技術共有

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

ファイアウォールの実験用トポロジを次の図に示します。

実験要件:

1. DMZ エリアのサーバーはオフィスエリアの営業時間中 (9:00 ～ 18:00) にのみアクセスできますが、生産エリアの機器は 1 日中アクセスできます。

2. 生産地ではインターネットへのアクセスは禁止されていますが、オフィスエリアや観光エリアではインターネットへのアクセスが許可されています。

3. オフィス エリア デバイス 10.0.2.10 は、DMz エリア内の FTP サーバーおよび HTTP サーバーにアクセスできません。10.0.3.10 にのみ ping できます。

4. オフィスエリアのIPアドレスは固定、Dmzエリアへのアクセスには匿名認証を使用します。観光エリアの人数は固定ではなく、DMzエリアおよび生産エリアへのアクセスは匿名認証を使用しません。インターネットにアクセスする場合は、観光グループを通じてオンラインに接続する必要があります。

5. プロダクションエリアが omz エリアにアクセスする場合、プロトコル認証が必要であり、プロダクションエリアのユーザー組織構造は少なくとも 3 つの部門、各部門に 3 人のユーザーを含み、ユーザーの統一パスワードは openlab123 です。初回ログイン時にパスワードの変更が必要で、ユーザーの有効期限は10日間に設定されています。

6. システム管理機能を持たないカスタム管理者を作成します。

ファイアウォールを構成する手順:

1. インターフェースIPアドレス、エリア区分
2. イントラネットのレポート ルートを作成します。
3. セキュリティ戦略
4. インサイドアウトNAT
5. サーバーマッピング

注: この前に、基盤となるデバイスが相互に通信できることを確認する必要があるため、まずスイッチ上で VLAN を分割する必要があります。

LSW2：

[Huawei]vlan バッチ 2 3 //vlan分割

[Huawei]int g 0/0/2

[Huawei-GigabitEthernet0/0/2]ポートリンクタイプアクセス//入力0/0/2 ...口ハンドル0/0/2口のタイプを次のように変更します。アクセスタイプ

[Huawei-GigabitEthernet0/0/2]int 0/0/3

[Huawei-GigabitEthernet0/0/3]protリンクタイプアクセス//入力0/0/3 0/0/3口ハンドル3口がなるアクセスタイプ。

[Huawei-GigabitEthernet0/0/3]ポートデフォルトVLAN3///バンドル3口が分かれていますvlan3

[Huawei-GigabitEthernet0/0/3]int 0/0/1

[Huawei-GigabitEthernet0/0/1]ポートリンクタイプトランク//入力0/1口ハンドル0/1口を変えて、トランクタイプ。

[Huawei-GigabitEthernet0/0/1]ポートトランク許可パスVLAN 2 3このチャンネルでは、ヴァルン2そしてvlan3交通が通過します。

[Huawei-GigabitEthernet0/0/1]ポートトランク許可パスVLAN1を元に戻す//バンドルvlan1 それ以外の場合、トラフィックは削除されます2 3 交通は幹線道路を通過できません。

スイッチを設定するVLAN次に、ファイアウォールに移動して続行しますIPアドレス構成:

FW4:

[USG6000V1-ギガビットイーサネット0/0/0]ip add 192.168.100.2 24//メインサービスポートを入力し、メインサービスポートを変更しますIP住所が一致しました

[USG6000V1-GigabitEthernet0/0/0]サービス管理すべて許可//すべてのサービスをオンにする

すべての構成が完了したら、構成用の Web ページに入ることができます。

現れる1/0/3 ですインターフェース構成:

同じことが言えます1/0/4インターフェースは上記の手順に従って操作することもできます。

意思1/0/1 1/0/1口が分かれています非武装地帯エリア;

次に、図に示すように、セキュリティ エリアに 2 つのエリア、つまりオフィス ネットワーク エリアと実稼働ネットワーク エリアを作成します。

図に示すように、メイン インターフェイスの下に 2 つのサブインターフェイスを構成します。

実稼働領域のサブインターフェースにも同じことが当てはまります。

上記の操作を行った後、同一LAN内でデータ通信が可能かどうかをご自身で確認してください。ピン このコマンドは、それができるかどうかを確認しますピンゲートウェイを通って。

オフィス ネットワークにも同じことが当てはまります。

サーバーについても同様です。

次に、サーバーをウェブサーバーオフィスエリア支払ったポリシーがないためアクセスできません。

ポリシー セクションを入力して、オフィス エリア ユーザーのアクセスを構成します。非武装地帯ゾーンサーバーポリシー:

作成後は次のようになります。

戦略の準備ができたら、それにアクセスできますウェブサーバ

夜に行ったのでアクセス失敗の原因はポリシー時間内ではありませんでした。

同様に、生産エリアの原理も図に示すとおりです。

この時点で、最初の要件は完了しました。

実稼働領域のユーザーがサーバーにアクセスするためのポリシーを作成します。

認証中:

また遊びに来てね3.10サーバーが利用できないという事実は、私たちの戦略が成功したことを意味します。

次に、別のものを追加します支払った論理的に言えば、サーバーにアクセスすることは不可能であるはずです。

この時点で 3 番目の要件は完了しました

図に示すように、オフィスエリア、生産エリア、訪問者エリアを順番に作成します。

次に、オフィス領域の下に R&D 部門とマーケティング部門の 2 つの部門を作成します。

生産エリアの下に順番に部門を作成します123写真が示すように:

次に、図に示すようにユーザーをバッチで作成します。:

図に示すように、すべてのユーザー グループとバッチ ユーザーを作成します。

最後に、初回ログイン時にパスワードを変更する要件を選択します。

研究開発部門からスタート

図に示すように、3 つの認証ポリシーを順番に作成します。

戦略を確認します。

アクセスが成功すると、ポリシーが正しいことを示します

図に示すように、管理者ロールを作成します。

図に示すように、別の管理者を作成します。

最後に、ログアウト アカウントが正常に作成されたかどうかを確認し、ログインします。

管理者オプションを使用しないと、システムは読み取りのみが可能になり、書き込みはできなくなり、実験が完了したことを示します。