南宁企业网站seo,ppt模板免费下载 素材小清新,兰州建设厅评职称网站,微信小程序网站建设定制目录
一、实验拓扑图
二、要求
三、IP地址规划
四、实验配置
1#x1f923;防火墙FW1web服务配置
2.网络配置 要求1#xff1a;DMZ区内的服务器#xff0c;办公区仅能在办公时间内(9:00-18:00)可以访问#xff0c;生产区的设备全天可以访问 要求2#xff1a;生产区不…目录
一、实验拓扑图
二、要求
三、IP地址规划
四、实验配置
1防火墙FW1web服务配置
2.网络配置 要求1DMZ区内的服务器办公区仅能在办公时间内(9:00-18:00)可以访问生产区的设备全天可以访问 要求2生产区不允许访问互联网办公区和游客区允许访问互联网
要求3办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和http服务器仅能ping通10.0.3.10
要求4办公区分为市场部和研发部研发部IP地址固定访问DMZ区使用匿名认证市场部需要用户绑定IP地址访问DMZ区使用免认证游客区人员不固定不允许访问DMZ区和生产区统一使用Guest用户登录密码Admin123游客仅有访问公司门户网站和上网的权限门户网站地址10.0.3.10
要求5生产区访问DMZ区时需要进行protal认证设立生产区用户组织架构至少包含三个部门每个部门三个用户用户统一密码openlab123首次登录需要修改密码用户过期时设定为10天用户不允许多人使用
要求6创建一个自定义管理员要求不能拥有系统管理的功能 一、实验拓扑图 二、要求
1DMZ区内的服务器办公区仅能在办公时间内(9:00-18:00)可以访问生产区的设备全天可以访问。
2生产区不允许访问互联网办公区和游客区允许访问互联网
3办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和http服务器仅能ping通10.0.3.10
4办公区分为市场部和研发部研发部IP地址固定访问DMZ区使用匿名认证市场部需要用户绑定IP地址访问DMZ区使用免认证
游客区人员不固定不允许访问DMZ区和生产区统一使用Guest用户登录密码Admin123游客仅有访问公司门户网站和上网的权限门户网站地址10.0.3.10
5生产区访问DMZ区时需要进行protal认证设立生产区用户组织架构至少包含三个部门每个部门三个用户用户统一密码openlab123首次
登录需要修改密码用户过期时设定为10天用户不允许多人使用
6.创建一个自定义管理员要求不能拥有系统管理的功能 分公司的暂时不做
三、IP地址规划
办公区
划分在vlan2
IP地址10.0.2.0/24网段 生产区
划分在vlan3
IP地址10.0.1.0/24网段 游客区
IP地址10.0.4.0/24 DMZ服务器区
IP地址10.0.3.0/24 外网专线
联通12.0.0.0/24
电信21.0.0.0/24
环回模拟外网千千万万网段
1.1.1.1 32 防火墙管理
IP地址192.168.100.0/24 实验思路
首先要确保总司这边的网络能够正常通信其次根据要求做相应的防火墙策略 四、实验配置
1交换机LSW3
[Huawei]vlan batch 2 3
#
interface GigabitEthernet0/0/3 port link-type access port default vlan 2
#
interface GigabitEthernet0/0/2 port link-type access port default vlan 3
#
interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 2 to 3
#
1防火墙FW1web服务配置
1.启动防火墙之后华为默认登录账号admin密码Admin123;初次登录需要修改密码
2.进入管理口配置web服务登录设置
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit
3.防火墙默认管理端口g0/0/0管理地址为192.168.0.1/24 我这里修改了管理地址再将本地的环回口配置在同一网段即可通信
这里通过换回网卡连接将防火墙的管理端口连接到本地通过web界面进行管理 4.在浏览器界面地址栏位置输入防火墙的管理地址即可登录 输入192.168.100.3
用户名使用admin
密码为修改之后的密码
登录之后进行设置界面 2.网络配置
在网络--接口--安全区域首先划分出安全区域
