2024-07-12
한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina
La topologie expérimentale du pare-feu est illustrée dans la figure :
Exigences expérimentales :
1. Les serveurs de la zone DMZ ne sont accessibles que dans la zone des bureaux pendant les heures de bureau (9h00 - 18h00) et les équipements de la zone de production sont accessibles tout au long de la journée.
2. L'accès à Internet n'est pas autorisé dans la zone de production, mais l'accès à Internet est autorisé dans la zone des bureaux et dans la zone touristique.
3. Le périphérique de bureau 10.0.2.10 n'est pas autorisé à accéder au serveur FTP et au serveur HTTP dans la zone DMz. Il ne peut envoyer qu'un ping à 10.0.3.10.
4. L'adresse IP de la zone de bureau est fixe et une authentification anonyme est utilisée pour accéder à la zone Dmz. Le nombre de personnes dans la zone touristique n'est pas fixe et l'accès à la zone DMz et à la zone de production n'est pas autorisé. est requis pour accéder à Internet et vous devez vous connecter via le groupe touristique.
5. Lorsque la zone de production accède à la zone omz, une authentification protol est requise et la structure organisationnelle des utilisateurs de la zone de production est configurée. Elle comprend au moins trois départements, trois utilisateurs pour chaque département, et le mot de passe unifié de l'utilisateur est openlab123. Le mot de passe doit être modifié lors de la première connexion et le délai d'expiration de l'utilisateur est défini sur 10 jours.
6. Créez un administrateur personnalisé qui ne dispose pas de fonctions de gestion du système.
Étapes pour configurer le pare-feu :
Remarque : Avant cela, nous devons nous assurer que les périphériques sous-jacents peuvent communiquer entre eux, nous devons donc d'abord diviser le vlan sur le commutateur.
LSW2 :
[Huawei] lot vlan 2 3 // vlandivision
[Huawei]int g 0/0/2
[Huawei-GigabitEthernet0/0/2]accès de type lien de port //Entrerg0/0/2Poignée buccale0/0/2Changez le type de bouche enaccédertaper
[Huawei-GigabitEthernet0/0/2]int g 0/0/3
[Huawei-GigabitEthernet0/0/3]accès de type lien prot//Entrerg0/0/3Poignée buccale3la bouche devientAccédertaper.
[Huawei-GigabitEthernet0/0/3]port par défaut vlan 3///Paquet3La bouche est divisée envlan3
[Huawei-GigabitEthernet0/0/3]int g 0/0/1
[Huawei-GigabitEthernet0/0/1]port de liaison de type trunk//Entrer0/1Poignée buccale0/1Changer la bouche entronctaper.
[Huawei-GigabitEthernet0/0/1]port trunk autorise-pass vlan 2 3Ce canal permetvaln2etvlan3La circulation passe.
[Huawei-GigabitEthernet0/0/1]annuler l'autorisation de passage du port trunk vlan 1//Paquetvlan1 Le trafic est supprimé sinon2 3 La circulation ne peut pas emprunter les artères.
Configurer le commutateurréseau local virtuelEnsuite, accédez au pare-feu et continuezPropriété intellectuelleConfiguration de l'adresse :
FW4:
[USG6000V1-GigabitEthernet0/0/0]ajout d'adresse IP 192.168.100.2 24//Entrez le port de service principal et modifiez le port de service principalPropriété intellectuelleL'adresse correspond
[USG6000V1-GigabitEthernet0/0/0]service-gérer tous les permis//Activer tous les services
Une fois toute la configuration terminée, vous pouvez accéder à la page Web de configuration :
venezg1/0/3Configuration des interfaces :
On peut dire la même choseg1/0/4L'interface peut également être utilisée selon les étapes ci-dessus ;
Volontég1/0/1La bouche est divisée enZone démilitariséezone;
Créez ensuite deux zones dans la zone de sécurité, à savoir la zone réseau de bureau et la zone réseau de production, comme indiqué sur la figure :
Configurez deux sous-interfaces sous l'interface principale, comme indiqué dans la figure :
Il en va de même pour la sous-interface de la zone de production :
Après avoir effectué les opérations ci-dessus, vérifiez si le même réseau local peut communiquer vous-même avec les données.ping Cette commande vérifie si elle peutpingvia la passerelle.
Il en va de même pour le réseau de bureaux :
Il en va de même pour les serveurs ;
Ensuite, nous faisons du serveur unHTTPCoin bureau du serveurpayéL'accès ne peut pas être effectué car il n'y a pas de stratégie.
Accédez à la section de stratégie pour configurer l’accès des utilisateurs du bureau.Zone démilitariséePolitique du serveur de zone :
Après création, cela ressemblera à ceci :
Une fois la stratégie prête, vous pouvez y accéderHTTPServeur
Comme je l'ai fait la nuit, la raison de l'échec d'accès n'était pas dans les délais prévus par la politique.
De la même manière, le principe de la zone de production est le même que celui présenté sur la figure :
À ce stade, la première exigence est remplie.
Créez une stratégie permettant aux utilisateurs de la zone de production d'accéder au serveur :
authentifier :
Venez visiter à nouveau3.10Le fait que le serveur soit indisponible signifie que notre stratégie est réussie :
Puis ajoutez-en un autrepayéLogiquement, il devrait être impossible d'accéder au serveur.
À l'heure actuelle, la troisième exigence est remplie
Créez la zone de bureau, la zone de production et la zone des visiteurs dans l'ordre, comme indiqué sur la figure :
Créez ensuite deux départements, département R&D et département marketing, sous l'espace bureau :
Créer des départements en séquence sous la zone de production123comme le montre la photo :
Créez ensuite des utilisateurs par lots comme indiqué dans la figure:
Créez tous les groupes d'utilisateurs et utilisateurs par lots comme indiqué dans la figure :
Enfin, sélectionnez l'obligation de changer le mot de passe lors de la première connexion :
Commencer par le département R&D
Créez trois stratégies d'authentification dans l'ordre, comme indiqué dans la figure :
Vérifiez la stratégie :
Un accès réussi indique que la stratégie est correcte
Créez un rôle d'administrateur comme indiqué dans la figure :
Créez un autre administrateur comme indiqué dans la figure :
Enfin, vérifiez si le compte de déconnexion a été créé avec succès et connectez-vous :
Sans l'option administrateur, le système ne peut désormais que lire mais pas écrire, indiquant que l'expérience est terminée.
Il se consacre à la recherche technologique depuis plus de 30 ans et maîtrise divers langages tels que java, linux, javascript, php, css, etc. Il a apporté de nombreuses contributions dans le domaine de l'open source. station de documentation pour les développeurs pour partager certains problèmes de développement technologique pour référence future.
