Condivisione della tecnologia

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

1. Topologia sperimentale

2. Requisiti sperimentali:

1. È possibile accedere ai server nell'area DMZ solo nell'area uffici durante l'orario di ufficio (9:00-18:00) e alle apparecchiature nell'area di produzione è possibile accedere durante tutto il giorno.
2. L'accesso a Internet non è consentito nell'area di produzione, ma l'accesso a Internet è consentito nell'area uffici e ai turisti
3. Il dispositivo dell'area ufficio 10.0.2.10 non è autorizzato ad accedere al server FTP e al server HTTP nell'area DMZ. Può eseguire solo il ping 10.0.3.10.
4. L'area ufficio è divisa nel reparto marketing e nel reparto R&D. Il reparto R&D ha un indirizzo IP fisso e utilizza l'autenticazione anonima per accedere all'area DMZ. Il reparto marketing richiede agli utenti di associare gli indirizzi IP e accedere all'area DMZ non richiede autenticazione;
Il numero di persone nell'area visitatori non è fisso e non è consentito l'accesso all'area DMZ e all'area produzione. Gli utenti ospiti vengono registrati in modo uniforme, con la password Admin@123. I visitatori hanno il permesso di accedere solo al portale aziendale e navigare in Internet L'indirizzo del portale è 10.0.3.10;
5. Quando l'area di produzione accede all'area DMZ, è richiesta l'autenticazione protal e viene impostata la struttura dell'organizzazione degli utenti dell'area di produzione, includendo almeno tre dipartimenti, ciascun dipartimento ha tre utenti e la password unificata dell'utente è openlab123 The il primo accesso deve essere modificato.
Cambia la password, imposta la scadenza dell'utente su 10 giorni e l'utente non potrà essere utilizzato da più persone.
6. Creare un amministratore personalizzato che non possa avere funzioni di gestione del sistema.

3. Idee di configurazione

1. Per prima cosa implementare la "piena interoperabilità di rete" (la piena interoperabilità di rete può essere ottenuta quando il firewall viene utilizzato solo come router. Infatti, a causa del firewall, è necessario scrivere policy corrispondenti per ottenere la comunicazione), configurare l'IP e il livello 2 configurazione come su LSW1 Configurare vlan e impostare le sottointerfacce del dispositivo firewall G1/0/1 come sottointerfacce gateway di vlan2 e vlan3 rispettivamente.

2. Configurare alcune policy sul firewall (incluse policy di sicurezza e policy di autenticazione) tramite l'interfaccia web Innanzitutto, creare interfacce e dividere le aree.

4. Processo sperimentale:

(1) Configurare l'indirizzo IP di ciascun dispositivo (omesso) e configurare la vlan del dispositivo di secondo livello:

Italiano:

[LSW1]inter g0/0/2
[LSW1-GigabitEthernet0/0/2]port link-type access 
[LSW1-GigabitEthernet0/0/2]port default vlan 2
[LSW1]inter g0/0/3
[LSW1-GigabitEthernet0/0/3]port link-type access 
[LSW1-GigabitEthernet0/0/3]port default vlan 3
[LSW1]inter g0/0/1
[LSW1-GigabitEthernet0/0/1]port link-type trunk 
[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3

FW2:
L'interfaccia G0/0/0 è configurata con un indirizzo IP. L'indirizzo IP dal cloud al computer locale a cui si accede tramite ENSP è 192.168.100.2, quindi il firewall è configurato con 192.168.100.1.

Interfaccia G1/0/0:

G1/0/1 crea una sottointerfaccia e un'area di sicurezza (prendendo come esempio l'area uffici occorre creare una sottointerfaccia anche nell'area produzione)

Zona di sicurezza Seleziona l'interfaccia secondaria appena creata qui per dividere il segmento di rete sottostante in questa zona di sicurezza.

Sottointerfaccia dell'area di produzione (configurazione già creata):

G1/0/4(zona turistica)

G1/0/2(Internet):

G1/0/3 (backup Internet):

(2) Politica di sicurezza:
1. È possibile accedere ai server nell'area DMZ solo nell'area uffici durante l'orario di ufficio (9:00-18:00) e alle apparecchiature nell'area di produzione è possibile accedere durante tutto il giorno.

2. L'accesso a Internet non è consentito nell'area di produzione, ma l'accesso a Internet è consentito nell'area uffici e ai turisti

L'area di produzione non è accessibile

Le aree ufficio e visitatori hanno accesso a:

3. Il dispositivo dell'area ufficio 10.0.2.10 non è autorizzato ad accedere al server FTP e al server HTTP nell'area DMZ. Può eseguire solo il ping 10.0.3.10.

test:

4. L'area ufficio è divisa nel reparto marketing e nel reparto R&D. Il reparto R&D ha un indirizzo IP fisso e utilizza l'autenticazione anonima per accedere all'area DMZ. Il reparto marketing richiede agli utenti di associare gli indirizzi IP e accedere all'area DMZ non richiede autenticazione;
Il numero di persone nell'area visitatori non è fisso e non è consentito l'accesso all'area DMZ e all'area produzione. Gli utenti ospiti vengono registrati in modo uniforme, con la password Admin@123. I visitatori hanno il permesso di accedere solo al portale aziendale e navigare in Internet L'indirizzo del portale è 10.0.3.10;

Strategia di certificazione del dipartimento di ricerca e sviluppo: certificazione gratuita

Strategia di autenticazione del reparto marketing: autenticazione anonima

Accesso ospite a DMZ10.0.3.10 (l'accesso dei visitatori a DZM e alle aree di produzione è negato per impostazione predefinita):

5. Quando l'area di produzione accede all'area DMZ, è richiesta l'autenticazione protetta e viene impostata la struttura dell'organizzazione degli utenti dell'area di produzione. Include almeno tre dipartimenti, ciascun dipartimento ha tre utenti e la password unificata dell'utente è openlab@. 123. È necessario modificare il primo login.
Cambia la password, imposta la scadenza dell'utente su 10 giorni e l'utente non potrà essere utilizzato da più persone.

6. Creare un amministratore personalizzato che non possa avere funzioni di gestione del sistema.