防御保护:安全策略配置

一、实验拓扑

二、实验要求

编辑三、要求分析

四、实验配置

前置配置

1.配置vlan与access、truck接口

2.进入web界面进行配置

3.安全策略的配置

3.1实现实验需求2(办公区PC在工作日时间(周一至周五,早8晚6)可以正常访问OA Server,其他时间不允许)

新建地址编辑编辑

新建时间段

编辑

新建安全策略编辑

3.2实现实验需求3(办公区PC可以在任意时刻访问Web Server)

新建地址

新建安全策略

3.3实现实验需求4(生产区PC可以在任意时刻访问OA Server,但是不能访问Web Server)

新建地址

新建安全策略

3.4特例的实现(生产区PC3可以每周一早上10到早11访问Web Server,用来更新企业最新产品信息)

新建地址

新建时间段

新建安全策略

编辑安全策略表

五、结果测试

1.办公区PC访问OA Server

2.办公区PC访问Web Server

3.生产区PC访问OA Server

4.生产区PC访问Web Server

查看会话表和server-map表

一、实验拓扑

二、实验要求

三、要求分析

1.需要创建两个vlan,vlan 2 和 vlan 3
2.在ENSP中配置基于时间的ACL实现对于办公区PC访问OA Server的时间限制（工作日早8到晚6）。
3.通过配置基于MAC地址的ACL来实现对于生产区PC访问Web Server的限制（除PC3外不能访问）。
4.在三层交换机上配置不同VLAN的接口IP地址，并启用路由功能，以确保不同VLAN之间能够进行通信。同时，要为OA Server和Web Server配置相应的IP地址和网关，使它们能够在网络中被正确识别和访问。

四、实验配置

前置配置

1.配置vlan与access、truck接口

[SW1] undo info-center enable
Info: Information center is disabled.

[SW1] vlan 2

[SW1] vlan 3

[SW1] interface GigabitEthernet 0/0/1

[SW1-GigabitEthernet0/0/1] port link-type trunk

[SW1-GigabitEthernet0/0/1] port trunk allow-pass vlan all
[SW1-GigabitEthernet0/0/1] int g0/0/2

[SW1-GigabitEthernet0/0/2] port link-type access
[SW1-GigabitEthernet0/0/2] port default vlan 2
[SW1-GigabitEthernet0/0/2] interface GigabitEthernet 0/0/3

[SW1-GigabitEthernet0/0/3] port link-type access
[SW1-GigabitEthernet0/0/3] port default vlan 3
[SW1-GigabitEthernet0/0/3] interface GigabitEthernet 0/0/4

[SW1-GigabitEthernet0/0/4] port link-type access
[SW1-GigabitEthernet0/0/4] port default vlan 3
[SW1-GigabitEthernet0/0/4] q
[SW1]

2.进入web界面进行配置

[USG6000V1]int g1/0/1.1
[USG6000V1-GigabitEthernet1/0/1.1]service-manage ping permit

[USG6000V1-GigabitEthernet1/0/1.1]interface GigabitEthernet 1/0/1.2
[USG6000V1-GigabitEthernet1/0/1.2]service-manage ping permit