Compartir tecnología

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

1. Topología experimental

2. Requisitos experimentales:

1. Solo se puede acceder a los servidores en el área DMZ en el área de oficina durante el horario de oficina (9:00 a 18:00), y se puede acceder a los equipos en el área de producción durante todo el día.
2. No se permite el acceso a Internet en el área de producción, pero sí en el área de oficinas y turistas.
3. El dispositivo del área de oficina 10.0.2.10 no puede acceder al servidor FTP ni al servidor HTTP en el área DMZ. Solo puede hacer ping a 10.0.3.10.
4. El área de la oficina se divide en el departamento de marketing y el departamento de I+D. El departamento de I+D tiene una dirección IP fija y utiliza autenticación anónima para acceder al área DMZ. El departamento de marketing requiere que los usuarios vinculen direcciones IP y accedan al área DMZ. no requiere autenticación;
El número de personas en el área de visitantes no es fijo y no se permite el acceso al área DMZ y al área de producción. Los usuarios invitados inician sesión de manera uniforme, con la contraseña Admin@123. y navegar por Internet La dirección del portal es 10.0.3.10;
5. Cuando el área de producción accede al área DMZ, se requiere autenticación protal y se configura la estructura de organización de usuarios del área de producción, que incluye al menos tres departamentos, cada departamento tiene tres usuarios y la contraseña unificada del usuario es openlab123. Es necesario modificar el primer inicio de sesión.
Cambie la contraseña, establezca el tiempo de vencimiento del usuario en 10 días y no se permitirá que varias personas utilicen el usuario.
6. Cree un administrador personalizado que no pueda tener funciones de administración del sistema.

3. Ideas de configuración

1. Primero implemente la "interoperabilidad total de la red" (la interoperabilidad total de la red se puede lograr cuando el firewall solo se usa como enrutador. De hecho, debido al firewall, se deben escribir las políticas correspondientes para lograr la comunicación), configurar IP y la capa 2 configuración como en LSW1 Configure vlan y configure las subinterfaces del dispositivo firewall G1/0/1 como las subinterfaces de puerta de enlace de vlan2 y vlan3 respectivamente.

2. Configure algunas políticas en el firewall (incluidas las políticas de seguridad y las políticas de autenticación) a través de la interfaz web. Primero, cree interfaces y divida áreas.

4. Proceso experimental:

(1) Configure la dirección IP de cada dispositivo (omitido) y configure la VLAN del dispositivo de segunda capa:

Número de serie 1:

[LSW1]inter g0/0/2
[LSW1-GigabitEthernet0/0/2]port link-type access 
[LSW1-GigabitEthernet0/0/2]port default vlan 2
[LSW1]inter g0/0/3
[LSW1-GigabitEthernet0/0/3]port link-type access 
[LSW1-GigabitEthernet0/0/3]port default vlan 3
[LSW1]inter g0/0/1
[LSW1-GigabitEthernet0/0/1]port link-type trunk 
[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3

FW2:
La interfaz G0/0/0 está configurada con una dirección IP. La dirección IP desde la nube a la máquina local a la que se accede a través de ENSP es 192.168.100.2, por lo que el firewall está configurado con 192.168.100.1.

Interfaz G1/0/0:

G1/0/1 crea una subinterfaz y un área de seguridad (tomando como ejemplo el área de oficinas, también se debe crear una subinterfaz en el área de producción)

Zona de seguridad. Seleccione la subinterfaz que acaba de crear aquí para dividir el segmento de red debajo de ella en esta zona de seguridad.

Subinterfaz del área de producción (configuración ya creada):

G1/0/4(zona turística)

G1/0/2(Internet):

G1/0/3 (copia de seguridad de Internet):

(2) Política de seguridad:
1. Solo se puede acceder a los servidores en el área DMZ en el área de oficina durante el horario de oficina (9:00 a 18:00), y se puede acceder a los equipos en el área de producción durante todo el día.

2. No se permite el acceso a Internet en el área de producción, pero sí en el área de oficinas y turistas.

El área de producción no es accesible.

Las áreas de oficinas y visitantes tienen acceso a:

3. El dispositivo del área de oficina 10.0.2.10 no puede acceder al servidor FTP ni al servidor HTTP en el área DMZ. Solo puede hacer ping a 10.0.3.10.

prueba:

4. El área de la oficina se divide en el departamento de marketing y el departamento de I+D. El departamento de I+D tiene una dirección IP fija y utiliza autenticación anónima para acceder al área DMZ. El departamento de marketing requiere que los usuarios vinculen direcciones IP y accedan al área DMZ. no requiere autenticación;
El número de personas en el área de visitantes no es fijo y no se permite el acceso al área DMZ y al área de producción. Los usuarios invitados inician sesión de manera uniforme, con la contraseña Admin@123. y navegar por Internet La dirección del portal es 10.0.3.10;

Estrategia de certificación del departamento de I+D: certificación gratuita

Estrategia de autenticación del departamento de marketing: autenticación anónima

Acceso de invitados a DMZ10.0.3.10 (el acceso de visitantes a DZM y a las áreas de producción está denegado de forma predeterminada):

5. Cuando el área de producción accede al área DMZ, se requiere autenticación protal y se configura la estructura de organización de usuarios del área de producción. Incluye al menos tres departamentos, cada departamento tiene tres usuarios y la contraseña unificada del usuario es openlab@. 123. Es necesario modificar el primer inicio de sesión.
Cambie la contraseña, establezca el tiempo de vencimiento del usuario en 10 días y no se permitirá que varias personas utilicen el usuario.

6. Cree un administrador personalizado que no pueda tener funciones de administración del sistema.