW+部署讲解)

目录 界面展示 第六章 部分代码实现 6.1 Spring boot 配置代码 6.2 用户管理及登录登出代码 6.3 Md5 加密算法代码 6.4 部分数据库代码 六、论文参考: 七、其他案例: 系统介绍: 就医管理系统,也称为医院管理系统&#…

14.爬虫---Selenium 经典动态渲染工具的使用

14.Selenium 经典动态渲染工具的使用 1.查看chrome浏览器版本2.ChromeDriver 安装3.Selenium 安装4.验证安装5.基本用法5.1启动浏览器5.2导航到页面5.3查找元素5.3.1单个元素 find_element5.3.2多个元素 find_elements 5.4 执行操作5.5 动作链ActionChains5.6 执行 JavaScript …

LabVIEW平台从离散光子到连续光子的光子计数技术

光子计数技术用于将输入光子数转换为离散脉冲。常见的光子计数器假设光子是离散到达的,记录到来的每一个光子。但是,当两个或多个光子同时到达时,计数器会将其记录为单个脉冲,从而只计数一次。当连续光子到达时,离散光…

微软Edge浏览器全解析:从速度到安全性的全面体验

微软Edge浏览器,自2015年首次亮相以来,已经成为了浏览器市场上不可忽视的一股力量。它不仅集成了Windows 10的许多原生功能,还在速度和安全性上进行了大量的优化。本文将全面解析微软Edge浏览器的各项特性,带您领略这款浏览器的魅…

M12电源分配器:高效率与可靠性的工业解决方案

关键词:M12电源分配器、M12电源接线盒、M12电源分线盒 摘要 M12电源分配器是工业环境中实现高效与可靠电源管理的现代化解决方案。该设备采用坚固的金属外壳和封闭式设计,保证了在严苛工业条件下的稳定运行,达到IP67等级的防护性能&#xf…