华为USG6000V防火墙安全策略用户认证

目录

一、实验拓扑图

二、要求

三、IP地址规划

四、实验配置

1🤣防火墙FW1web服务配置

2.网络配置

 要求1:DMZ区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问

 要求2:生产区不允许访问互联网,办公区和游客区允许访问互联网

要求3:办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和http服务器,仅能ping通10.0.3.10

要求4:办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证;游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10

要求5:生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时设定为10天,用户不允许多人使用

要求6:创建一个自定义管理员,要求不能拥有系统管理的功能


一、实验拓扑图

二、要求

1,DMZ区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问。

2,生产区不允许访问互联网,办公区和游客区允许访问互联网

3,办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和http服务器,仅能ping通10.0.3.10,

4,办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证;

游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10

5,生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次

登录需要修改密码,用户过期时设定为10天,用户不允许多人使用

6.创建一个自定义管理员,要求不能拥有系统管理的功能

(分公司的暂时不做)

三、IP地址规划

办公区:

划分在vlan2

IP地址:10.0.2.0/24网段

生产区:

划分在vlan3

IP地址:10.0.1.0/24网段

游客区:

IP地址:10.0.4.0/24

DMZ服务器区:

IP地址:10.0.3.0/24

外网专线:

联通:12.0.0.0/24

电信:21.0.0.0/24

环回模拟外网千千万万网段

1.1.1.1 32

防火墙管理:

IP地址:192.168.100.0/24

  • 实验思路
  1. 首先要确保总司这边的网络能够正常通信
  2. 其次根据要求做相应的防火墙策略

四、实验配置

1😀交换机LSW3

[Huawei]vlan batch 2 3

#

interface GigabitEthernet0/0/3

 port link-type access

 port default vlan 2

#

interface GigabitEthernet0/0/2

 port link-type access

 port default vlan 3

#

interface GigabitEthernet0/0/1

 port link-type trunk

 port trunk allow-pass vlan 2 to 3

#

1🤣防火墙FW1web服务配置

1.启动防火墙之后华为默认登录账号admin,密码:Admin@123;初次登录需要修改密码

2.进入管理口配置web服务登录设置

[USG6000V1-GigabitEthernet0/0/0]service-manage all permit

3.防火墙默认管理端口g0/0/0,管理地址为192.168.0.1/24 我这里修改了管理地址,再将本地的环回口配置在同一网段即可通信

这里通过换回网卡连接将防火墙的管理端口连接到本地,通过web界面进行管理

4.在浏览器界面地址栏位置输入防火墙的管理地址即可登录

输入192.168.100.3

用户名使用admin

密码为修改之后的密码

登录之后进行设置界面

2.网络配置

在网络-->接口-->安全区域首先划分出安全区域

默认有四个区域

我们还需要划分出三个区域,分别是生产区、办公区、游客区(以办公区为例)

划分之后的区域

接口-->进行IP地址的设置

以DMZ区为例:

DMZ区连接防火墙的G1/0/0,所以点GE1/0/0接口进行设置

这里最好先将启动访问管理里的ping勾选,方便测试,后期为了安全可以取消勾选 

而生产区和办公区要在不同的vlan,这里充当网关,所以我们可以使用子接口

新建-->

其他几个区域也是类似的配置方法,配完之后的

 要求1:DMZ区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问

(1)要求1说让办公区在工作时间能够访问DMZ区,那就新建安全策略

策略-->安全策略-->新建安全策略

注意:源安全区域选之前建好的办公区,目的区选DMZ区,源地址写办公区的IP地址

源地址-->新建-->新建地址

目的地址可以直接填写DMZ区的IP地址,也可以新建地址都行,用户这里先不写,后面在进行修改,服务这里因为是服务器区,所以我们要勾选我们需要的服务,不需要的我们就不勾选,默认这边就访问了其他的服务,时间段这里新建时间段,选我们工作期间的时间,动作选允许,之后选确定。

我们现在可以区服务器上开启http服务,(服务器要配置IP地址及网关)

在办公区访问DMZ区(同样这里也要配置IP地址和网关)

我要到的一个问题:

再配置玩策略之后,策略显示

这是我设置的是上班时间为09:00-18:00,但是这里的系统时间忘记设置,系统时间现在不在上班时间,所以这个策略就没有生效。这里需要设置一下系统时间

系统-->配置-->时钟配置-->配置方法

选从本地系统同步时间,点击应用,这时策略才会生效,我们才能正常访问服务器

(2)生产区全天都能访问DMZ 区

这里我的思路和之前一样,只是在新建策略时将时间段改为any,就能正常访问。

 要求2:生产区不允许访问互联网,办公区和游客区允许访问互联网

(1)生产区不允许访问互联网,而华为防火墙这里默认都是拒绝访问,而办公区和游客区允许访问互联网,那我们只需要放通办公区和游客区就行。

这里我选用NAT技术

这是连接联通专线的接口,安全区域选择untrust区,默认网关指向ISP,路由表中会产生有一条缺省指向联通专线,

策略

策略-->NAT策略-->新建

策略-->安全策略-->新建安全策略

这样我们就可以正常访问外网,而生产区访问不了

要求3:办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和http服务器,仅能ping通10.0.3.10

