Berbagi teknologi

Konfigurasi eksperimental dasar firewall

2024-07-12

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

1. Topologi eksperimental

2. Persyaratan percobaan:

1. Server di area DMZ hanya dapat diakses di area kantor pada jam kantor (9:00-18:00), dan peralatan di area produksi dapat diakses sepanjang hari.
2. Akses Internet tidak diperbolehkan di area produksi, namun akses Internet diperbolehkan di area perkantoran dan turis.
3. Perangkat area kantor 10.0.2.10 tidak diperbolehkan mengakses server FTP dan server HTTP di area DMZ.
4. Area kantor dibagi menjadi departemen pemasaran dan departemen R&D.Departemen R&D memiliki alamat IP tetap dan menggunakan otentikasi anonim untuk mengakses area DMZ.Departemen pemasaran mengharuskan pengguna untuk mengikat alamat IP, dan akses ke area DMZ tidak memerlukan otentikasi;
Jumlah orang di area pengunjung tidak tetap, dan akses ke area DMZ dan area produksi tidak diperbolehkan. Pengguna tamu digunakan secara seragam untuk login, dan kata sandinya adalah Admin@123 portal dan jelajahi Internet. Alamat portal adalah 10.0.3.10;
5. Ketika area produksi mengakses area DMZ, otentikasi protal diperlukan, dan struktur organisasi pengguna area produksi disiapkan. Ini mencakup setidaknya tiga departemen, setiap departemen memiliki tiga pengguna, dan kata sandi terpadu pengguna adalah openlab123. Login pertama perlu diubah.
Ubah kata sandi, atur waktu kedaluwarsa pengguna menjadi 10 hari, dan pengguna tidak boleh digunakan oleh banyak orang.
6. Buat administrator khusus yang tidak dapat memiliki fungsi manajemen sistem.

3. Ide konfigurasi

1. Pertama-tama terapkan "interoperabilitas jaringan penuh" (interoperabilitas jaringan penuh dapat dicapai ketika firewall hanya digunakan sebagai router. Faktanya, karena firewall, kebijakan yang sesuai harus ditulis untuk mencapai komunikasi), konfigurasikan ip, dan lapisan 2 konfigurasi seperti pada LSW1 Konfigurasikan vlan dan atur sub-antarmuka perangkat firewall G1/0/1 sebagai sub-antarmuka gateway masing-masing vlan2 dan vlan3.

2. Konfigurasikan beberapa kebijakan pada firewall (termasuk kebijakan keamanan dan kebijakan otentikasi) melalui antarmuka web. Pertama, buat antarmuka dan bagi area.

4. Proses percobaan:

(1) Konfigurasikan alamat IP setiap perangkat (dihilangkan) dan konfigurasikan vlan perangkat lapisan kedua:

LSW1:

  1. [LSW1]inter g0/0/2
  2. [LSW1-GigabitEthernet0/0/2]port link-type access 
  3. [LSW1-GigabitEthernet0/0/2]port default vlan 2
  4. [LSW1]inter g0/0/3
  5. [LSW1-GigabitEthernet0/0/3]port link-type access 
  6. [LSW1-GigabitEthernet0/0/3]port default vlan 3
  7. [LSW1]inter g0/0/1
  8. [LSW1-GigabitEthernet0/0/1]port link-type trunk 
  9. [LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3

FW2:
Antarmuka G0/0/0 dikonfigurasi dengan alamat IP. Alamat IP dari cloud ke mesin lokal yang diakses melalui ENSP adalah 192.168.100.2, sehingga firewall dikonfigurasi dengan 192.168.100.1.

Antarmuka G1/0/0:

G1/0/1 membuat sub-interface dan area keamanan (misalnya area kantor, sub-interface di area produksi juga harus dibuat)

Zona keamanan. Pilih sub-antarmuka yang baru saja dibuat di sini untuk membagi segmen jaringan di bawahnya ke dalam zona keamanan ini.

Sub-interface area produksi (konfigurasi sudah dibuat):

G1/0/4(kawasan wisata)

G1/0/2 (Internet):

G1/0/3 (cadangan Internet):

(2) Kebijakan keamanan:
1. Server di area DMZ hanya dapat diakses di area kantor pada jam kantor (9:00-18:00), dan peralatan di area produksi dapat diakses sepanjang hari.

2. Akses Internet tidak diperbolehkan di area produksi, namun akses Internet diperbolehkan di area perkantoran dan turis.

Area produksi tidak dapat diakses

Area kantor dan pengunjung memiliki akses ke:

3. Perangkat area kantor 10.0.2.10 tidak diperbolehkan mengakses server FTP dan server HTTP di area DMZ.

tes:

4. Area kantor dibagi menjadi departemen pemasaran dan departemen R&D.Departemen R&D memiliki alamat IP tetap dan menggunakan otentikasi anonim untuk mengakses area DMZ.Departemen pemasaran mengharuskan pengguna untuk mengikat alamat IP, dan akses ke area DMZ tidak memerlukan otentikasi;
Jumlah orang di area pengunjung tidak tetap, dan akses ke area DMZ dan area produksi tidak diperbolehkan. Pengguna tamu digunakan secara seragam untuk login, dan kata sandinya adalah Admin@123 portal dan jelajahi Internet. Alamat portal adalah 10.0.3.10;

Strategi Sertifikasi Departemen Litbang: Bebas Sertifikasi

Strategi Otentikasi Departemen Pemasaran: Otentikasi Anonim

Akses tamu ke DMZ10.0.3.10 (akses pengunjung ke DZM dan area produksi ditolak secara default):

5. Ketika area produksi mengakses area DMZ, otentikasi protal diperlukan, dan struktur organisasi pengguna area produksi disiapkan. Ini mencakup setidaknya tiga departemen, setiap departemen memiliki tiga pengguna, dan kata sandi terpadu pengguna adalah openlab@ 123. Login pertama perlu diubah.
Ubah kata sandi, atur waktu kedaluwarsa pengguna menjadi 10 hari, dan pengguna tidak boleh digunakan oleh banyak orang.

6. Buat administrator khusus yang tidak dapat memiliki fungsi manajemen sistem.

Profil pribadi

Ia telah mengabdikan dirinya untuk meneliti teknologi selama lebih dari 30 tahun, dan mahir dalam berbagai bahasa seperti java, linux, javascript, php, css, dll. Ia telah memberikan banyak kontribusi di bidang open source stasiun dokumentasi pengembang untuk berbagi beberapa masalah dalam pengembangan teknologi untuk referensi di masa mendatang

informasi kontak saya

Surat