Обмен технологиями

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

1. Экспериментальная топология

2. Экспериментальные требования:

1. Доступ к серверам в зоне DMZ возможен только в офисной зоне в рабочее время (9:00-18:00), а к оборудованию в производственной зоне можно обращаться в течение всего дня.
2. Доступ в Интернет запрещен в производственных помещениях, но доступ в Интернет разрешен в офисных помещениях и для туристов.
3. Офисному устройству 10.0.2.10 не разрешен доступ к FTP-серверу и HTTP-серверу в зоне DMZ. Оно может пинговать только 10.0.3.10.
4. Офисная зона разделена на отдел маркетинга и отдел исследований и разработок. Отдел исследований и разработок имеет фиксированный IP-адрес и использует анонимную аутентификацию для доступа к зоне DMZ. Отдел маркетинга требует от пользователей привязки IP-адресов и доступа к зоне DMZ. не требует аутентификации;
Количество людей в зоне для посетителей не фиксировано, а доступ к демилитаризованной зоне и производственной зоне не разрешен. Пользователи-гости входят в систему единообразно, с паролем Admin@123. Посетители имеют право доступа только к порталу компании. и пользоваться Интернетом. Адрес портала — 10.0.3.10;
5. Когда производственная зона получает доступ к зоне DMZ, требуется протальная аутентификация и устанавливается структура организации пользователей производственной зоны, включающая как минимум три отдела, в каждом отделе есть три пользователя, а единый пароль пользователя — openlab123. необходимо изменить первый логин.
Измените пароль, установите срок действия пользователя на 10 дней и запретите использование пользователя несколькими людьми.
6. Создайте специального администратора, у которого не будет функций управления системой.

3. Идеи конфигурации

1. Сначала реализуйте «полную сетевую совместимость» (полная сетевая совместимость может быть достигнута, когда брандмауэр используется только в качестве маршрутизатора. Фактически, из-за брандмауэра для обеспечения связи необходимо написать соответствующие политики), настроить IP и уровень 2. конфигурация, например, на LSW1. Настройте vlan и установите подинтерфейсы устройства брандмауэра G1/0/1 в качестве подинтерфейсов шлюза vlan2 и vlan3 соответственно.

2. Настройте некоторые политики на межсетевом экране (включая политики безопасности и политики аутентификации) через веб-интерфейс. Сначала создайте интерфейсы и разделите области.

4. Экспериментальный процесс:

(1) Настройте IP-адрес каждого устройства (опущено) и настройте виртуальную локальную сеть устройства второго уровня:

ЛСВ1:

[LSW1]inter g0/0/2
[LSW1-GigabitEthernet0/0/2]port link-type access 
[LSW1-GigabitEthernet0/0/2]port default vlan 2
[LSW1]inter g0/0/3
[LSW1-GigabitEthernet0/0/3]port link-type access 
[LSW1-GigabitEthernet0/0/3]port default vlan 3
[LSW1]inter g0/0/1
[LSW1-GigabitEthernet0/0/1]port link-type trunk 
[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3

FW2:
Интерфейс G0/0/0 настроен с использованием IP-адреса. IP-адрес от облака к локальному компьютеру, доступ к которому осуществляется через ENSP, — 192.168.100.2, поэтому брандмауэр настроен с использованием 192.168.100.1.

Интерфейс G1/0/0:

G1/0/1 создает субинтерфейс и зону безопасности (на примере офисной зоны также необходимо создать субинтерфейс в производственной зоне)

Зона безопасности Выберите только что созданный здесь субинтерфейс, чтобы разделить сегмент сети под ним на эту зону безопасности.

Субинтерфейс производственной зоны (уже созданная конфигурация):

G1/0/4(туристическая зона)

G1/0/2(Интернет):

G1/0/3 (резервное копирование через Интернет):

(2) Политика безопасности:
1. Доступ к серверам в зоне DMZ возможен только в офисной зоне в рабочее время (9:00-18:00), а к оборудованию в производственной зоне можно обращаться в течение всего дня.

2. Доступ в Интернет запрещен в производственных помещениях, но доступ в Интернет разрешен в офисных помещениях и для туристов.

Производственное помещение недоступно

В офисах и зонах для посетителей есть доступ к:

3. Офисному устройству 10.0.2.10 не разрешен доступ к FTP-серверу и HTTP-серверу в зоне DMZ. Оно может пинговать только 10.0.3.10.

тест:

4. Офисная зона разделена на отдел маркетинга и отдел исследований и разработок. Отдел исследований и разработок имеет фиксированный IP-адрес и использует анонимную аутентификацию для доступа к зоне DMZ. Отдел маркетинга требует от пользователей привязки IP-адресов и доступа к зоне DMZ. не требует аутентификации;
Количество людей в зоне для посетителей не фиксировано, а доступ к демилитаризованной зоне и производственной зоне не разрешен. Пользователи-гости входят в систему единообразно, с паролем Admin@123. Посетители имеют право доступа только к порталу компании. и пользоваться Интернетом. Адрес портала — 10.0.3.10;

Стратегия сертификации отдела исследований и разработок: сертификация бесплатная

Стратегия аутентификации отдела маркетинга: анонимная аутентификация

Гостевой доступ к DMZ10.0.3.10 (доступ посетителей к DZM и производственным помещениям по умолчанию запрещен):

5. Когда производственная зона получает доступ к зоне DMZ, требуется протальная аутентификация и устанавливается структура организации пользователей производственной зоны. Она включает как минимум три отдела, в каждом отделе есть три пользователя, а единый пароль пользователя — openlab@. 123. Необходимо изменить первый логин.
Измените пароль, установите срок действия пользователя на 10 дней и запретите использование пользователя несколькими людьми.

6. Создайте специального администратора, у которого не будет функций управления системой.