这里单拎出来做了策略

放第一位,因为这个策略是自上向下匹配,我将ftp、http服务和其他服务器的访问都禁止掉,仅ping10.0.3.10再做一个策略

要求4:办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证;游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10

要求5:生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时设定为10天,用户不允许多人使用

这里要对用户登录进行认证,那就创建用户,先创认证域,再加入用户

对象-->用户-->认证域-->新建

创建完之后这里会出现一个认证域

进去我们创建用户

Open-->新建

先创用户组,再创各个部门,再创用户同时将用户加入对应的用户组这样方便以后的管理

这里用到了新建用户组,批量新建用户,新建用户。

题中要求研发部IP地址固定,这里选单向绑定;市场部需要用户绑定IP地址,这里选双向绑定,该IP地址只能该用户登录,其他用户想用这台主机是不行的,即为固定IP

这里有个小点是:要求密码设为openlan123,但是默认设置要求大小写加数字,我们将密码这里设为中级,使用小写加数字就可以设置

配置认证策略,题中说研发部去访问DMZ区使用匿名登录,而市场部使用免认证,生产部访问进行protal认证,如图配置

账号国企时间在创建用户时设置,在用户属性选项中,要求设置为10天,不允许多人使用,

这些要求都在这里进行设置即可。

游客账号设置

同时允许多人登录这个账号

游客仅有访问公司门户和上网的权限,这里游客不能访问DMZ和生产区,那我们就只放通办公区和门户网站

这样其他的服务就通不了咯,同时他们还能访问外网

验证:

要求6:创建一个自定义管理员,要求不能拥有系统管理的功能

系统-->管理员-->管理员角色创建

新建管理员

管理员登录

权限发生变化

实验到这里就全部做完了,不完美的就是这里的用户验证不完全,不知道做的配置和策略能不能完全成功。其他的思路只要清晰,这个配置起来不难吧!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/802612.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

(01)Unity使用在线AI大模型(使用百度千帆服务)

目录 一、概要 二、环境说明 三、申请百度千帆Key 四、使用千帆大模型 四、给大模型套壳 一、概要 在Unity中使用在线大模型分为两篇发布,此篇文档为在Python中使用千帆大模型,整体实现逻辑是:在Python中接入大模型—>发布为可传参的…

NSSCTF中24网安培训day2中web题目【下】

[NISACTF 2022]easyssrf 这道题目考察的是php伪协议的知识点 首先利用file协议进行flag查找 file:///flag.php 接着我们用file协议继续查找fl4g file:///fl4g 接着我们访问此文件,得到php代码如下 这里存在着stristr的函数&#x…

CREC晶振产品分类

CREC晶振大类有石英晶体谐振器、石英晶体振荡器、石英晶体滤波器 其中石英晶体谐振器: KHZ石英谐振器 车规级32.768KHz石英谐振器 专为汽车RTC应用而设计,通过AECQ-200可靠性测试,满足汽车电子的高标准时频需求,为客户提供可靠…

打破平台限制,使智能手机和平板电脑上无缝运行Windows x86/x64架构的软件和游戏的一款安卓应用

大家好,今天给大家分享一款专为Android设备设计的模拟器应用Winlator。其核心功能是能够在基于ARM架构的智能手机和平板电脑上无缝运行Windows x86/x64架构的软件和游戏。 Winlator是一款Android应用程序,它允许用户使用Wine和Box86/Box64在Android设备上…

通过Dockerfile构建镜像

案例一: 使用Dockerfile构建tomcat镜像 cd /opt mkdir tomcat cd tomcat/ 上传tomcat所需的依赖包 使用tar xf 解压三个压缩包vim Dockerfile FROM centos:7 LABEL function"tomcat image" author"tc" createtime"2024-07-16"ADD j…

4. JavaSE ——【移位运算符】

📖 开场白 亲爱的读者,大家好!我是一名正在学习编程的高校生。在这个博客里,我将和大家一起探讨编程技巧、分享实用工具,并交流学习心得。希望通过我的博客,你能学到有用的知识,提高自己的技能&…

《后端程序员 · Nacos 常见配置 · 第一弹》

📢 大家好,我是 【战神刘玉栋】,有10多年的研发经验,致力于前后端技术栈的知识沉淀和传播。 💗 🌻 CSDN入驻不久,希望大家多多支持,后续会继续提升文章质量,绝不滥竽充数…

MQ基础1

对应B站视频: MQ入门-01.MQ课程介绍_哔哩哔哩_bilibili 微服务一旦拆分,必然涉及到服务之间的相互调用,目前我们服务之间调用采用的都是基于OpenFeign的调用。这种调用中,调用者发起请求后需要等待服务提供者执行业务返回结果后…

C#小结:未能找到类型或命名空间名“xxx”(是否缺少 using 指令或程序集引用?)

