Mi informacion de contacto
Correo[email protected]
2024-07-12
한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina
La topología experimental del firewall se muestra en la figura:
Requisitos experimentales:
1. Solo se puede acceder a los servidores en el área DMZ en el área de oficina durante el horario de oficina (9:00 - 18:00), y se puede acceder a los equipos en el área de producción durante todo el día.
2. No se permite el acceso a Internet en el área de producción, pero sí en el área de oficinas y área turística.
3. El dispositivo del área de oficina 10.0.2.10 no puede acceder al servidor FTP ni al servidor HTTP en el área DMz. Solo puede hacer ping a 10.0.3.10.
4. La dirección IP del área de oficinas es fija y se utiliza autenticación anónima para acceder al área Dmz. El número de personas en el área turística no es fijo y no se permite el acceso al área DMz y al área de producción. Se requiere al acceder a Internet, y debe conectarse a través del grupo turístico.
5. Cuando el área de producción accede al área omz, se requiere autenticación de protocolo y se configura la estructura de organización de usuarios del área de producción que incluye al menos tres departamentos, tres usuarios para cada departamento y la contraseña unificada del usuario es openlab123. La contraseña debe cambiarse al iniciar sesión por primera vez y el tiempo de caducidad del usuario está establecido en 10 días.
6. Cree un administrador personalizado que no tenga funciones de administración del sistema.
Pasos para configurar el firewall:
Nota: Antes de esto, debemos asegurarnos de que los dispositivos subyacentes puedan comunicarse entre sí, por lo que primero debemos dividir la VLAN en el conmutador.
LSW2:
[Huawei]vlan lote 2 3 //vlandivisión
[Huawei]int g 0/0/2
[Huawei-GigabitEthernet0/0/2]Acceso de tipo de enlace de puerto //Ingresarg0/0/2Mango bucal0/0/2Cambiar el tipo de boca aaccesotipo
[Huawei-GigabitEthernet0/0/2]int g 0/0/3
[Huawei-GigabitEthernet0/0/3]Acceso de tipo de enlace de protección //Ingresarg0/0/3Mango bucal3la boca se vuelveAccesotipo.
[Huawei-GigabitEthernet0/0/3] puerto vlan predeterminado 3///Manojo3La boca se divide envlan3
[Huawei-GigabitEthernet0/0/3]int g 0/0/1
[Huawei-GigabitEthernet0/0/1]puerto de enlace tipo troncal//Ingresar0/1Mango bucal0/1Cambiar la boca atrompatipo.
[Huawei-GigabitEthernet0/0/1] Puerto troncal Permitir-Pasar VLAN 2 3Este canal permitevaln2yvlan3Pasa el tráfico.
[Huawei-GigabitEthernet0/0/1]Deshacer permiso de puerto troncal-pass vlan 1//Manojovlan1 De lo contrario, el tráfico se elimina.2 3 El tráfico no puede circular por vías arteriales.
Configurar el interruptorVLANLuego, vaya al firewall y continúePropiedad intelectualConfiguración de dirección:
FW4:
[USG6000V1-GigabitEthernet0/0/0]dirección IP agregada 192.168.100.2 24//Ingrese al puerto de servicio principal y cambie el puerto de servicio principalPropiedad intelectualLa dirección coincide
[USG6000V1-GigabitEthernet0/0/0]servicio-administrar todos los permisos//Activar todos los servicios
Una vez completada toda la configuración, puede ingresar a la página web para la configuración:
aparecerg1/0/3Configuración de interfaz:
Lo mismo se puede decirsol 1/0/4La interfaz también se puede operar según los pasos anteriores;
Voluntadg1/0/1La boca se divide enZona desmilitarizadaárea;
Luego cree dos áreas en el área de seguridad, a saber, el área de la red de oficinas y el área de la red de producción, como se muestra en la figura:
Configure dos subinterfaces debajo de la interfaz principal como se muestra en la figura:
Lo mismo ocurre con la subinterfaz del área de producción:
Después de realizar las operaciones anteriores, verifique si la misma LAN puede comunicarse con los datos usted mismo.silbido Este comando comprueba si puedesilbidoa través de la puerta de enlace.
Lo mismo se aplica a la red de oficinas:
Lo mismo ocurre con los servidores;
Luego hacemos del servidor unHTTPÁrea de oficina de servidorespagadoNo se puede realizar el acceso porque no existe una política.
Ingrese a la sección de políticas para configurar el acceso de los usuarios del área de oficina.Zona desmilitarizadaPolítica del servidor de zona:
Después de la creación, se verá así:
Una vez que la estrategia esté lista, podrás acceder a ella.HTTPServidor
Como lo hice en la noche, el motivo del error de acceso no estuvo dentro del horario de la política.
De la misma forma, el principio del área de producción es el mismo que se muestra en la figura:
En este punto, se ha cumplido el primer requisito.
Cree una política para que los usuarios del área de producción accedan al servidor:
autenticando:
Ven a visitarnos de nuevo3.10El hecho de que el servidor no esté disponible significa que nuestra estrategia tiene éxito:
Luego agrega otropagadoLógicamente hablando, debería ser imposible acceder al servidor.
En este momento, el tercer requisito se ha completado.
Cree el área de oficina, el área de producción y el área de visitantes en orden, como se muestra en la figura:
Luego cree dos departamentos, el departamento de I+D y el departamento de marketing, bajo el área de oficina:
Crear departamentos en secuencia bajo el área de producción.123como muestra la imagen:
Luego cree usuarios en lotes como se muestra en la figura.:
Cree todos los grupos de usuarios y usuarios por lotes como se muestra en la figura:
Finalmente, seleccione el requisito de cambiar la contraseña al iniciar sesión por primera vez:
Empezar desde el departamento de I+D
Cree tres políticas de autenticación en secuencia como se muestra en la figura:
Verificar la estrategia:
El acceso exitoso indica que la política es correcta
Cree una función de administrador como se muestra en la figura:
Cree otro administrador como se muestra en la figura:
Finalmente, verifique si la cuenta de cierre de sesión se creó correctamente e inicie sesión:
Sin la opción de administrador, el sistema ahora sólo puede leer pero no escribir, lo que indica que el experimento se completó.
Se ha dedicado a la investigación de tecnología durante más de 30 años y domina varios lenguajes como java, linux, javascript, php, css, etc. Ha realizado muchas contribuciones en el campo del código abierto. Estación de documentación para desarrolladores para compartir algunos problemas en el desarrollo de tecnología para referencia futura.
Correo[email protected]