Обмен технологиями

Эксперимент с брандмауэром

2024-07-12

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Экспериментальная топология межсетевого экрана показана на рисунке:

Экспериментальные требования:

1. Доступ к серверам в зоне DMZ возможен только в офисной зоне в рабочее время (9:00 – 18:00), а к оборудованию в производственной зоне можно обращаться в течение всего дня.

2. Доступ в Интернет не разрешен в производственных помещениях, но доступ в Интернет разрешен в офисных и туристических помещениях.

3. Офисному устройству 10.0.2.10 не разрешен доступ к FTP-серверу и HTTP-серверу в зоне DMz. Оно может пинговать только 10.0.3.10.

4. IP-адрес офисной зоны фиксирован, и для доступа к зоне Dmz используется анонимная аутентификация. Количество людей в туристической зоне не фиксировано, а доступ к зоне DMz и производственной зоне не разрешен. требуется при выходе в интернет, а выходить в интернет нужно через туристическую группу.

5. Когда производственная зона получает доступ к зоне OMZ, требуется аутентификация протокола и устанавливается структура организации пользователей производственной зоны. Она включает как минимум три отдела, трех пользователей для каждого отдела и единый пароль пользователя openlab123. Пароль необходимо изменить при первом входе в систему, а срок действия пользователя установлен на 10 дней.

6. Создайте собственного администратора, не имеющего функций управления системой.

Шаги по настройке брандмауэра:

  1. IP-адрес интерфейса, разделение области
  2. Напишите маршрут отчета для интрасети.
  3. стратегия безопасности
  4. NAT изнутри наружу
  5. Сопоставление серверов

Примечание. Перед этим мы должны убедиться, что базовые устройства могут взаимодействовать друг с другом, поэтому сначала мы должны разделить виртуальную локальную сеть на коммутаторе.

LSW2:

[Huawei]vlan пакет 2 3 //vlanразделение

[Huawei]int g 0/0/2

[Huawei-GigabitEthernet0/0/2]порт доступа типа link //Входитьг0/0/2Ручка для рта0/0/2Измените тип рта надоступтип

[Huawei-GigabitEthernet0/0/2]int g 0/0/3

[Huawei-GigabitEthernet0/0/3]prot доступ по каналу связи //Входитьг0/0/3Ручка для рта3рот становитсяДоступтип.

[Huawei-GigabitEthernet0/0/3]порт по умолчанию vlan 3///Пучок3Рот разделен наvlan3

[Huawei-GigabitEthernet0/0/3]int g 0/0/1

[Huawei-GigabitEthernet0/0/1]портовый соединительный тип//Входить0/1Ручка для рта0/1Измените рот настволтип.

[Huawei-GigabitEthernet0/0/1]порт транк разрешить проход vlan 2 3Этот канал позволяетvaln2иvlan3Трафик проходит.

[Huawei-GigabitEthernet0/0/1]отменить порт trunk allow-pass vlan 1//Пучокvlan1 В противном случае трафик удаляется2 3 Движение транспорта не может проходить по магистралям.

Настройка коммутаторавланДалее заходим в брандмауэр и продолжаемИСКонфигурация адреса:

FW4:

[USG6000V1-GigabitEthernet0/0/0]ip добавить 192.168.100.2 24//Введите основной сервисный порт и измените основной сервисный порт.ИСАдрес совпадает

[USG6000V1-GigabitEthernet0/0/0]service-manage all permission//Включите все службы

После завершения всей настройки вы можете войти на веб-страницу для настройки:

оказатьсяг1/0/3Конфигурация интерфейса:

То же самое можно сказатьг1/0/4Интерфейсом также можно управлять согласно описанным выше шагам;

Воляг1/0/1Рот разделен наДМЗобласть;

Затем создайте две области в зоне безопасности, а именно зону офисной сети и зону производственной сети, как показано на рисунке:

Настройте два дополнительных интерфейса под основным интерфейсом, как показано на рисунке:

То же самое справедливо и для субинтерфейса производственной области:

После выполнения вышеуказанных операций проверьте, может ли та же локальная сеть самостоятельно обмениваться данными.пинг Эта команда проверяет, может ли онапингчерез шлюз.

То же самое касается и офисной сети:

То же самое верно и для серверов;

Затем мы делаем серверHTTPСерверный офисоплаченныйДоступ невозможен из-за отсутствия политики.

Войдите в раздел политики, чтобы настроить доступ для пользователей офисной зоны.ДМЗПолитика сервера зоны:

После создания это будет выглядеть так:

Как только стратегия будет готова, вы сможете получить к ней доступHTTPСервер

Так как я это делал ночью, то причина отказа доступа была не в пределах срока политики.

Таким же образом принцип производственной зоны такой же, как показано на рисунке:

На этом этапе первое требование выполнено.

Создайте политику доступа пользователей производственной зоны к серверу:

аутентификация:

Приходите в гости еще раз3.10Тот факт, что сервер недоступен, означает, что наша стратегия успешна:

Затем добавьте еще одиноплаченныйЛогически говоря, доступ к серверу должен быть невозможен.

На данный момент третье требование выполнено.

Создайте офисную зону, производственную зону и зону для посетителей по порядку, как показано на рисунке:

Затем создайте в рамках офиса два отдела: отдел исследований и разработок и отдел маркетинга:

Последовательно создавайте отделы под производственным участком123как показано на картинке:

Затем создайте пользователей пакетно, как показано на рисунке.:

Создайте все группы пользователей и группируйте пользователей, как показано на рисунке:

Наконец, выберите требование смены пароля при первом входе в систему:

Начните с отдела исследований и разработок

Создайте последовательно три политики аутентификации, как показано на рисунке:

Проверьте стратегию:

Успешный доступ означает, что политика правильна.

Создайте роль администратора, как показано на рисунке:

Создайте еще одного администратора, как показано на рисунке:

Наконец, проверьте, успешно ли создана учетная запись для выхода, и войдите в систему:

Без опции администратора система теперь может только читать, но не писать, что указывает на то, что эксперимент завершен.