Κοινή χρήση τεχνολογίας

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Η πειραματική τοπολογία του τείχους προστασίας φαίνεται στο σχήμα:

Πειραματικές απαιτήσεις:

1. Οι διακομιστές στην περιοχή DMZ είναι προσβάσιμοι μόνο στο χώρο του γραφείου κατά τις ώρες γραφείου (9:00 - 18:00) και ο εξοπλισμός στην περιοχή παραγωγής είναι προσβάσιμος καθ' όλη τη διάρκεια της ημέρας.

2. Δεν επιτρέπεται η πρόσβαση στο Διαδίκτυο στον χώρο παραγωγής, αλλά η πρόσβαση στο Διαδίκτυο επιτρέπεται στο χώρο των γραφείων και του τουριστικού χώρου.

3. Η συσκευή γραφείου 10.0.2.10 δεν επιτρέπεται να έχει πρόσβαση στον διακομιστή FTP και στον διακομιστή HTTP στην περιοχή DMz. Μπορεί να κάνει ping μόνο στο 10.0.3.10.

4. Η διεύθυνση IP της περιοχής γραφείου είναι σταθερή και χρησιμοποιείται ανώνυμος έλεγχος ταυτότητας για την πρόσβαση στην περιοχή Dmz Ο αριθμός των ατόμων στην τουριστική περιοχή δεν είναι σταθερός και η πρόσβαση στην περιοχή DMz και στην περιοχή παραγωγής δεν επιτρέπεται απαιτείται κατά την πρόσβαση στο Διαδίκτυο και πρέπει να συνδεθείτε στο διαδίκτυο μέσω της τουριστικής ομάδας.

5. Όταν η περιοχή παραγωγής αποκτά πρόσβαση στην περιοχή omz, απαιτείται έλεγχος ταυτότητας πρωτοκόλλου και ρυθμίζεται η δομή οργάνωσης χρήστη της περιοχής παραγωγής. Περιλαμβάνει τουλάχιστον τρία τμήματα, τρεις χρήστες για κάθε τμήμα και ο ενοποιημένος κωδικός πρόσβασης του χρήστη είναι το openlab123. Ο κωδικός πρόσβασης πρέπει να αλλάξει κατά τη σύνδεση για πρώτη φορά και ο χρόνος λήξης του χρήστη ορίζεται για 10 ημέρες

6. Δημιουργήστε έναν προσαρμοσμένο διαχειριστή που δεν διαθέτει λειτουργίες διαχείρισης συστήματος.

Βήματα για τη διαμόρφωση του τείχους προστασίας:

1. Διεύθυνση IP διεπαφής, διαίρεση περιοχής
2. Γράψτε τη διαδρομή αναφοράς για το intranet
3. στρατηγική ασφάλειας
4. Μέσα-έξω NAT
5. Χαρτογράφηση διακομιστή

Σημείωση: Πριν από αυτό, πρέπει να διασφαλίσουμε ότι οι υποκείμενες συσκευές μπορούν να επικοινωνούν μεταξύ τους, επομένως πρέπει πρώτα να διαιρέσουμε το vlan στον διακόπτη.

LSW2:

[Huawei]vlan παρτίδα 2 3 //vlanδιαίρεση

[Huawei]int g 0/0/2

[Huawei-GigabitEthernet0/0/2]Πρόσβαση τύπου συνδέσμου θύρας //Εισαγωg0/0/2Λαβή στόματος0/0/2Αλλάξτε τον τύπο στόματος σεπρόσβασητύπος

[Huawei-GigabitEthernet0/0/2]int g 0/0/3

[Huawei-GigabitEthernet0/0/3]Πρόσβαση τύπου συνδέσμου prot//Εισαγωg0/0/3Λαβή στόματος3στόμα γίνεταιΠρόσβασητύπος.

[Huawei-GigabitEthernet0/0/3]προεπιλεγμένη θύρα vlan 3///Δέσμη3Το στόμα χωρίζεται σεvlan3

[Huawei-GigabitEthernet0/0/3]int g 0/0/1

[Huawei-GigabitEthernet0/0/1]θύρα συνδέσμου τύπου κορμού//Εισαγω0/1Λαβή στόματος0/1Αλλάξτε το στόμα σεκορμόςτύπος.

[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3Αυτό το κανάλι επιτρέπειvaln2καιvlan3Δελτία κυκλοφορίας.

[Huawei-GigabitEthernet0/0/1]αναίρεση port trunk allow-pass vlan 1//Δέσμηvlan1 Η κίνηση διαγράφεται διαφορετικά2 3 Η κυκλοφορία δεν μπορεί να διέρχεται από αρτηριακούς δρόμους.

