기술나눔

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

방화벽 실험 토폴로지는 그림에 나와 있습니다.

실험 요구사항:

1. DMZ 지역의 서버는 근무시간(9:00~18:00)에만 사무실 지역에서만 접속이 가능하며, 생산지역의 장비는 하루 종일 접속이 가능합니다.

2. 생산구역에서는 인터넷 접속이 허용되지 않으나, 사무구역 및 관광구역에서는 인터넷 접속이 허용됩니다.

3. 사무실 영역 장치 10.0.2.10은 DMz 영역의 FTP 서버 및 HTTP 서버에 액세스할 수 없습니다. 10.0.3.10에만 ping이 가능합니다.

4. 사무실 구역의 IP 주소는 고정되어 있으며, DMZ 구역은 익명 인증을 사용하여 접속합니다. 관광 구역의 인원은 고정되어 있지 않으며, DMZ 구역 및 생산 구역은 익명 인증이 허용되지 않습니다. 인터넷 접속시 필요하며, 관광단을 통해 온라인으로 접속해야 합니다.

5. 생산지역이 OMZ지역에 접속 시 프로토콜 인증이 필요하며, 생산지역의 사용자 조직 구조가 설정되어 있으며, 최소 3개 부서, 각 부서별 3명의 사용자를 포함하며, 사용자의 통합 비밀번호는 openlab123입니다. 비밀번호는 최초 로그인 시 변경해야 하며, 사용자 만료일은 10일로 설정되어 있습니다.

6. 시스템 관리 기능이 없는 사용자 정의 관리자를 생성합니다.

방화벽을 구성하는 단계:

1. 인터페이스 IP 주소, 영역 구분
2. 인트라넷에 대한 보고 경로를 작성합니다.
3. 보안 전략
4. 내부 NAT
5. 서버 매핑

참고: 이 전에 기본 장치가 서로 통신할 수 있는지 확인해야 하므로 먼저 스위치에서 VLAN을 분할해야 합니다.

LSW2：

[화웨이]vlan 배치 2 3 //vlan분할

[화웨이]int g 0/0/2

[Huawei-GigabitEthernet0/0/2]포트 링크 유형 액세스 //입력하다지0/0/2입 손잡이0/0/2입 유형을 다음으로 변경하세요.입장유형

[화웨이-기가비트이더넷0/0/2]int g 0/0/3

[Huawei-GigabitEthernet0/0/3]prot 링크 유형 액세스//입력하다지0/0/3입 손잡이3입이 된다입장유형.

[Huawei-GigabitEthernet0/0/3]포트 기본 vlan 3///묶음3입은 다음과 같이 나누어진다.블랜3

[화웨이-기가비트이더넷0/0/3]int g 0/0/1

[Huawei-GigabitEthernet0/0/1]포트 링크 유형 트렁크//입력하다0/1입 손잡이0/1입으로 바꿔봐트렁크유형.

[Huawei-GigabitEthernet0/0/1]포트 트렁크 허용-통과 vlan 2 3이 채널에서는 다음을 허용합니다.발른2그리고블랜3교통이 통과합니다.

[Huawei-GigabitEthernet0/0/1]undo 포트 트렁크 허용-통과 vlan 1//묶음블랜1 그렇지 않으면 트래픽이 삭제됩니다.2 3 교통은 간선도로를 통과할 수 없습니다.

스위치 구성블란다음으로 방화벽으로 이동하여 진행합니다.아이피(아이피(IP))주소 구성:

FW4:

[USG6000V1-기가비트이더넷0/0/0]ip 추가 192.168.100.2 24//메인 서비스 포트 입력 후 메인 서비스 포트 변경아이피(아이피(IP))주소가 일치합니다

[USG6000V1-GigabitEthernet0/0/0]서비스-모든 허가 관리//모든 서비스를 켜세요

모든 구성이 완료되면 구성을 위한 웹 페이지에 들어갈 수 있습니다.

나타나다g1/0/3인터페이스 구성:

같은 말을 할 수 있습니다g1/0/4위의 단계에 따라 인터페이스를 작동할 수도 있습니다.

할 것이다g1/0/1입은 다음과 같이 나누어진다.비무장지대(비무장지대(DMZ))영역;

그런 다음 그림과 같이 보안 영역에 사무실 네트워크 영역과 생산 네트워크 영역이라는 두 영역을 만듭니다.

그림에 표시된 대로 기본 인터페이스 아래에 두 개의 하위 인터페이스를 구성합니다.

생산 영역 하위 인터페이스에서도 마찬가지입니다.

위의 작업을 수행한 후 동일한 LAN이 데이터와 통신할 수 있는지 직접 확인하십시오.핑 이 명령은 가능한지 확인합니다.핑게이트웨이를 통해.

사무실 네트워크에도 동일하게 적용됩니다.

서버의 경우에도 마찬가지입니다.

그런 다음 서버를 만듭니다.HTTP서버 사무실 지역유급의정책이 없기 때문에 액세스를 수행할 수 없습니다.

사무실 영역 사용자에 대한 액세스를 구성하려면 정책 섹션을 입력하십시오.비무장지대(비무장지대(DMZ))영역 서버 정책:

생성 후에는 다음과 같습니다.

전략이 준비되면 액세스할 수 있습니다.HTTP섬기는 사람

밤에 했기 때문에 접속실패 사유가 정책시간 내에 없었습니다.

마찬가지로 생산지의 원리도 그림과 같습니다.

이 시점에서 첫 번째 요구 사항이 완료되었습니다.

프로덕션 영역의 사용자가 서버에 액세스할 수 있는 정책을 만듭니다.

인증 중:

다시 방문하세요3.10서버를 사용할 수 없다는 사실은 우리의 전략이 성공했음을 의미합니다.

그런 다음 다른 것을 추가하세요유급의논리적으로 말하면, 서버에 접근하는 것은 불가능해야 합니다.

현재 세 번째 요구 사항이 완료되었습니다.

그림과 같이 사무실 영역, 생산 영역, 방문객 영역을 순서대로 생성합니다.

그런 다음 사무실 영역 아래에 R&D 부서와 마케팅 부서라는 두 개의 부서를 만듭니다.

생산영역 아래 부서를 순차적으로 생성123그림과 같이:

그런 다음 그림과 같이 일괄적으로 사용자를 생성합니다.:

그림과 같이 모든 사용자 그룹 및 일괄 사용자를 생성합니다.

마지막으로 처음 로그인 시 비밀번호 변경 요구 사항을 선택하세요.

R&D 부서에서 시작하세요

그림에 표시된 대로 세 가지 인증 정책을 순서대로 만듭니다.

전략을 확인합니다.

액세스에 성공하면 정책이 올바른 것입니다.

그림과 같이 관리자 역할을 생성합니다.

그림과 같이 다른 관리자를 만듭니다.

마지막으로 로그아웃 계정이 성공적으로 생성되었는지 확인하고 로그인합니다.

관리자 옵션이 없으면 시스템은 이제 읽기만 가능하고 쓰기는 불가능하며 이는 실험이 완료되었음을 나타냅니다.