題目
1,DMZ區內的服務器,辦公區僅能在辦公時間內(9:00-18:00)可以訪問,生產區的設備全天可以訪問.
2,生產區不允許訪問互聯網,辦公區和游客區允許訪問互聯網
3,辦公區設備10.0.2.10不允許訪問DMz區的FTP服務器和HTTP服務器,僅能ping通10.0.3.10
4,辦公區分為市場部和研發部,研發部IP地址固定,訪問DMz區使用匿名認證,研發部需要用戶綁定IP地址,訪問DMz區使用免認證;
游客區人員不固定,不允許訪問DMz區和生產區,統一使用Guest用戶登錄,密碼Admin@123
5,生產區訪問DMZ區時,需要進行protal認證,設立生產區用戶組織架構,至少包含三個部門,每個部門三個用戶,用戶統一密碼openlab123,首次
登錄需要修改密碼,用戶過期時間設定為10天,用戶不允許多人使用
6,創建一個自定義管理員,要求不能擁有系統管理的功能
?
實驗步驟:
一.在LSW7劃分vlan,設置生產區為vlan2,辦公區為vlan3
[Huawei]vlan batch 2 3
[Huawei]int g0/0/2
[Huawei-GigabitEthernet0/0/2]p l a
[Huawei-GigabitEthernet0/0/2]p d v 3
[Huawei-GigabitEthernet0/0/2]int g0/0/3
[Huawei-GigabitEthernet0/0/3]p l a
[Huawei-GigabitEthernet0/0/3]p d v 2進入0/1接口設置trunk接口,設置關閉vlan1
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]p l t
[Huawei-GigabitEthernet0/0/1]p t a v 2 3
[Huawei-GigabitEthernet0/0/1]undo p t a v 1二.進入防火墻FW1中修改密碼,進入華為USG6000V1頁面
?
設置好后即可在網頁中設置接口
?三.進入g1/0/1和g1/0/2接口中設置移動和電信的分配
1.g1/0/1為電信
?2.g1/0/2為移動
四.進入DMZ區域設置
在g1/0/0設置
五.給生產區和辦公區設置安全區域
六.配置子接口
?
?
七.設置生產區和辦公區的使用時間限制
?主要設置
?
八.更改時間段,選擇新建時間段
?設置總結
當處在非時間段內時,會變成灰色,策略處于無效狀態
可以在系統的時鐘配置下手動修改?
修改其中若是地址錯誤,同意在對象中修改
?檢查是否可以互通
九.生產區不可以訪問訪問互聯網,辦公和生產可以
[USG6000V1]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip add 12.0.0.2 24進入公網ip配置地址
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 12.0.0.1 24防火墻將公網接口配置為UNtrust區域(勾選ping服務方便測試)
十.用戶認證
1.portal認證
進入策略前,先設置我們的生產組,訪客組,辦公組
三個組別同樣操作,但注意。訪問組用戶屬性設置為不綁定
辦公組(IP固定采用單向綁定):過期時間10天后
過期時間幾天后
生產組同樣操作
生產組去DMZ區域要portal認證
并在認證配置處勾選初登錄改密碼
現在配置安全策略使得用戶組分開管理
辦公和訪客
生產
我們在辦公組的基礎上再細分為兩個用戶
再次添加策略
對訪問組進行安全策略設置,對DMZ2和生產區都是
十一.自定義管理員但不擁有系統管理
)
)
)
