Compartilhamento de tecnologia

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

A topologia experimental do firewall é mostrada na figura:

Requisitos experimentais:

1. Os servidores da área DMZ só podem ser acedidos na área de escritório durante o horário de expediente (9h00 - 18h00), e os equipamentos da área de produção podem ser acedidos durante todo o dia.

2. Não é permitido o acesso à Internet na área de produção, mas é permitido o acesso à Internet na área de escritórios e na zona turística.

3. O dispositivo da área de escritório 10.0.2.10 não tem permissão para acessar o servidor FTP e o servidor HTTP na área DMz. Ele só pode executar ping em 10.0.3.10.

4. O endereço IP da área de escritório é fixo e a autenticação anônima é usada para acessar a área Dmz. O número de pessoas na área turística não é fixo e o acesso à área DMz e à área de produção não é permitido. é necessário para acessar a Internet, e você precisa estar online através do grupo de turistas.

5. Quando a área de produção acessa a área omz, é necessária a autenticação do protocolo e a estrutura organizacional do usuário da área de produção é configurada. Inclui pelo menos três departamentos, três usuários para cada departamento e uma senha de usuário unificada de openlab123. A senha precisa ser alterada ao fazer login pela primeira vez e o tempo de expiração do usuário é definido para 10 dias.

6. Crie um administrador personalizado que não possua funções de gerenciamento de sistema.

Etapas para configurar o firewall:

1. Endereço IP da interface, divisão de área
2. Escreva a rota do relatório para a intranet
3. estratégia de segurança
4. NAT de dentro para fora
5. Mapeamento de servidor

Nota: Antes disso, devemos garantir que os dispositivos subjacentes possam se comunicar entre si, portanto, devemos primeiro dividir a vlan no switch.

LSW2：

[Huawei]vlan lote 2 3 //vlandivisão

[Huawei]int g 0/0/2

[Huawei-GigabitEthernet0/0/2]acesso do tipo link de porta //Digitarg0/0/2Alça de boca0/0/2Mude o tipo de boca paraacessotipo

[Huawei-GigabitEthernet0/0/2]int g 0/0/3

[Huawei-GigabitEthernet0/0/3]acesso do tipo link prot//Digitarg0/0/3Alça de boca3boca se tornaAcessotipo.

[Huawei-GigabitEthernet0/0/3]porta padrão vlan 3///Pacote3A boca é dividida emvlan3

[Huawei-GigabitEthernet0/0/3]int g 0/0/1

[Huawei-GigabitEthernet0/0/1]porta tipo link tronco//Digitar0/1Alça de boca0/1Mude a boca paraporta-malastipo.

[Huawei-GigabitEthernet0/0/1]porta tronco permitir-passar vlan 2 3Este canal permitevaln2evlan3O trânsito passa.

[Huawei-GigabitEthernet0/0/1]desfazer porta tronco permitir-passar vlan 1//Pacotevlan1 O tráfego é excluído caso contrário2 3 O tráfego não pode passar pelas vias arteriais.

Configurar o comutadorVLAN-V ...Em seguida, vá para o firewall e prossigaPropriedade IntelectualConfiguração de endereço:

FW4:

[USG6000V1-GigabitEthernet0/0/0]ip adicionar 192.168.100.2 24//Insira a porta de serviço principal e altere a porta de serviço principalPropriedade IntelectualO endereço corresponde

[USG6000V1-GigabitEthernet0/0/0]serviço-gerenciar todas as permissões//Ative todos os serviços

Depois que toda a configuração for concluída, você pode entrar na página da web para configuração:

virar para cimag1/0/3Configuração de interface:

O mesmo pode ser ditog1/0/4A interface também pode ser operada de acordo com as etapas acima;

Vaig1/0/1A boca é dividida emZona Desmilitarizadaárea;

Em seguida, crie duas áreas na área de segurança, nomeadamente a área de rede de escritório e a área de rede de produção, conforme mostra a figura:

Configure duas subinterfaces na interface principal conforme mostrado na figura:

O mesmo se aplica à subinterface da área de produção:

Depois de realizar as operações acima, verifique se a mesma LAN consegue se comunicar com os dados por conta própria.ping Este comando verifica se podepingatravés do portal.

O mesmo se aplica à rede de escritórios:

O mesmo se aplica aos servidores;

Então tornamos o servidor umHTTPÁrea de escritório do servidorpagoO acesso não pode ser realizado porque não há política.

Entre na seção de política para configurar o acesso para usuários da área do escritório.Zona DesmilitarizadaPolítica do servidor de zona:

Após a criação, ficará assim:

Quando a estratégia estiver pronta, você poderá acessá-laHTTPServidor

Como fiz isso à noite, o motivo da falha no acesso não estava dentro do horário da política.

Da mesma forma, o princípio da área de produção é o mesmo mostrado na figura:

Neste ponto, o primeiro requisito foi concluído.

Crie uma política para usuários da área de produção acessarem o servidor:

autenticando:

Venha visitar novamente3.10O fato do servidor estar indisponível significa que nossa estratégia foi bem-sucedida:

Depois adicione outropagoLogicamente falando, deveria ser impossível acessar o servidor.

Neste momento, o terceiro requisito foi concluído

Crie a área de escritório, área de produção e área de visitantes em ordem, conforme mostrado na figura:

Em seguida, crie dois departamentos, departamento de P&D e departamento de marketing, na área do escritório:

Crie departamentos em sequência sob a área de produção123como mostra a imagem:

Em seguida, crie usuários em lotes conforme mostrado na figura:

Crie todos os grupos de usuários e usuários em lote conforme mostrado na figura:

Por fim, selecione o requisito para alterar a senha ao fazer login pela primeira vez:

Comece pelo departamento de P&D

Crie três políticas de autenticação em sequência, conforme mostrado na figura:

Verifique a estratégia:

O acesso bem-sucedido indica que a política está correta

Crie uma função de administrador conforme mostrado na figura:

Crie outro administrador conforme mostrado na figura:

Por fim, verifique se a conta de logout foi criada com sucesso e faça login:

Sem a opção de administrador, o sistema agora só pode ler, mas não escrever, indicando que o experimento foi concluído.