Berbagi teknologi

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Topologi eksperimental firewall ditunjukkan pada gambar:

Persyaratan eksperimental:

1. Server di area DMZ hanya dapat diakses di area kantor pada jam kantor (09.00 - 18.00), dan peralatan di area produksi dapat diakses sepanjang hari.

2. Akses Internet tidak diperbolehkan di area produksi, namun akses Internet diperbolehkan di area perkantoran dan area wisata.

3. Perangkat area kantor 10.0.2.10 tidak diperbolehkan mengakses server FTP dan server HTTP di area DMz.

4. Alamat IP area kantor ditetapkan, dan otentikasi anonim digunakan untuk mengakses area Dmz. Jumlah orang di area wisata tidak tetap, dan akses ke area DMz dan area produksi tidak diperbolehkan diperlukan saat mengakses Internet, dan Anda harus online melalui grup wisata.

5. Ketika area produksi mengakses area omz, otentikasi protol diperlukan, dan struktur organisasi pengguna area produksi disiapkan. Ini mencakup setidaknya tiga departemen, tiga pengguna untuk setiap departemen, dan kata sandi terpadu pengguna adalah openlab123. Kata sandi perlu diubah saat masuk untuk pertama kali, dan waktu kedaluwarsa pengguna ditetapkan selama 10 hari

6. Buat administrator khusus yang tidak memiliki fungsi manajemen sistem.

Langkah-langkah untuk mengkonfigurasi firewall:

1. Alamat IP antarmuka, pembagian area
2. Tulis rute laporan untuk intranet
3. strategi keamanan
4. NAT luar dalam
5. Pemetaan server

Catatan: Sebelum ini, kita harus memastikan bahwa perangkat yang mendasarinya dapat berkomunikasi satu sama lain, jadi kita harus membagi vlan pada sakelar terlebih dahulu.

LSW2: Bahasa Indonesia:

[Huawei]vlan batch 2 3 //vlandivisi

[Huawei]int g0/0/2

[Huawei-GigabitEthernet0/0/2]jenis akses tautan port //Memasukitanggal 0/0/2Pegangan mulut0/0/2Ubah jenis mulut menjadimengaksesjenis

[Huawei GigabitEthernet0/0/2]int g 0/0/3

[Huawei-GigabitEthernet0/0/3]akses jenis tautan prot//Memasukitanggal 0/0/3Pegangan mulut3mulut menjadiMengaksesjenis.

[Huawei-GigabitEthernet0/0/3]port vlan default 3///Bundel3Mulutnya terbagi menjadivlan3

[Huawei GigabitEthernet0/0/3]int g 0/0/1

[Huawei-GigabitEthernet0/0/1]jenis tautan port trunk//Memasuki0/1Pegangan mulut0/1Ubah mulut menjadibelalaijenis.

[Huawei-GigabitEthernet0/0/1]port trunk mengizinkan lewat vlan 2 3Saluran ini memungkinkannilai2Danvlan3Lalu lintas lewat.

[Huawei-GigabitEthernet0/0/1]batalkan izinkan lewat port trunk vlan 1//Bundelvlan1 Jika tidak, lalu lintas akan dihapus2 3 Lalu lintas tidak bisa melewati jalan arteri.

Konfigurasikan sakelarBahasa Indonesia: vlanSelanjutnya, buka firewall dan lanjutkanAKU PKonfigurasi alamat:

FW4:

[USG6000V1-GigabitEthernet0/0/0]ip tambahkan 192.168.100.2 24//Masuk ke port layanan utama dan ubah port layanan utamaAKU PAlamatnya cocok

[USG6000V1-GigabitEthernet0/0/0]layanan-kelola semua izin//Aktifkan semua layanan

Setelah semua konfigurasi selesai, Anda dapat masuk ke halaman web untuk konfigurasi:

naikkanBahasa Indonesia: g1/0/3Konfigurasi antarmuka:

Hal yang sama dapat dikatakanBahasa Indonesia: g1/0/4Antarmuka juga dapat dioperasikan sesuai dengan langkah-langkah di atas;

AkanBahasa Indonesia: g1/0/1Mulutnya terbagi menjadiZona Demiliterisasidaerah;

Kemudian buatlah dua area pada security area yaitu area jaringan kantor dan area jaringan produksi seperti pada gambar:

Konfigurasikan dua sub-antarmuka di bawah antarmuka utama seperti yang ditunjukkan pada gambar:

Hal yang sama berlaku untuk sub-antarmuka area produksi:

Setelah melakukan operasi di atas, periksa apakah LAN yang sama dapat berkomunikasi dengan data sendiri.ping Perintah ini memeriksa apakah bisapingmelalui gerbang.

Hal yang sama berlaku untuk jaringan kantor:

Hal yang sama juga berlaku untuk server;

Kemudian kita buat servernya aBahasa Indonesia: Bahasa Indonesia: HTTPArea kantor serverdibayarAkses tidak dapat dilakukan karena tidak ada kebijakan.

Masuk ke bagian kebijakan untuk mengonfigurasi akses bagi pengguna area kantor.Zona DemiliterisasiKebijakan server zona:

Setelah dibuat, tampilannya akan seperti ini:

Setelah strateginya siap, Anda dapat mengaksesnyaBahasa Indonesia: Bahasa Indonesia: HTTPpelayan

Karena saya melakukannya pada malam hari, alasan kegagalan akses bukan dalam waktu kebijakan.

Dengan cara yang sama, prinsip area produksi sama seperti yang ditunjukkan pada gambar:

Sampai disini persyaratan pertama sudah terpenuhi.

Buat kebijakan bagi pengguna di area produksi untuk mengakses server:

mengautentikasi:

Ayo berkunjung lagi3.10Fakta bahwa server tidak tersedia berarti strategi kami berhasil:

Lalu tambahkan yang laindibayarSecara logika, tidak mungkin mengakses server.

Saat ini persyaratan ketiga telah terpenuhi

Buatlah area kantor, area produksi, dan area pengunjung secara berurutan, seperti terlihat pada gambar:

Kemudian buat dua departemen, departemen R&D dan departemen pemasaran, di bawah area kantor:

Buat departemen secara berurutan di bawah area produksi123seperti yang ditunjukkan gambar:

Kemudian buat pengguna secara batch seperti yang ditunjukkan pada gambar:

Buat semua grup pengguna dan pengguna batch seperti yang ditunjukkan pada gambar:

Terakhir, pilih persyaratan untuk mengubah kata sandi saat login pertama kali:

Mulai dari departemen R&D

Buat tiga kebijakan otentikasi secara berurutan seperti yang ditunjukkan pada gambar:

Verifikasi strateginya:

Akses yang berhasil menunjukkan bahwa kebijakan tersebut benar

Buat peran administrator seperti yang ditunjukkan pada gambar:

Buat administrator lain seperti yang ditunjukkan pada gambar:

Terakhir, verifikasi apakah akun logout berhasil dibuat dan login:

Tanpa opsi administrator, sistem sekarang hanya dapat membaca tetapi tidak dapat menulis, yang menunjukkan bahwa percobaan telah selesai.