web页面:
[FW]interface GigabitEthernet 0/0/0
[FW-GigabitEthernet0/0/0]service-manage all permit
需求一,接口配置:
SW2:
[Huawei]sysname SW2
1.创建vlan
[sw2]vlan 10
[sw2]vlan 202.接口配置
[sw2]interface GigabitEthernet 0/0/1
[sw2-GigabitEthernet0/0/1]port link-type trunk
[SW2-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20[sw2]interface GigabitEthernet 0/0/2
[sw2-GigabitEthernet0/0/2]port link-type access
[sw2-GigabitEthernet0/0/2]port default vlan 10
[sw2-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/3
[sw2-GigabitEthernet0/0/3]port link-type access
[sw2-GigabitEthernet0/0/3]port default vlan 20
fw:
[FW]interface GigabitEthernet 1/0/0
[FW-GigabitEthernet1/0/0]ip add
[FW-GigabitEthernet1/0/0]ip address 10.0.0.254 24[FW]interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2]ip address 100.1.1.10 24[FW]interface GigabitEthernet 1/0/1.1
[FW-GigabitEthernet1/0/1.1]ip address 172.16.1.254 24
[FW-GigabitEthernet1/0/1.1]vlan-type dot1q 10
g1/0/1.2:web页面:
OA Server:
Web Server:
DNS Server:
百度服务器 :
Clinet1:dhcp
Clinet2:
Clinet3:dhcp
pc1:
pc2:dhcp
需求二,DHCP:
在FW上启动DHCP功能,并配置不同的全局地址池,为接入网络的终端设备分配IP地址。
Client1、Client3和PC2通过DHCP获取地址信息。Client2和PC1手工静态配置。
Client1必须通过DHCP获取172.16.1.90/24地址。如果配置dhcp无法获取地址,可以给g1/0/1配置IP在删除就好*******
因为只有主接口处于工作状态是副接口才会正常股工作**8**[FW]dhcp enable ----开启dhcp
在web界面配置dhcp是只支持接口方式,分配的地址范围必须是接口IP地址所
在的网段。并且--->需要手工在命令行界面开启dhcp功能才行。
[FW]interface GigabitEthernet 1/0/1.1---对应接口激活dhcp
[FW-GigabitEthernet1/0/1.1]dhcp select interface[FW-GigabitEthernet1/0/1.1]interface GigabitEthernet 1/0/1.2
[FW-GigabitEthernet1/0/1.2]dhcp select interface
Client1必须通过DHCP获取172.16.1.90/24地址。(将1.90和client1的mac地址绑定)
web页面:(如果client1已经dhcp分配ip可以先改为静态等修改高级将ip和mac绑定后在改为dhcp)
clent1:IP:
[FW]display ip pool interface GigabitEthernet1/0/1.1---查看地址池g1/0/1.1
:
GigabitEthernet1/0/1.2(dhcp补全信息(网关和dns还有保留pc1的ip 2.100)):
命令行(全局):例子
[FW]ip pool 1
[FW-ip-pool-1]network 1.1.1.0 mask 24
[FW-ip-pool-1]gateway-list 1.1.1.254
[FW-ip-pool-1]dns-list 1.1.1.1
[FW-ip-pool-1]static-bind ip-address 1.1.1.100 mac-address mac地址
需求三,防火墙安全区域划分:
web页面:
Trust_A:
Trust_B:
[FW]firewall zone name Trust_B---创建区域
[FW-zone-Trust_B]set priority 80---设置优先级
[FW-zone-Trust_B]add interface GigabitEthernet 1/0/1.2--划分接口DMZ:
[FW]firewall zone dmz
[FW-zone-dmz]add interface GigabitEthernet 1/0/0Untrust:
[FW]firewall zone untrust
[FW-zone-untrust]add interface GigabitEthernet 1/0/2
需求四,防火墙地址组信息:
DMZ_Server:
Trust_A_address:
Trust_B_address:
OA Server:
Web Server:
DNS Server:
Client1(高管):
Client2(财务部):
Client3(运维部)172.16.1.0/24需要去除172.16.1.90和172.16.1.100。
:
PC1(技术部):
PC2(市场部)172.16.2.0/24需要去除172.16.2.100。
:
管理员:
需求五,管理员:
防火墙开启telnet:
对应接口开启telnet功能:
web:
命令行:
[FW-GigabitEthernet1/0/1.1]service-manage telnet permit
开启telnet服务:
web:
命令行:
[FW]telnet server enable
telnet配置:
[FW]user-interface vty 0 4
[FW-ui-vty0-4]protocol inbound telnet ---这里只要把入服务改为telnet,其他的已经有了
在sw2上创建172.16.1.10来测试telnet
[SW2]interface Vlanif 10
[SW2-Vlanif10]ip address 172.16.1.10 24
结果:
管理员:
创建管理员:
web:
需求六,用户认证配置:
认证域openlab:
用户组:
部门A:
部门B:
高级管理者:
运维部 :
财务部 :
技术部:
市场部:
用户信息:
高管用户:
运维部用户:
财务部用户:
技术部用户:
市场部用户:
认证策略:
policy_auth_01:
policy_auth_02:
policy_auth_03:
policy_auth_04:(客户端模拟的浏览器,所有的数据基于tcp建立连接访问,所以数据看作一条数据流,一条数据流认证过一次即可所以认证策略命中次数为1,而pc发的ping包每个报文之间没有关系所以命中很多次)
policy_auth_05:
policy_auth_06:
policy_auth_07:(这里测试ping通是因为上一条是匿名认证通过了所以在用这个用户去ping其他人就不会二次认证,所以能通,建议调到po6上面)
认证策略仅仅是让防火墙来判断那些用户可以正常访问网络资源,并且方便对所有用户进行管理。只要你是合法通过认证的用户,就可以访问网络资源。---认证策略并不能阻挡对网络资源的访问能力,该能力由安全策略来实现
测试时把默认安全策略改为:允许(测试完要改回拒绝)
认证策略界面:(默认改为pot认证,把po7调到po6上面因为认证规则不一样)
首次登录必须修改密码:
需求七,安全策略配置:
policy_01:
policy_02:
自定义服务:
policy_03:
policy_04:
policy_05:
policy_06:
no_worktime(工作日,0-8;18-23):
policy_07:
policy_08:
policy_09:
policy_010:
policy_011:
weekend(周六周日全天):
测试:(将所以的认证策略不启用,默认改为不认证,方便测试)
有telnet,dns,http,https,dhcp的不好测试
policy_01:
policy_02:
policy_03:
dns配置:
83
[FW]display firewall session table
[FW]display firewall session table verbose----会话信息
81,82(包)
policy_04:
policy_05:
财务-OA
79
policy_06:将时间改为any方便测试:
policy_07:
policy_08:
policy_09:
服务器随便选一个文件夹启动就好(OA)
技术-OA
78,77
policy_010:
policy_011:
web安全策略界面,安全策略命中次数:
有telnet,dns,http,https,dhcp的不好测试
补测http和https(po3,po5和po9)
80