默认有四个区域 我们还需要划分出三个区域分别是生产区、办公区、游客区以办公区为例 划分之后的区域 接口--进行IP地址的设置
以DMZ区为例
DMZ区连接防火墙的G1/0/0所以点GE1/0/0接口进行设置 这里最好先将启动访问管理里的ping勾选方便测试后期为了安全可以取消勾选 而生产区和办公区要在不同的vlan这里充当网关所以我们可以使用子接口
新建-- 其他几个区域也是类似的配置方法配完之后的 要求1DMZ区内的服务器办公区仅能在办公时间内(9:00-18:00)可以访问生产区的设备全天可以访问
1要求1说让办公区在工作时间能够访问DMZ区那就新建安全策略
策略--安全策略--新建安全策略 注意源安全区域选之前建好的办公区目的区选DMZ区源地址写办公区的IP地址
源地址--新建--新建地址 目的地址可以直接填写DMZ区的IP地址也可以新建地址都行用户这里先不写后面在进行修改服务这里因为是服务器区所以我们要勾选我们需要的服务不需要的我们就不勾选默认这边就访问了其他的服务时间段这里新建时间段选我们工作期间的时间动作选允许之后选确定。
我们现在可以区服务器上开启http服务(服务器要配置IP地址及网关)
在办公区访问DMZ区同样这里也要配置IP地址和网关 我要到的一个问题
再配置玩策略之后策略显示 这是我设置的是上班时间为0900-1800但是这里的系统时间忘记设置系统时间现在不在上班时间所以这个策略就没有生效。这里需要设置一下系统时间
系统--配置--时钟配置--配置方法
选从本地系统同步时间点击应用这时策略才会生效我们才能正常访问服务器
2生产区全天都能访问DMZ 区
这里我的思路和之前一样只是在新建策略时将时间段改为any就能正常访问。 要求2生产区不允许访问互联网办公区和游客区允许访问互联网
1生产区不允许访问互联网而华为防火墙这里默认都是拒绝访问而办公区和游客区允许访问互联网那我们只需要放通办公区和游客区就行。
这里我选用NAT技术 这是连接联通专线的接口安全区域选择untrust区默认网关指向ISP路由表中会产生有一条缺省指向联通专线 策略
策略--NAT策略--新建 策略--安全策略--新建安全策略 这样我们就可以正常访问外网而生产区访问不了 要求3办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和http服务器仅能ping通10.0.3.10
这里单拎出来做了策略
放第一位因为这个策略是自上向下匹配我将ftp、http服务和其他服务器的访问都禁止掉仅ping10.0.3.10再做一个策略 要求4办公区分为市场部和研发部研发部IP地址固定访问DMZ区使用匿名认证市场部需要用户绑定IP地址访问DMZ区使用免认证游客区人员不固定不允许访问DMZ区和生产区统一使用Guest用户登录密码Admin123游客仅有访问公司门户网站和上网的权限门户网站地址10.0.3.10
要求5生产区访问DMZ区时需要进行protal认证设立生产区用户组织架构至少包含三个部门每个部门三个用户用户统一密码openlab123首次登录需要修改密码用户过期时设定为10天用户不允许多人使用
这里要对用户登录进行认证那就创建用户先创认证域再加入用户
对象--用户--认证域--新建 创建完之后这里会出现一个认证域
进去我们创建用户
Open--新建
先创用户组再创各个部门再创用户同时将用户加入对应的用户组这样方便以后的管理
这里用到了新建用户组批量新建用户新建用户。 题中要求研发部IP地址固定这里选单向绑定市场部需要用户绑定IP地址这里选双向绑定该IP地址只能该用户登录其他用户想用这台主机是不行的即为固定IP 这里有个小点是要求密码设为openlan123,但是默认设置要求大小写加数字我们将密码这里设为中级使用小写加数字就可以设置 配置认证策略题中说研发部去访问DMZ区使用匿名登录而市场部使用免认证生产部访问进行protal认证如图配置 账号国企时间在创建用户时设置在用户属性选项中要求设置为10天不允许多人使用
这些要求都在这里进行设置即可。 游客账号设置 同时允许多人登录这个账号
游客仅有访问公司门户和上网的权限这里游客不能访问DMZ和生产区那我们就只放通办公区和门户网站 这样其他的服务就通不了咯同时他们还能访问外网 验证 要求6创建一个自定义管理员要求不能拥有系统管理的功能
系统--管理员--管理员角色创建 新建管理员
管理员登录 权限发生变化 实验到这里就全部做完了不完美的就是这里的用户验证不完全不知道做的配置和策略能不能完全成功。其他的思路只要清晰这个配置起来不难吧
