Technologieaustausch

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

1. Experimentelle Topologie

2. Experimentelle Anforderungen:

1. Auf Server im DMZ-Bereich kann nur während der Bürozeiten (9:00–18:00 Uhr) im Bürobereich zugegriffen werden, auf Geräte im Produktionsbereich ist der Zugriff den ganzen Tag über möglich.
2. Der Zugang zum Internet ist im Produktionsbereich nicht gestattet, der Zugang zum Internet ist jedoch im Bürobereich und für Touristen gestattet
3. Das Bürobereichsgerät 10.0.2.10 darf nicht auf den FTP-Server und den HTTP-Server im DMZ-Bereich zugreifen. Es kann nur 10.0.3.10 anpingen.
4. Der Bürobereich ist in die Marketingabteilung und die F&E-Abteilung unterteilt. Die F&E-Abteilung verfügt über eine feste IP-Adresse und verwendet eine anonyme Authentifizierung, um auf den DMZ-Bereich zuzugreifen. Die Marketingabteilung erfordert die Bindung von IP-Adressen und den Zugriff auf den DMZ-Bereich erfordert keine Authentifizierung;
Die Anzahl der Personen im Besucherbereich ist nicht festgelegt und der Zugang zum DMZ-Bereich und zum Produktionsbereich ist nicht gestattet. Gastbenutzer haben nur die Berechtigung, auf das Firmenportal zuzugreifen und im Internet surfen. Die Portaladresse lautet 10.0.3.10;
5. Wenn der Produktionsbereich auf den DMZ-Bereich zugreift, ist eine Protal-Authentifizierung erforderlich und die Benutzerorganisationsstruktur des Produktionsbereichs wird eingerichtet, einschließlich mindestens drei Abteilungen, jede Abteilung hat drei Benutzer und das einheitliche Passwort des Benutzers lautet openlab123 Die erste Anmeldung muss geändert werden.
Ändern Sie das Passwort, legen Sie die Ablaufzeit des Benutzers auf 10 Tage fest und der Benutzer darf nicht von mehreren Personen verwendet werden.
6. Erstellen Sie einen benutzerdefinierten Administrator, der keine Systemverwaltungsfunktionen haben kann.

3. Konfigurationsideen

1. Implementieren Sie zunächst „vollständige Netzwerkinteroperabilität“ (eine vollständige Netzwerkinteroperabilität kann erreicht werden, wenn die Firewall nur als Router verwendet wird. Aufgrund der Firewall müssen tatsächlich entsprechende Richtlinien geschrieben werden, um die Kommunikation zu erreichen), konfigurieren Sie IP und Schicht 2 Konfiguration wie auf LSW1 Konfigurieren Sie VLAN und legen Sie die Subschnittstellen des Firewall-Geräts G1/0/1 als Gateway-Subschnittstellen von VLAN2 bzw. VLAN3 fest.

2. Konfigurieren Sie einige Richtlinien auf der Firewall (einschließlich Sicherheitsrichtlinien und Authentifizierungsrichtlinien) über die Weboberfläche. Erstellen Sie zunächst Schnittstellen und teilen Sie Bereiche auf.

4. Experimenteller Ablauf:

(1) Konfigurieren Sie die IP-Adresse jedes Geräts (weggelassen) und konfigurieren Sie das Geräte-VLAN der zweiten Schicht:

LSW1:

[LSW1]inter g0/0/2
[LSW1-GigabitEthernet0/0/2]port link-type access 
[LSW1-GigabitEthernet0/0/2]port default vlan 2
[LSW1]inter g0/0/3
[LSW1-GigabitEthernet0/0/3]port link-type access 
[LSW1-GigabitEthernet0/0/3]port default vlan 3
[LSW1]inter g0/0/1
[LSW1-GigabitEthernet0/0/1]port link-type trunk 
[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3

FW2:
Die G0/0/0-Schnittstelle ist mit einer IP-Adresse konfiguriert. Die IP-Adresse von der Cloud zum lokalen Computer, auf den über ENSP zugegriffen wird, lautet 192.168.100.2, daher ist die Firewall mit 192.168.100.1 konfiguriert.

G1/0/0-Schnittstelle:

G1/0/1 erstellt eine Unterschnittstelle und einen Sicherheitsbereich (am Beispiel des Bürobereichs muss auch eine Unterschnittstelle im Produktionsbereich erstellt werden)

Sicherheitszone Wählen Sie hier die soeben erstellte Unterschnittstelle aus, um das darunter liegende Netzwerksegment in diese Sicherheitszone zu unterteilen.

Unterschnittstelle des Produktionsbereichs (bereits erstellte Konfiguration):

G1/0/4 (Touristengebiet)

G1/0/2 (Internet):

G1/0/3 (Internet-Backup):

(2) Sicherheitspolitik:
1. Auf Server im DMZ-Bereich kann nur während der Bürozeiten (9:00–18:00 Uhr) im Bürobereich zugegriffen werden, auf Geräte im Produktionsbereich ist der Zugriff den ganzen Tag über möglich.

2. Der Zugang zum Internet ist im Produktionsbereich nicht gestattet, der Zugang zum Internet ist jedoch im Bürobereich und für Touristen gestattet

Der Produktionsbereich ist nicht zugänglich

Büro- und Besucherbereiche haben Zugang zu:

3. Das Bürobereichsgerät 10.0.2.10 darf nicht auf den FTP-Server und den HTTP-Server im DMZ-Bereich zugreifen. Es kann nur 10.0.3.10 anpingen.

prüfen:

4. Der Bürobereich ist in die Marketingabteilung und die F&E-Abteilung unterteilt. Die F&E-Abteilung verfügt über eine feste IP-Adresse und verwendet eine anonyme Authentifizierung, um auf den DMZ-Bereich zuzugreifen. Die Marketingabteilung erfordert die Bindung von IP-Adressen und den Zugriff auf den DMZ-Bereich erfordert keine Authentifizierung;
Die Anzahl der Personen im Besucherbereich ist nicht festgelegt und der Zugang zum DMZ-Bereich und zum Produktionsbereich ist nicht gestattet. Gastbenutzer haben nur die Berechtigung, auf das Firmenportal zuzugreifen und im Internet surfen. Die Portaladresse lautet 10.0.3.10;

Zertifizierungsstrategie der Forschungs- und Entwicklungsabteilung: Zertifizierungsfrei

Authentifizierungsstrategie der Marketingabteilung: Anonyme Authentifizierung

Gastzugang zu DMZ10.0.3.10 (Besucherzugang zu DZM und Produktionsbereichen ist standardmäßig verweigert):

5. Wenn der Produktionsbereich auf den DMZ-Bereich zugreift, ist eine Protal-Authentifizierung erforderlich und die Benutzerorganisationsstruktur des Produktionsbereichs wird eingerichtet. Sie umfasst mindestens drei Abteilungen, jede Abteilung hat drei Benutzer und das einheitliche Passwort des Benutzers lautet openlab@. 123. Der erste Login muss geändert werden.
Ändern Sie das Passwort, legen Sie die Ablaufzeit des Benutzers auf 10 Tage fest und der Benutzer darf nicht von mehreren Personen verwendet werden.

6. Erstellen Sie einen benutzerdefinierten Administrator, der keine Systemverwaltungsfunktionen haben kann.