2024-07-12
한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina
Die experimentelle Firewall-Topologie ist in der Abbildung dargestellt:
Experimentelle Anforderungen:
1. Auf Server im DMZ-Bereich ist der Zugriff im Bürobereich nur während der Bürozeiten (9:00 – 18:00 Uhr) und auf Geräte im Produktionsbereich den ganzen Tag über möglich.
2. Der Zugriff auf das Internet ist im Produktionsbereich nicht gestattet, der Zugriff auf das Internet ist jedoch im Bürobereich und im Touristenbereich gestattet.
3. Das Bürobereichsgerät 10.0.2.10 darf nicht auf den FTP-Server und den HTTP-Server im DMz-Bereich zugreifen. Es kann nur 10.0.3.10 anpingen.
4. Die IP-Adresse des Bürobereichs ist festgelegt und für den Zugriff auf den Dmz-Bereich wird eine anonyme Authentifizierung verwendet. Die Anzahl der Personen im Touristenbereich ist nicht festgelegt und der Zugriff auf den DMz-Bereich und den Produktionsbereich ist nicht zulässig Für den Internetzugang ist eine Anmeldung erforderlich, und Sie müssen über die Touristengruppe online gehen.
5. Wenn der Produktionsbereich auf den OMZ-Bereich zugreift, ist eine Protokollauthentifizierung erforderlich und die Benutzerorganisationsstruktur des Produktionsbereichs wird eingerichtet. Sie umfasst mindestens drei Abteilungen, drei Benutzer für jede Abteilung und ein einheitliches Benutzerkennwort von openlab123. Bei der ersten Anmeldung muss das Passwort geändert werden und die Benutzerablaufzeit ist auf 10 Tage eingestellt
6. Erstellen Sie einen benutzerdefinierten Administrator, der keine Systemverwaltungsfunktionen hat.
Schritte zum Konfigurieren der Firewall:
Hinweis: Zuvor müssen wir sicherstellen, dass die zugrunde liegenden Geräte miteinander kommunizieren können. Daher müssen wir zunächst das VLAN auf dem Switch aufteilen.
LSW2:
[Huawei]vlan Stapel 2 3 //vlanAufteilung
[Huawei]int g 0/0/2
[Huawei-GigabitEthernet0/0/2]Port-Link-Typ-Zugriff //Eingebeng0/0/2Mundgriff0/0/2Ändern Sie den Mundtyp inZugangTyp
[Huawei-GigabitEthernet0/0/2]int g 0/0/3
[Huawei-GigabitEthernet0/0/3]Prot-Link-Typ-Zugriff//Eingebeng0/0/3Mundgriff3Mund wirdZugangTyp.
[Huawei-GigabitEthernet0/0/3]Port-Standard-VLAN 3///Bündeln3Der Mund ist unterteilt invlan3
[Huawei-GigabitEthernet0/0/3]int g 0/0/1
[Huawei-GigabitEthernet0/0/1]Port-Link-Typ Trunk//Eingeben0/1Mundgriff0/1Ändere den Mund zuStammTyp.
[Huawei-GigabitEthernet0/0/1]Port-Trunk zulassen-passen VLAN 2 3Dieser Kanal ermöglichtvaln2Undvlan3Der Verkehr verläuft.
[Huawei-GigabitEthernet0/0/1]Port-Trunk rückgängig machen, VLAN 1 zulassen//Bündelnvlan1 Andernfalls wird der Verkehr gelöscht2 3 Der Verkehr kann nicht über Ausfallstraßen passieren.
