一、实验拓扑
二、实验要求
1、DMZ区内的服务器,办公区仅能在办公时间内9:00-18:00)可以访问,生产区的设备全天可以访问;
2、生产区不允许访问互联网,办公区和游客区允许访问互联网;
3、办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10; 4、办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证;游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10;
5、生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包括三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天用户不允许多人使用;
6、创建一个自定义管理员,要求不能拥有系统管理的功能;
三、实验思路
1、
(1)配置IP地址
①交换机LSW1划分vlan2和vlan3,接口ge0/0/2对应的生产区为vlan2,接口ge0/0/3对应的办公区为vlan3,接口ge0/0/1配置trunk放通vlan 2和vlan 3的流量;
②pc端、客户端、服务器手动配置IP地址;
(2)登录防火墙FW1并连接cloud云,访问防火墙进入图形化界面
①登录防火墙FW1,默认密码为Admin@123,需要修改密码并开启防火墙所有的功能;
②利用eNSP的Cloud云连接物理机防火墙(web)——cloud云用于连接虚拟机和物理机;
③浏览器访问防火墙进入图形化界面,通过输入为防火墙配置的IP地址,后可加端口号8443;
(3)在防火墙图形化界面,网络-接口-接口列表中新建接口
(4)在防火墙图形化界面,策略-安全策略-安全策略表中新建两条策略,使DMZ区内的服务器,办公区仅能在办公时间内9:00-18:00)可以访问,生产区的设备全天可以访问
2、
(1)禁止生产区访问internet
(2)允许办公区和游客区访问internet
3、
(1)写一条禁止到dmz区的http服务和ftp服务的策略
(2)写一条允许办公区ping通10.0.3.10的策略
4、
(1)在对象-用户-认证域-认证域列表中新建一个大的组网——gongsi
(2)在gongsi里面创建用户组生产区和办公区
(3)在gongsi中新建用户去创建办公区里面的研发部和市场部(密码:@123Admin)
(4)研发部绑定一个地址,到dmz区域使用匿名认证
(5)市场部绑定一个IP地址,到dm区使用免认证
(6)创建Guest用户,然后不允许游客访问DMZ和SC(安全策略)
(7)允许游客访问10.0.3.1
5、
(1)在生产区下面创建三个部门并且每个部门要三个用户;使用批用户创建,密码设置一样
6、
(1)系统-管理员-管理员角色-新建
四、实验步骤
1、要求1
(1)配置IP地址:
①交换机LSW1划分vlan2和vlan3,接口ge0/0/2对应的生产区为vlan2,接口ge0/0/3对应的办公区为vlan3,接口ge0/0/1配置trunk放通vlan 2和vlan 3的流量;
交换机LSW1: [Huawei]vlan 2 [Huawei-vlan2]vlan 3 [Huawei-vlan3]int g0/0/2 [Huawei-GigabitEthernet0/0/2]port link-type access [Huawei-GigabitEthernet0/0/2]port default vlan 2 [Huawei-GigabitEthernet0/0/2]int g0/0/3 [Huawei-GigabitEthernet0/0/3]port link-type access [Huawei-GigabitEthernet0/0/3]port default vlan 3 [Huawei-GigabitEthernet0/0/3]int g0/0/1 [Huawei-GigabitEthernet0/0/1]port link-type trunk [Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
②pc端、客户端、服务器手动配置IP地址;
(2)登录防火墙FW1并连接cloud云,访问防火墙进入图形化界面:
①登录防火墙FW1,默认密码为Admin@123,需要修改密码(@123Admin)并开启防火墙所有的功能;
防火墙FW1: #由于防火墙默认关闭了所有的功能,这里还需要进入到g0/0/0接口下开启功能 [USG6000V1]int g0/0/0 [USG6000V1-GigabitEthernet0/0/0]service-manage all permit
②利用eNSP的Cloud云连接物理机防火墙(web)——cloud云用于连接虚拟机和物理机;
首先,创建一个虚拟以太网,配置好IP之后,再启动ensp进行cloud云配置;
-
win+x
-
选中显示适配器之后,点击操作
-
点击添加过时硬件
-
点击下一页直到选择常见硬件类型时,选择网络适配器
-
点击下一页,厂商选择Microsoft,型号选择Microsoft KM-TEST环回适配器
-
配置虚拟网卡的IP地址
-
配置cloud云:先增加UDP端口,再增加新创建的虚拟网卡以太网4,然后入端口号默认为1,出端口号选择2,勾选双向通道之后点击增加。
其次,将防火墙的接口ip设置为与虚拟网卡一个网段:
防火墙FW1: [USG6000V1]int g0/0/0 [USG6000V1-GigabitEthernet0/0/0]ip add 192.168.100.1 24
③浏览器访问防火墙进入图形化界面,通过输入为防火墙配置的IP地址,后可加端口号8443;
(3)在防火墙图形化界面,网络-接口-安全区域-安全区域列表中新建办公区、游客区、生产区;网络-接口-接口列表中新建接口
-
新建安全区域(办公区、游客区、生产区)
-
接口GE1/0/0直接配置,启用访问管理中ping功能
-
接口GE1/0/1配置子接口
-
接口GE1/0/2直接配置接口
-
接口GE1/0/3直接配置接口
-
接口GE1/0/4直接配置接口
(4)在防火墙图形化界面,策略-安全策略-安全策略表中新建两条策略,使DMZ区内的服务器,办公区仅能在办公时间内9:00-18:00)可以访问,生产区的设备全天可以访问
-
生产区访问DMZ,
-
办公区访问DMZ
-
配置系统时间:系统-配置-时钟配置-配置方式选择与本地系统同步时间
测试一下,看客户端是否可以ping通并且访问服务器:
-
首先,启动服务器的http
-
其次,看客户端是否可以ping通服务器
-
再其次,输入服务器的地址
2、要求2
(1)禁止生产区访问internet
(2)允许办公区和游客区访问internet
测试:
查看命中次数确定策略是否写通:
3、要求3
(1)写一条禁止到dmz区的http服务和ftp服务的策略
(2)写一条允许办公区ping通10.0.3.10的策略
测试一下:
4、要求4
(1)在对象-用户-认证域-认证域列表中新建一个大的组网——gongsi
(2)在gongsi里面创建用户组生产区和办公区
(3)在gongsi中新建用户去创建办公区里面的研发部和市场部(密码:@123Admin)
(4)研发部绑定一个地址,到dmz区域使用匿名认证
(5)市场部绑定一个IP地址,到dm区使用免认证
(6)创建Guest用户,然后不允许游客访问DMZ和SC(安全策略)
(7)允许游客访问10.0.3.10
5、要求5
(1)在生产区下面创建三个部门并且每个部门要三个用户;使用批用户创建,密码设置一样
-
批量创建用户
-
生产区访问dmz区时,进行portal认证
6、要求6
系统-管理员-管理员角色-新建