方案一:移除类库这些失效的引用,下载对应版本的dll(如有则不需要重复下载),重新添加引用 方案二:类库右键属性-调整目标框架版本(一般是降低版本) 方案三:调整类库编译顺…

【TensorRT】Yolov5-DeepSORT 目标跟踪

Yolov5-DeepSORT-TensorRT 本项目是 Yolo-DeepSORT 的 C 实现,使用 TensorRT 进行推理 🚀🚀🚀 开源地址:Yolov5_DeepSORT_TensorRT,求 star⭐ ~ 引言 ⚡ 推理速度可达25-30FPS,可以落地部署&…

分布式 I/O 系统Modbus TCP 耦合器BL200

BL200 耦合器是一个数据采集和控制系统,基于强大的 32 位微处理器设计,采用 Linux 操作系统,可以快速接入现场 PLC、SCADA 以及 ERP 系统, 内置逻辑控制、边缘计算应用,支持标准 Modbus TCP 服务器通讯,以太…

<数据集>铁轨缺陷检测数据集<目标检测>

数据集格式:VOCYOLO格式 图片数量:844张 标注数量(xml文件个数):844 标注数量(txt文件个数):844 标注类别数:3 标注类别名称:[Spalling, Squat, Wheel Burn] 序号类别名称图片数框数1Spalling3315522…

FastAPI 学习之路(五十)WebSockets(六)聊天室完善

我们这次只是对于之前的功能做下优化,顺便利用下之前的操作数据的接口,使用下数据库的练习。 在聊天里会有一个上线的概念。上线要通知大家,下线也要通知大家谁离开了,基于此功能我们完善下代码。 首先,我们的登录用…

亲子母婴行业媒体邀约宣发资源

传媒如春雨,润物细无声,大家好,我是51媒体网胡老师。 亲子母婴行业是一个综合性的产业,涉及多个领域,包括儿童食品,儿童玩具,服装,洗护,月子中心,母婴护理&a…

Is Temperature the Creativity Parameter of Large Language Models?阅读笔记

最近有小伙伴来问LLM的参数该如何设计,废话不多说来看看paper吧。首先,常见的可以进行调参的几个值有temperature,top-p和top-k。今天这篇文章是关于temperature的。 原文链接:https://arxiv.org/abs/2405.00492 temperature如果…

Google如何构建AlphaFold 3来预测所有生命分子的结构和相互作用

每周跟踪AI热点新闻动向和震撼发展 想要探索生成式人工智能的前沿进展吗?订阅我们的简报,深入解析最新的技术突破、实际应用案例和未来的趋势。与全球数同行一同,从行业内部的深度分析和实用指南中受益。不要错过这个机会,成为AI领…

硕博电子智能控制器、触摸显示屏在集装箱跨运车上的应用

港口跨运车,又称跨运车或轮胎式龙门吊(RTG),专门用于集装箱码头的装卸和搬运作业,能够迅速完成集装箱在码头前沿、堆场区域以及仓库之间的运输和堆垛,大幅度缩短了装卸周期,提高了港口物流周转效率。 现代跨运车往往配…

泛微e-cology WorkflowServiceXml SQL注入漏洞(POC)

漏洞描述: 泛微 e-cology 是泛微公司开发的协同管理应用平台。泛微 e-cology v10.64.1的/services/接口默认对内网暴露,用于服务调用,未经身份认证的攻击者可向 /services/WorkflowServiceXml 接口发送恶意的SOAP请求进行SQL注入,…

xiuno兔兔超级SEO插件(精简版)

xiuno论坛是一个一款轻论坛产品的论坛,但是对于这个论坛基本上都是用插件实现,一个论坛怎么能离开网站seo,本篇分享一个超级seo插件,自动sitemap、主动提交、自动Ping提交。 插件下载:tt_seo.zip

【Linux】线程——线程互斥的概念、锁的概念、互斥锁的使用、死锁、可重入和线程安全、线程同步、条件变量的概念和使用

文章目录 Linux线程4. 线程互斥4.1 线程互斥的概念4.2 锁的概念4.2.1 互斥锁的概念4.2.2 互斥锁的使用4.2.3 死锁4.2.4 可重入和线程安全 5. 线程同步5.1 条件变量的概念5.2 条件变量的使用 Linux线程 4. 线程互斥 我们之前使用了线程函数实现了多线程的简单计算模拟器。 可以…