기술나눔

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

1. 실험적 토폴로지

2. 실험 요구 사항:

1. DMZ 지역의 서버는 근무시간(9:00~18:00)에만 사무실 지역에서만 접속이 가능하며, 생산지역의 장비는 하루 종일 접속이 가능합니다.
2. 생산구역에서는 인터넷 접속이 허용되지 않으나, 사무구역 및 관광객에게는 인터넷 접속이 허용됩니다.
3. 사무실 영역 장치 10.0.2.10은 DMZ 영역의 FTP 서버 및 HTTP 서버에 액세스할 수 없습니다. 10.0.3.10에만 ping이 가능합니다.
4. 사무실 영역은 마케팅 부서와 R&D 부서로 구분됩니다. R&D 부서는 고정 IP 주소를 가지며 익명 인증을 사용하여 DMZ 영역에 액세스합니다. 마케팅 부서에서는 사용자에게 IP 주소 바인딩 및 DMZ 영역 액세스가 필요합니다. 인증이 필요하지 않습니다.
방문객 구역의 인원수는 고정되어 있지 않으며, DMZ 구역 및 생산 구역에 대한 접근은 허용되지 않습니다. 게스트 사용자는 Admin@123 비밀번호로 통일적으로 로그인을 사용합니다. 방문객은 회사 포털에 대한 접근 권한만 갖습니다. 인터넷 서핑을 해보세요. 포털 주소는 10.0.3.10입니다.
5. 생산지역이 DMZ지역에 접근할 경우, 생산지역의 사용자 조직 구조가 설정되어 있으며, 최소 3개의 부서를 포함하고, 각 부서에는 3명의 사용자가 있으며, 사용자의 통합 비밀번호는 openlab123입니다. 첫 번째 로그인을 수정해야 합니다.
비밀번호를 변경하고 사용자 만료일을 10일로 설정하면 해당 사용자를 여러 사람이 사용할 수 없습니다.
6. 시스템 관리 기능을 가질 수 없는 사용자 정의 관리자를 생성합니다.

3. 구성 아이디어

1. 먼저 "전체 네트워크 상호 운용성"(방화벽을 라우터로만 사용할 때 전체 네트워크 상호 운용성을 달성할 수 있습니다. 실제로 방화벽으로 인해 통신을 달성하려면 해당 정책을 작성해야 함)을 구현하고 IP 및 레이어 2를 구성합니다. LSW1과 같은 구성 vlan을 구성하고 방화벽 장치 G1/0/1의 하위 인터페이스를 각각 vlan2 및 vlan3의 게이트웨이 하위 인터페이스로 설정합니다.

2. 웹 인터페이스를 통해 방화벽에 대한 일부 정책(보안 정책 및 인증 정책 포함)을 구성합니다. 먼저 인터페이스를 만들고 영역을 구분합니다.

4. 실험 과정:

(1) 각 장치의 IP 주소를 구성하고(생략됨) 두 번째 계층 장치 VLAN을 구성합니다.

LSW1:

[LSW1]inter g0/0/2
[LSW1-GigabitEthernet0/0/2]port link-type access 
[LSW1-GigabitEthernet0/0/2]port default vlan 2
[LSW1]inter g0/0/3
[LSW1-GigabitEthernet0/0/3]port link-type access 
[LSW1-GigabitEthernet0/0/3]port default vlan 3
[LSW1]inter g0/0/1
[LSW1-GigabitEthernet0/0/1]port link-type trunk 
[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3

FW2:
G0/0/0 인터페이스는 IP 주소로 구성됩니다. 클라우드에서 ENSP를 통해 액세스되는 로컬 시스템까지의 IP 주소는 192.168.100.2이므로 방화벽은 192.168.100.1로 구성됩니다.

G1/0/0 인터페이스:

G1/0/1은 하위 인터페이스와 보안 영역을 생성합니다(사무실 영역을 예로 들면 생산 영역에도 하위 인터페이스를 생성해야 함).

보안 영역 아래의 네트워크 세그먼트를 이 보안 영역으로 나누려면 여기서 방금 생성한 하위 인터페이스를 선택합니다.

생산 영역의 하위 인터페이스(이미 생성된 구성):

G1/0/4(관광지역)

G1/0/2(인터넷):

G1/0/3(인터넷 백업):

(2) 보안 정책:
1. DMZ 지역의 서버는 근무시간(9:00~18:00)에만 사무실 지역에서만 접속이 가능하며, 생산지역의 장비는 하루 종일 접속이 가능합니다.

2. 생산구역에서는 인터넷 접속이 허용되지 않으나, 사무구역 및 관광객에게는 인터넷 접속이 허용됩니다.

생산지역 접근 불가

사무실과 방문자 구역은 다음을 이용할 수 있습니다.

3. 사무실 영역 장치 10.0.2.10은 DMZ 영역의 FTP 서버 및 HTTP 서버에 액세스할 수 없습니다. 10.0.3.10에만 ping이 가능합니다.

시험:

4. 사무실 영역은 마케팅 부서와 R&D 부서로 구분됩니다. R&D 부서는 고정 IP 주소를 가지며 익명 인증을 사용하여 DMZ 영역에 액세스합니다. 마케팅 부서에서는 사용자에게 IP 주소 바인딩 및 DMZ 영역 액세스가 필요합니다. 인증이 필요하지 않습니다.
방문객 구역의 인원수는 고정되어 있지 않으며, DMZ 구역 및 생산 구역에 대한 접근은 허용되지 않습니다. 게스트 사용자는 Admin@123 비밀번호로 통일적으로 로그인을 사용합니다. 방문객은 회사 포털에 대한 접근 권한만 갖습니다. 인터넷 서핑을 해보세요. 포털 주소는 10.0.3.10입니다.

R&D 부서 인증 전략: 인증 무료

마케팅 부서 인증 전략: 익명 인증

DMZ10.0.3.10에 대한 게스트 액세스(DZM 및 생산 영역에 대한 방문자 액세스는 기본적으로 거부됨):

5. 생산지역이 DMZ지역에 접근할 경우, 생산지역의 사용자 조직 구조가 설정되어 있으며, 최소 3개의 부서를 포함하고, 각 부서에는 3명의 사용자가 있으며, 사용자의 통합 비밀번호는 openlab@입니다. 123. 첫 번째 로그인을 수정해야 합니다.
비밀번호를 변경하고 사용자 만료일을 10일로 설정하면 해당 사용자를 여러 사람이 사용할 수 없습니다.

6. 시스템 관리 기능을 가질 수 없는 사용자 정의 관리자를 생성합니다.