моя контактная информация
Почтамезофия@protonmail.com
2024-07-12
한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina
Экспериментальная топология межсетевого экрана показана на рисунке:
Экспериментальные требования:
1. Доступ к серверам в зоне DMZ возможен только в офисной зоне в рабочее время (9:00 – 18:00), а к оборудованию в производственной зоне можно обращаться в течение всего дня.
2. Доступ в Интернет не разрешен в производственных помещениях, но доступ в Интернет разрешен в офисных и туристических помещениях.
3. Офисному устройству 10.0.2.10 не разрешен доступ к FTP-серверу и HTTP-серверу в зоне DMz. Оно может пинговать только 10.0.3.10.
4. IP-адрес офисной зоны фиксирован, и для доступа к зоне Dmz используется анонимная аутентификация. Количество людей в туристической зоне не фиксировано, а доступ к зоне DMz и производственной зоне не разрешен. требуется при выходе в интернет, а выходить в интернет нужно через туристическую группу.
5. Когда производственная зона получает доступ к зоне OMZ, требуется аутентификация протокола и устанавливается структура организации пользователей производственной зоны. Она включает как минимум три отдела, трех пользователей для каждого отдела и единый пароль пользователя openlab123. Пароль необходимо изменить при первом входе в систему, а срок действия пользователя установлен на 10 дней.
6. Создайте собственного администратора, не имеющего функций управления системой.
Шаги по настройке брандмауэра:
Примечание. Перед этим мы должны убедиться, что базовые устройства могут взаимодействовать друг с другом, поэтому сначала мы должны разделить виртуальную локальную сеть на коммутаторе.
LSW2:
[Huawei]vlan пакет 2 3 //vlanразделение
[Huawei]int g 0/0/2
[Huawei-GigabitEthernet0/0/2]порт доступа типа link //Входитьг0/0/2Ручка для рта0/0/2Измените тип рта надоступтип
[Huawei-GigabitEthernet0/0/2]int g 0/0/3
[Huawei-GigabitEthernet0/0/3]prot доступ по каналу связи //Входитьг0/0/3Ручка для рта3рот становитсяДоступтип.
[Huawei-GigabitEthernet0/0/3]порт по умолчанию vlan 3///Пучок3Рот разделен наvlan3
[Huawei-GigabitEthernet0/0/3]int g 0/0/1
[Huawei-GigabitEthernet0/0/1]портовый соединительный тип//Входить0/1Ручка для рта0/1Измените рот настволтип.
[Huawei-GigabitEthernet0/0/1]порт транк разрешить проход vlan 2 3Этот канал позволяетvaln2иvlan3Трафик проходит.
[Huawei-GigabitEthernet0/0/1]отменить порт trunk allow-pass vlan 1//Пучокvlan1 В противном случае трафик удаляется2 3 Движение транспорта не может проходить по магистралям.
Настройка коммутаторавланДалее заходим в брандмауэр и продолжаемИСКонфигурация адреса:
FW4:
[USG6000V1-GigabitEthernet0/0/0]ip добавить 192.168.100.2 24//Введите основной сервисный порт и измените основной сервисный порт.ИСАдрес совпадает
[USG6000V1-GigabitEthernet0/0/0]service-manage all permission//Включите все службы
После завершения всей настройки вы можете войти на веб-страницу для настройки:
оказатьсяг1/0/3Конфигурация интерфейса:
То же самое можно сказатьг1/0/4Интерфейсом также можно управлять согласно описанным выше шагам;
Воляг1/0/1Рот разделен наДМЗобласть;
Затем создайте две области в зоне безопасности, а именно зону офисной сети и зону производственной сети, как показано на рисунке:
Настройте два дополнительных интерфейса под основным интерфейсом, как показано на рисунке:
То же самое справедливо и для субинтерфейса производственной области:
После выполнения вышеуказанных операций проверьте, может ли та же локальная сеть самостоятельно обмениваться данными.пинг Эта команда проверяет, может ли онапингчерез шлюз.
То же самое касается и офисной сети:
То же самое верно и для серверов;
Затем мы делаем серверHTTPСерверный офисоплаченныйДоступ невозможен из-за отсутствия политики.
Войдите в раздел политики, чтобы настроить доступ для пользователей офисной зоны.ДМЗПолитика сервера зоны:
После создания это будет выглядеть так:
Как только стратегия будет готова, вы сможете получить к ней доступHTTPСервер
Так как я это делал ночью, то причина отказа доступа была не в пределах срока политики.
Таким же образом принцип производственной зоны такой же, как показано на рисунке:
На этом этапе первое требование выполнено.
Создайте политику доступа пользователей производственной зоны к серверу:
аутентификация:
Приходите в гости еще раз3.10Тот факт, что сервер недоступен, означает, что наша стратегия успешна:
Затем добавьте еще одиноплаченныйЛогически говоря, доступ к серверу должен быть невозможен.
На данный момент третье требование выполнено.
Создайте офисную зону, производственную зону и зону для посетителей по порядку, как показано на рисунке:
Затем создайте в рамках офиса два отдела: отдел исследований и разработок и отдел маркетинга:
Последовательно создавайте отделы под производственным участком123как показано на картинке:
Затем создайте пользователей пакетно, как показано на рисунке.:
Создайте все группы пользователей и группируйте пользователей, как показано на рисунке:
Наконец, выберите требование смены пароля при первом входе в систему:
Начните с отдела исследований и разработок
Создайте последовательно три политики аутентификации, как показано на рисунке:
Проверьте стратегию:
Успешный доступ означает, что политика правильна.
Создайте роль администратора, как показано на рисунке:
Создайте еще одного администратора, как показано на рисунке:
Наконец, проверьте, успешно ли создана учетная запись для выхода, и войдите в систему:
Без опции администратора система теперь может только читать, но не писать, что указывает на то, что эксперимент завершен.