2024-07-12
한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina
Palomuurin kokeellinen topologia on esitetty kuvassa:
Kokeiluvaatimukset:
1. DMZ-alueen palvelimiin pääsee vain toimistoalueella virka-aikoina (klo 9.00 - 18.00) ja tuotantoalueen laitteisiin pääsee käsiksi koko päivän.
2. Internetin käyttö on kielletty tuotantoalueella, mutta Internet on sallittu toimisto- ja turistialueella.
3. Toimistoalueen laite 10.0.2.10 ei saa käyttää FTP-palvelinta ja HTTP-palvelinta DMz-alueella. Se voi vain pingata 10.0.3.10.
4. Toimistoalueen IP-osoite on kiinteä, ja Dmz-alueelle pääsyyn käytetään anonyymiä todennusta. Turistialueen henkilömäärä ei ole kiinteä, eikä pääsy DMz-alueelle ja tuotantoalueelle ole sallittu tarvitaan Internetiä käytettäessä, ja sinun on mentävä verkkoon turistiryhmän kautta.
5. Kun tuotantoalue käyttää omz-aluetta, vaaditaan protokollatodennus ja tuotantoalueen käyttäjäorganisaatiorakenne on määritetty. Se sisältää vähintään kolme osastoa, kolme käyttäjää kullekin osastolle ja Openlab123:n yhtenäisen käyttäjän salasanan. Salasana on vaihdettava ensimmäisen sisäänkirjautumisen yhteydessä ja käyttäjän vanhenemisaika on 10 päivää
6. Luo mukautettu järjestelmänvalvoja, jolla ei ole järjestelmänhallintatoimintoja.
Palomuurin määritysvaiheet:
Huomautus: Ennen tätä meidän on varmistettava, että taustalla olevat laitteet voivat kommunikoida keskenään, joten meidän on ensin jaettava vlan kytkimessä.
LSW2:
[Huawei]vlan erä 2 3 //vlanjako
[Huawei]int g 0/0/2
[Huawei-GigabitEthernet0/0/2]portin linkkityyppinen pääsy //Tulla sisääng0/0/2Suukahva0/0/2Vaihda suutyypiksipääsytyyppi
[Huawei-GigabitEthernet0/0/2]int g 0/0/3
[Huawei-GigabitEthernet0/0/3]prot link-type access//Tulla sisääng0/0/3Suukahva3suusta tuleePääsytyyppi.
[Huawei-GigabitEthernet0/0/3]portin oletusvlan 3///Nippu3Suu on jaettuvlan3
[Huawei-GigabitEthernet0/0/3]int g 0/0/1
[Huawei-GigabitEthernet0/0/1]portin linkkityyppinen runko//Tulla sisään0/1Suukahva0/1Vaihda suurunkotyyppi.
[Huawei-GigabitEthernet0/0/1]porttirunko salli-pass vlan 2 3Tämä kanava salliivaln2javlan3Liikenne kulkee.
[Huawei-GigabitEthernet0/0/1]kumoa porttirunko salli-pass vlan 1//Nippuvlan1 Muutoin liikenne poistetaan2 3 Liikenne ei voi kulkea valtaväylien kautta.
Määritä kytkinvlanSiirry seuraavaksi palomuuriin ja jatkaIPOsoitteen määritys:
FW4:
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.100.2 24//Syötä päähuoltoportti ja vaihda päähuoltoporttiIPOsoite täsmää
[USG6000V1-GigabitEthernet0/0/0]palvelu-hallita kaikkia lupia//Ota kaikki palvelut käyttöön
Kun kaikki asetukset on tehty, voit siirtyä web-sivulle määritystä varten:
nousta ylösg1/0/3Käyttöliittymän konfigurointi:
Samaa voidaan sanoag1/0/4Käyttöliittymää voidaan myös käyttää yllä olevien vaiheiden mukaisesti;
Tahtoag1/0/1Suu on jaettuDMZalue;
Luo sitten turvallisuusalueelle kaksi aluetta, eli toimistoverkkoalue ja tuotantoverkkoalue kuvan osoittamalla tavalla:
Määritä kaksi aliliittymää päärajapinnan alle kuvan osoittamalla tavalla:
Sama pätee tuotantoalueen aliliittymään:
Kun olet suorittanut yllä olevat toiminnot, tarkista, pystyykö sama LAN kommunikoimaan tietojen kanssa itse.ping Tämä komento tarkistaa, voiko sepingportin kautta.
Sama koskee toimistoverkkoa:
Sama pätee palvelimiin;
Sitten teemme palvelimesta aHTTPPalvelintoimistoaluemaksettuKäyttöä ei voida suorittaa, koska käytäntöä ei ole.
Siirry käytäntöosioon määrittääksesi käyttöoikeudet toimistoalueen käyttäjille.DMZAluepalvelinkäytäntö:
Luomisen jälkeen se näyttää tältä:
Kun strategia on valmis, voit käyttää sitäHTTPPalvelin
Koska tein sen yöllä, pääsyn epäonnistumisen syy ei ollut politiikan sisällä.
Samalla tavalla tuotantoalueen periaate on sama kuin kuvassa:
Tässä vaiheessa ensimmäinen vaatimus on täytetty.
Luo käytäntö tuotantoalueen käyttäjille palvelimen pääsyä varten:
todennus:
Tule käymään uudestaan3.10Se, että palvelin ei ole käytettävissä, tarkoittaa, että strategiamme on onnistunut:
Lisää sitten toinenmaksettuLoogisesti katsottuna palvelimelle pääsyn pitäisi olla mahdotonta.
Tällä hetkellä kolmas vaatimus on täytetty
Luo toimisto-, tuotanto- ja vierailijaalueet järjestyksessä kuvan osoittamalla tavalla:
Luo sitten kaksi osastoa, T&K-osasto ja markkinointiosasto, toimistoalueen alle:
Luo osastot peräkkäin tuotantoalueen alle123kuten kuvasta näkyy:
Luo sitten käyttäjiä erissä kuvan osoittamalla tavalla:
Luo kaikki käyttäjäryhmät ja joukkokäyttäjät kuvan osoittamalla tavalla:
Valitse lopuksi salasanan vaihtovaatimus kirjautuessasi sisään ensimmäistä kertaa:
Aloita T&K-osastolta
Luo kolme todennuskäytäntöä peräkkäin kuvan osoittamalla tavalla:
Tarkista strategia:
Onnistunut pääsy osoittaa, että käytäntö on oikea
Luo järjestelmänvalvojan rooli kuvan osoittamalla tavalla:
Luo toinen järjestelmänvalvoja kuvan mukaisesti:
Tarkista lopuksi, onko uloskirjautumistili luotu onnistuneesti ja kirjaudu sisään:
Ilman järjestelmänvalvojan vaihtoehtoa järjestelmä voi nyt vain lukea, mutta ei kirjoittaa, mikä osoittaa, että kokeilu on valmis.
Hän on omistautunut teknologian tutkimukselle yli 30 vuoden ajan ja hallitsee useita kieliä, kuten java, linux, javascript, php, css jne. Hän on tehnyt paljon työtä avoimen lähdekoodin alalla Kehittäjän dokumentaatioasema, jossa voit jakaa joitakin teknologian kehittämisen ongelmia myöhempää käyttöä varten