Konfigurieren Sie den SchaltervlanGehen Sie als Nächstes zur Firewall und fahren Sie fortIPAdresskonfiguration:
FW4:
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.100.2 24//Geben Sie den Haupt-Service-Port ein und ändern Sie den Haupt-Service-PortIPDie Adresse stimmt überein
[USG6000V1-GigabitEthernet0/0/0]Dienst - alle Genehmigungen verwalten//Schalten Sie alle Dienste ein
Nachdem die gesamte Konfiguration abgeschlossen ist, können Sie die Webseite zur Konfiguration aufrufen:
auftaucheng1/0/3Schnittstellenkonfiguration:
Das Gleiche lässt sich auch sageng1/0/4Die Bedienung der Schnittstelle kann auch nach den oben genannten Schritten erfolgen;
Willeg1/0/1Der Mund ist unterteilt inDMZBereich;
Erstellen Sie dann im Sicherheitsbereich zwei Bereiche, nämlich den Büronetzwerkbereich und den Produktionsnetzwerkbereich, wie in der Abbildung dargestellt:
Konfigurieren Sie zwei Unterschnittstellen unter der Hauptschnittstelle, wie in der Abbildung gezeigt:
Dasselbe gilt auch für die Unterschnittstelle Produktionsbereich:
Überprüfen Sie nach Durchführung der oben genannten Vorgänge, ob dasselbe LAN selbst mit Daten kommunizieren kann.Klingeln Dieser Befehl prüft, ob dies möglich istKlingelndurch das Tor.
Gleiches gilt für das Büronetzwerk:
Das Gleiche gilt für Server;
Dann machen wir den Server zu einemHTTPServer-BürobereichbezahltDer Zugriff kann nicht durchgeführt werden, da keine Richtlinie vorhanden ist.
Rufen Sie den Richtlinienabschnitt auf, um den Zugriff für Benutzer im Bürobereich zu konfigurieren.DMZZonenserverrichtlinie:
Nach der Erstellung sieht es so aus:
Sobald die Strategie fertig ist, können Sie darauf zugreifenHTTPServer
Da ich es nachts gemacht habe, lag der Grund für den Zugriffsfehler nicht innerhalb der Richtlinienzeit.
Ebenso ist das Prinzip des Produktionsbereichs das gleiche wie in der Abbildung dargestellt:
Zu diesem Zeitpunkt ist die erste Anforderung erfüllt.
Erstellen Sie eine Richtlinie für Benutzer des Produktionsbereichs für den Zugriff auf den Server:
Authentifizierung:
Kommen Sie wieder vorbei3.10Die Tatsache, dass der Server nicht verfügbar ist, bedeutet, dass unsere Strategie erfolgreich ist:
Dann fügen Sie noch einen hinzubezahltLogischerweise sollte es unmöglich sein, auf den Server zuzugreifen.
Zu diesem Zeitpunkt ist die dritte Anforderung erfüllt
Erstellen Sie den Bürobereich, den Produktionsbereich und den Besucherbereich der Reihe nach, wie in der Abbildung gezeigt:
Erstellen Sie dann unter dem Bürobereich zwei Abteilungen, die Forschungs- und Entwicklungsabteilung und die Marketingabteilung:
Erstellen Sie nacheinander Abteilungen unter dem Produktionsbereich123wie das Bild zeigt:
Erstellen Sie dann Benutzer stapelweise, wie in der Abbildung gezeigt:
Erstellen Sie alle Benutzergruppen und Batch-Benutzer wie in der Abbildung gezeigt:
Wählen Sie abschließend die Anforderung zur Passwortänderung bei der ersten Anmeldung aus:
Beginnen Sie in der Forschungs- und Entwicklungsabteilung
Erstellen Sie nacheinander drei Authentifizierungsrichtlinien, wie in der Abbildung gezeigt:
Überprüfen Sie die Strategie:
Ein erfolgreicher Zugriff zeigt an, dass die Richtlinie korrekt ist
Erstellen Sie eine Administratorrolle wie in der Abbildung gezeigt:
Erstellen Sie einen weiteren Administrator wie in der Abbildung gezeigt:
Überprüfen Sie abschließend, ob das Abmeldekonto erfolgreich erstellt wurde, und melden Sie sich an:
Ohne die Administratoroption kann das System jetzt nur lesen, aber nicht schreiben, was anzeigt, dass das Experiment abgeschlossen ist.
Er widmet sich seit mehr als 30 Jahren der Technologieforschung und beherrscht verschiedene Sprachen wie Java, Linux, Javascript, PHP, CSS usw. Er hat viele Beiträge im Open-Source-Bereich geleistet Entwicklerdokumentationsstation, um einige Themen in der Technologieentwicklung als zukünftige Referenz zu teilen
