防火墙安全策略课堂实验报告

一、拓扑

本实验拓扑包含预启动设备、DMZ区域（含OA Server和Web Server）、防火墙（FW1）、Trust区域（含办公区PC和生产区PC）等。具体IP地址及连接关系如给定拓扑图所示，办公区对应VLAN 2，生产区对应VLAN 3，各设备通过不同接口与防火墙相连。

二、需求

1. VLAN 2属于办公区，VLAN 3属于生产区。
2. 办公区PC在工作日（周一至周五，早8到晚6）可以正常访问OA Server，其他时间不允许。
3. 办公区PC可以在任意时刻访问Web Server。
4. 生产区PC可以在任意时刻访问OA Server，但是不能访问Web Server。
5. 特例：生产区PC3可以在每周一早10到早11访问Web Server，用来更新企业最新产品信息。

三、需求分析

（一）时间策略分析

1. 对于办公区PC访问OA Server，需要设置时间策略，限定在工作日（周一至周五）的早8到晚6时间段。
2. 生产区PC3访问Web Server的特例，需要设置每周一的早10到早11时间策略。

（二）区域访问策略分析

1. 需配置办公区（VLAN 2）到DMZ区域（OA Server和Web Server）的访问策略，区分不同的访问时间和服务器。
2. 生产区（VLAN 3）到DMZ区域的访问策略，允许访问OA Server但禁止访问Web Server，同时处理PC3的特例访问。

四、配置详细信息

（一）Web界面配置

1. 登录防火墙：打开浏览器，输入防火墙IP地址，使用用户名admin和密码admin@123登录。
2. 配置区域：进入“区域”配置界面，将接口分别加入Trust区域和DMZ区域。
3. 配置时间策略：
   • 在“时间”配置模块，创建“工作日8 - 18”时间对象，设置周一至周五的早8到晚6时间段。
   • 创建“周一10 - 11”时间对象，设置每周一的早10到早11时间段。
4. 配置安全策略：
   • 办公区PC访问OA Server策略：源区域为Trust（办公区VLAN 2），目的区域为DMZ（OA Server），服务为any，时间为“工作日8 - 18”，动作为允许；其他时间配置一条拒绝策略。（截图展示策略配置界面及参数设置）
   • 办公区PC访问Web Server策略：源区域为Trust（办公区VLAN 2），目的区域为DMZ（Web Server），服务为any，时间为any，动作为允许。
   • 生产区PC访问OA Server策略：源区域为Trust（生产区VLAN 3），目的区域为DMZ（OA Server），服务为any，时间为any，动作为允许。
   • 生产区PC访问Web Server策略：源区域为Trust（生产区VLAN 3），目的区域为DMZ（Web Server），服务为any，时间为any，动作为拒绝。
   • 生产区PC3访问Web Server特例策略：源IP为PC3的IP（192.168.1.130），源区域为Trust，目的区域为DMZ（Web Server），服务为any，时间为“周一10 - 11”，动作为允许。

（二）命令行配置

1. 进入系统视图：

system - view

2. 配置区域：

firewall zone trust
add interface GigabitEthernet 0/0/1
quit
firewall zone dmz
add interface GigabitEthernet 0/0/0
quit

3. 配置时间策略：

time - range workday_8 - 18 08:00 to 18:00 working - days
time - range monday_10 - 11 10:00 to 11:00 monday

4. 配置安全策略：

rule name office_to_oa_allow
source - zone trust
destination - zone dmz
source - address 192.168.1.0 255.255.255.0
destination - address 10.0.0.1 255.255.255.0
service any
time - range workday_8 - 18
action permit
rule name office_to_oa_deny
source - zone trust
destination - zone dmz
source - address 192.168.1.0 255.255.255.0
destination - address 10.0.0.1 255.255.255.0
service any
action deny
rule name office_to_web_allow
source - zone trust
destination - zone dmz
source - address 192.168.1.0 255.255.255.0
destination - address 10.0.0.2 255.255.255.0
service any
action permit
rule name production_to_oa_allow
source - zone trust
destination - zone dmz
source - address 192.168.1.129 0.0.0.0
destination - address 10.0.0.1 255.255.255.0
service any
action permit
rule name production_to_web_deny
source - zone trust
destination - zone dmz
source - address 192.168.1.129 0.0.0.0
destination - address 10.0.0.2 255.255.255.0
service any
action deny
rule name pc3_to_web_allow
source - zone trust
destination - zone dmz
source - address 192.168.1.130 0.0.0.0
destination - address 10.0.0.2 255.255.255.0
service any
time - range monday_10 - 11
action permit

五、测试

（一）通信结果测试

1. 在工作日早8到晚6，使用办公区PC访问OA Server，能正常访问；在非工作日或非此时间段，访问失败。
2. 办公区PC在任意时刻均可访问Web Server。
3. 生产区PC在任意时刻均可访问OA Server，访问Web Server失败。
4. 在每周一早10到早11，生产区PC3可以访问Web Server，其他时间访问失败。

（二）会话表测试

在防火墙的Web界面或通过命令行查看会话表，在办公区PC访问OA Server（符合策略时间）时，会话表中会显示相应的会话记录，包含源IP、目的IP、服务等信息；不符合策略时，无对应会话记录。其他策略访问情况同理。

（三）server - map表测试

通过命令行查看server - map表，验证各服务器映射相关信息是否正确，如DMZ区域服务器的地址映射等。