Condivisione della tecnologia

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

La topologia sperimentale del firewall è mostrata in figura:

Requisiti sperimentali:

1. È possibile accedere ai server nell'area DMZ solo nell'area uffici durante l'orario di ufficio (9:00 - 18:00) e alle apparecchiature nell'area di produzione è possibile accedere durante tutto il giorno.

2. L'accesso a Internet non è consentito nella zona produttiva, ma è consentito l'accesso a Internet nella zona uffici e nella zona turistica.

3. Il dispositivo dell'area ufficio 10.0.2.10 non è autorizzato ad accedere al server FTP e al server HTTP nell'area DMz. Può eseguire solo il ping 10.0.3.10.

4. L'indirizzo IP dell'area ufficio è fisso e per accedere all'area Dmz viene utilizzata l'autenticazione anonima. Il numero di persone nell'area turistica non è fisso e l'accesso all'area DMz e all'area di produzione non è consentito è richiesto quando si accede a Internet ed è necessario andare online tramite il gruppo turistico.

5. Quando l'area di produzione accede all'area omz, è richiesta l'autenticazione del protocollo e viene impostata la struttura dell'organizzazione degli utenti dell'area di produzione che comprende almeno tre dipartimenti, tre utenti per ciascun dipartimento e la password unificata dell'utente è openlab123. La password deve essere modificata al primo accesso e la scadenza dell'utente è impostata su 10 giorni

6. Creare un amministratore personalizzato che non disponga di funzioni di gestione del sistema.

Passaggi per configurare il firewall:

1. Indirizzo IP dell'interfaccia, divisione dell'area
2. Scrivere il percorso del report per l'intranet
3. strategia di sicurezza
4. NAT al rovescio
5. Mappatura dei server

Nota: prima di questo dobbiamo assicurarci che i dispositivi sottostanti possano comunicare tra loro, quindi dobbiamo prima dividere la vlan sullo switch.

LSW2:

[Huawei]vlan batch 2 3 //vlandivisione

[Huawei]in g 0/0/2

[Huawei-GigabitEthernet0/0/2]accesso di tipo collegamento porta //accedereg0/0/2Manico della bocca0/0/2Cambia il tipo di bocca inaccessotipo

[Huawei-GigabitEthernet0/0/2]int g 0/0/3

[Huawei-GigabitEthernet0/0/3]accesso di tipo link prot//accedereg0/0/3Manico della bocca3la bocca diventaAccessotipo.

[Huawei-GigabitEthernet0/0/3]porta predefinita vlan 3///Fascio3La bocca è divisa invlan3

[Huawei-GigabitEthernet0/0/3]int g 0/0/1

[Huawei-GigabitEthernet0/0/1]porta collegamento tipo trunk//accedere0/1Manico della bocca0/1Cambia la bocca introncotipo.

[Huawei-GigabitEthernet0/0/1]porta trunk allow-pass vlan 2 3Questo canale lo consentevaln2Evlan3Il traffico passa.

[Huawei-GigabitEthernet0/0/1]annulla porta trunk allow-pass vlan 1//Fasciovlan1 In caso contrario il traffico verrà eliminato2 3 Il traffico non può transitare attraverso le arterie stradali.

Configura l'interruttoreVLAN (VLANa)Successivamente, vai al firewall e procediProprietà intellettualeConfigurazione indirizzo:

FW4:

[USG6000V1-GigabitEthernet0/0/0]aggiungi ip 192.168.100.2 24//Immettere la porta di servizio principale e modificare la porta di servizio principaleProprietà intellettualeL'indirizzo corrisponde

[USG6000V1-GigabitEthernet0/0/0]servizio-gestisci tutti i permessi//Attiva tutti i servizi

Una volta completata tutta la configurazione, è possibile accedere alla pagina Web per la configurazione:

uscire fuorig1/0/3Configurazione dell'interfaccia:

Lo stesso si può direg1/0/4L'interfaccia può anche essere utilizzata secondo i passaggi precedenti;

Volereg1/0/1La bocca è divisa inZona demilitarizzatala zona;

Creare quindi due aree nell'area di sicurezza, ovvero l'area della rete ufficio e l'area della rete produttiva, come mostrato in figura:

Configurare due sottointerfacce sotto l'interfaccia principale come mostrato in figura:

Lo stesso vale per la sottointerfaccia dell'area di produzione:

Dopo aver eseguito le operazioni di cui sopra, verificare se la stessa LAN può comunicare autonomamente con i dati.fare un ping Questo comando controlla se è possibilefare un pingattraverso la porta.

Lo stesso vale per la rete aziendale:

Lo stesso vale per i server;

Quindi creiamo il server aHTTPArea uffici serverpagatoImpossibile eseguire l'accesso perché non esiste alcuna policy.

Accedi alla sezione policy per configurare l'accesso per gli utenti dell'area uffici.Zona demilitarizzataPolitica del server di zona:

Dopo la creazione, sarà simile a questo:

Una volta che la strategia è pronta, puoi accederviHTTPserver

Dato che l'ho fatto di notte, il motivo del mancato accesso non rientrava nei tempi previsti dalla policy.

Allo stesso modo, il principio dell’area di produzione è lo stesso mostrato in figura:

A questo punto il primo requisito è stato soddisfatto.

Crea una policy per consentire agli utenti nell'area di produzione di accedere al server:

autenticando:

Vieni a trovarci di nuovo3.10Il fatto che il server non sia disponibile significa che la nostra strategia ha successo:

Quindi aggiungine un altropagatoLogicamente parlando, dovrebbe essere impossibile accedere al server.

In questo momento, il terzo requisito è stato completato

Creare in ordine l'area uffici, l'area produzione e l'area visitatori, come mostrato nella figura:

Quindi crea due dipartimenti, reparto ricerca e sviluppo e reparto marketing, sotto l'area uffici:

Crea reparti in sequenza sotto l'area di produzione123come mostra l'immagine:

Quindi crea gli utenti in batch come mostrato nella figura:

Crea tutti i gruppi di utenti e gli utenti batch come mostrato nella figura:

Seleziona infine l'obbligo di cambiare password al primo accesso:

A partire dal dipartimento di ricerca e sviluppo

Creare tre policy di autenticazione in sequenza come mostrato in figura:

Verifica la strategia:

L'accesso riuscito indica che la policy è corretta

Creare un ruolo di amministratore come mostrato in figura:

Creare un altro amministratore come mostrato in figura:

Infine, verifica se l'account di logout è stato creato correttamente ed effettua l'accesso:

Senza l'opzione amministratore, il sistema ora può solo leggere ma non scrivere, indicando che l'esperimento è completato.