Compartilhamento de tecnologia

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

1. Topologia experimental

2. Requisitos experimentais:

1. Os servidores da área DMZ só podem ser acedidos na área de escritório durante o horário de expediente (9h00-18h00), e os equipamentos da área de produção podem ser acedidos durante todo o dia.
2. O acesso à Internet não é permitido na área de produção, mas o acesso à Internet é permitido na área de escritórios e turistas
3. O dispositivo da área de escritório 10.0.2.10 não tem permissão para acessar o servidor FTP e o servidor HTTP na área DMZ. Ele só pode executar ping em 10.0.3.10.
4. A área do escritório é dividida em departamento de marketing e departamento de P&D. O departamento de P&D possui um endereço IP fixo e usa autenticação anônima para acessar a área DMZ. não requer autenticação;
O número de pessoas na área de visitantes não é fixo e o acesso à área DMZ e à área de produção não é permitido. Os usuários convidados podem fazer login de maneira uniforme, com a senha Admin@123. e navegar na Internet. O endereço do portal é 10.0.3.10;
5. Quando a área de produção acessa a área DMZ, é necessária autenticação protal e é configurada a estrutura organizacional do usuário da área de produção, incluindo pelo menos três departamentos, cada departamento possui três usuários, e a senha unificada do usuário é openlab123. o primeiro login precisa ser modificado.
Altere a senha, defina o prazo de validade do usuário para 10 dias e o usuário não poderá ser usado por várias pessoas.
6. Crie um administrador personalizado que não possa ter funções de gerenciamento de sistema.

3. Ideias de configuração

1. Primeiro, implemente a "interoperabilidade total da rede" (a interoperabilidade total da rede pode ser alcançada quando o firewall é usado apenas como roteador. Na verdade, devido ao firewall, as políticas correspondentes devem ser escritas para alcançar a comunicação), configurar o IP e a camada 2 configuração como em LSW1 Configure vlan e defina as subinterfaces do dispositivo de firewall G1/0/1 como as subinterfaces de gateway de vlan2 e vlan3 respectivamente.

2. Configure algumas políticas no firewall (incluindo políticas de segurança e políticas de autenticação) através da interface web. Primeiro, crie interfaces e divida áreas.

4. Processo experimental:

(1) Configure o endereço IP de cada dispositivo (omitido) e configure a vlan do dispositivo de segunda camada:

LSW1:

[LSW1]inter g0/0/2
[LSW1-GigabitEthernet0/0/2]port link-type access 
[LSW1-GigabitEthernet0/0/2]port default vlan 2
[LSW1]inter g0/0/3
[LSW1-GigabitEthernet0/0/3]port link-type access 
[LSW1-GigabitEthernet0/0/3]port default vlan 3
[LSW1]inter g0/0/1
[LSW1-GigabitEthernet0/0/1]port link-type trunk 
[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3

FW2:
A interface G0/0/0 é configurada com um endereço IP. O endereço IP da nuvem para a máquina local acessada através do ENSP é 192.168.100.2, portanto o firewall está configurado com 192.168.100.1.

Interface G1/0/0:

G1/0/1 cria uma subinterface e uma área de segurança (tomando como exemplo a área de escritório, também deve ser criada uma subinterface na área de produção)

Zona de segurança. Selecione a subinterface recém-criada aqui para dividir o segmento de rede abaixo dela nesta zona de segurança.

Subinterface da área de produção (configuração já criada):

G1/0/4(área turística)

G1/0/2(Internet):

G1/0/3 (backup de Internet):

(2) Política de segurança:
1. Os servidores da área DMZ só podem ser acedidos na área de escritório durante o horário de expediente (9h00-18h00), e os equipamentos da área de produção podem ser acedidos durante todo o dia.

2. O acesso à Internet não é permitido na área de produção, mas o acesso à Internet é permitido na área de escritórios e turistas

A área de produção não está acessível

As áreas de escritório e visitantes têm acesso a:

3. O dispositivo da área de escritório 10.0.2.10 não tem permissão para acessar o servidor FTP e o servidor HTTP na área DMZ. Ele só pode executar ping em 10.0.3.10.

teste:

4. A área do escritório é dividida em departamento de marketing e departamento de P&D. O departamento de P&D possui um endereço IP fixo e usa autenticação anônima para acessar a área DMZ. não requer autenticação;
O número de pessoas na área de visitantes não é fixo e o acesso à área DMZ e à área de produção não é permitido. Os usuários convidados podem fazer login de maneira uniforme, com a senha Admin@123. e navegar na Internet. O endereço do portal é 10.0.3.10;

Estratégia de Certificação do Departamento de P&D: Certificação Gratuita

Estratégia de autenticação do departamento de marketing: autenticação anônima

Acesso de convidados ao DMZ10.0.3.10 (o acesso de visitantes ao DZM e às áreas de produção é negado por padrão):

5. Quando a área de produção acessa a área DMZ, é necessária autenticação protal e é configurada a estrutura organizacional do usuário da área de produção. Inclui pelo menos três departamentos, cada departamento tem três usuários e a senha unificada do usuário é openlab@. 123. O primeiro login precisa ser modificado.
Altere a senha, defina o prazo de validade do usuário para 10 dias e o usuário não poderá ser usado por várias pessoas.

6. Crie um administrador personalizado que não possa ter funções de gerenciamento de sistema.