Διαμορφώστε τον διακόπτηvlanΣτη συνέχεια, μεταβείτε στο τείχος προστασίας και προχωρήστεIPΔιαμόρφωση διεύθυνσης:

FW4:

[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.100.2 24//Εισαγάγετε την κύρια θύρα σέρβις και αλλάξτε την κύρια θύρα σέρβιςIPΗ διεύθυνση είναι αντιστοιχισμένη

[USG6000V1-GigabitEthernet0/0/0]service-manage all permit//Ενεργοποιήστε όλες τις υπηρεσίες

Αφού ολοκληρωθούν όλες οι ρυθμίσεις παραμέτρων, μπορείτε να εισέλθετε στην ιστοσελίδα για διαμόρφωση:

εμφανιζομαιg1/0/3Διαμόρφωση διεπαφής:

Το ίδιο μπορεί να ειπωθείg1/0/4Η διεπαφή μπορεί επίσης να λειτουργήσει σύμφωνα με τα παραπάνω βήματα.

Θαg1/0/1Το στόμα χωρίζεται σεDMZπεριοχή;

Στη συνέχεια, δημιουργήστε δύο περιοχές στην περιοχή ασφαλείας, δηλαδή την περιοχή του δικτύου γραφείων και την περιοχή του δικτύου παραγωγής, όπως φαίνεται στο σχήμα:

Διαμορφώστε δύο υποδιεπαφές κάτω από την κύρια διεπαφή, όπως φαίνεται στο σχήμα:

Το ίδιο ισχύει και για την υποδιεπαφή περιοχής παραγωγής:

Αφού κάνετε τις παραπάνω λειτουργίες, ελέγξτε εάν το ίδιο LAN μπορεί να επικοινωνήσει μόνοι σας με δεδομένα.ping Αυτή η εντολή ελέγχει αν μπορείpingμέσα από την πύλη.

Το ίδιο ισχύει και για το δίκτυο γραφείων:

Το ίδιο ισχύει και για τους διακομιστές.

Στη συνέχεια κάνουμε τον διακομιστή αHTTPΧώρος γραφείου διακομιστήεπί πληρωμήΗ πρόσβαση δεν μπορεί να πραγματοποιηθεί επειδή δεν υπάρχει πολιτική.

Εισαγάγετε την ενότητα πολιτικής για να διαμορφώσετε την πρόσβαση για χρήστες της περιοχής γραφείου.DMZΠολιτική διακομιστή ζώνης:

Μετά τη δημιουργία, θα μοιάζει με αυτό:

Μόλις η στρατηγική είναι έτοιμη, μπορείτε να αποκτήσετε πρόσβαση σε αυτήνHTTPΥπηρέτης

Εφόσον το έκανα τη νύχτα, ο λόγος για την αποτυχία πρόσβασης δεν ήταν εντός του χρόνου πολιτικής.

Με τον ίδιο τρόπο, η αρχή της περιοχής παραγωγής είναι η ίδια όπως φαίνεται στο σχήμα:

Σε αυτό το σημείο, η πρώτη απαίτηση έχει ολοκληρωθεί.

Δημιουργήστε μια πολιτική για τους χρήστες στην περιοχή παραγωγής για πρόσβαση στον διακομιστή:

έλεγχος ταυτότητας:

Ελάτε να επισκεφθείτε ξανά3.10Το γεγονός ότι ο διακομιστής δεν είναι διαθέσιμος σημαίνει ότι η στρατηγική μας είναι επιτυχής:

Στη συνέχεια προσθέστε ένα άλλοεπί πληρωμήΛογικά μιλώντας, θα πρέπει να είναι αδύνατη η πρόσβαση στον διακομιστή.

Αυτή τη στιγμή, η τρίτη απαίτηση έχει ολοκληρωθεί

Δημιουργήστε την περιοχή γραφείου, την περιοχή παραγωγής και την περιοχή επισκεπτών με τη σειρά, όπως φαίνεται στο σχήμα:

Στη συνέχεια, δημιουργήστε δύο τμήματα, τμήμα Ε&Α και τμήμα μάρκετινγκ, κάτω από την περιοχή γραφείου:

Δημιουργήστε τμήματα με τη σειρά κάτω από την περιοχή παραγωγής123όπως δείχνει η εικόνα:

Στη συνέχεια, δημιουργήστε χρήστες σε παρτίδες όπως φαίνεται στο σχήμα:

Δημιουργήστε όλες τις ομάδες χρηστών και τους χρήστες παρτίδας όπως φαίνεται στην εικόνα:

Τέλος, επιλέξτε την απαίτηση αλλαγής κωδικού πρόσβασης κατά τη σύνδεση για πρώτη φορά:

Ξεκινήστε από το τμήμα Ε&Α

Δημιουργήστε τρεις πολιτικές ελέγχου ταυτότητας με τη σειρά, όπως φαίνεται στο σχήμα:

Επαληθεύστε τη στρατηγική:

Η επιτυχής πρόσβαση υποδεικνύει ότι η πολιτική είναι σωστή

Δημιουργήστε έναν ρόλο διαχειριστή όπως φαίνεται στην εικόνα:

Δημιουργήστε έναν άλλο διαχειριστή όπως φαίνεται στην εικόνα:

Τέλος, επαληθεύστε εάν ο λογαριασμός αποσύνδεσης δημιουργήθηκε με επιτυχία και συνδεθείτε:

Χωρίς την επιλογή διαχειριστή, το σύστημα μπορεί πλέον μόνο να διαβάζει αλλά όχι να γράφει, υποδεικνύοντας ότι το πείραμα έχει ολοκληρωθεί.