防火墻綜合實驗1

實驗拓撲圖：

在這里插入圖片描述

實驗需求：

1、DMZ區內的服務器，辦公區僅能在辦公時間內(9:00-18:00)可以訪問，生產區的設備全天可以訪問。
2、生產區不允許訪問互聯網，辦公區和游客區允許訪問互聯網。
3、辦公區設備10.0.2.10不允許訪問DMZ區的FTP服務器和HTTP服務器，僅能ping通10.0.3.10。
4、辦公區分為市場部和研發部，研發部IP地址固定，訪問DMZ區使用匿名認證，市場部需要用戶綁定IP地址，訪問DMZ區使用免認證；
游客區人員不固定，不允許訪問DMZ區和生產區，統一使用Guest用戶登錄，密碼為：Admin@123，游客僅有訪問公司門戶網站和上網的權限，門戶網站地址為：10.0.3.10.
5、生產區訪問DMZ區時需要進行Protal認證，設立生產區用戶組織框架：至少三個部門，每個部門三個用戶，用戶統一密碼：openlab@123，首次登陸需要修改密碼，用戶過期時間設置為10天，用戶不允許多人使用。
6、創建一個自定義管理員，要求不能擁有系統管理的功能。

實驗配置

web登錄防火墻頁面：

cloud配置：
在這里插入圖片描述
注：端口映射設置勾選雙向通道，修改一下出入段編號添加即可。

添加網卡信息時IP地址和防火墻管理地址需在同一個網段。

初始化防火墻：

Username:admin      //防火墻初始用戶名
Password:                //防火墻初始密碼為：Admin@123
The password needs to be changed. Change now? [Y/N]: y      //更改密碼
Please enter old password: 
Please enter new password: 
Please confirm new password: Info: Your password has been changed. Save the change to survive a reboot. 
*************************************************************************
*         Copyright (C) 2014-2018 Huawei Technologies Co., Ltd.         *
*                           All rights reserved.                        *
*               Without the owner's prior written consent,              *
*        no decompiling or reverse-engineering shall be allowed.        *
*************************************************************************<USG6000V1>sys
Enter system view, return user view with Ctrl+Z.
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]dis ip int b
2024-07-10 10:07:03.530 
*down: administratively down
^down: standby
(l): loopback
(s): spoofing
(d): Dampening Suppressed
(E): E-Trunk down
The number of interface that is UP in Physical is 8
The number of interface that is DOWN in Physical is 2
The number of interface that is UP in Protocol is 3
The number of interface that is DOWN in Protocol is 7Interface                         IP Address/Mask      Physical   Protocol  
GigabitEthernet0/0/0              192.168.0.1/24       up         up        
GigabitEthernet1/0/0              unassigned           up         down      
GigabitEthernet1/0/1              unassigned           up         down      
GigabitEthernet1/0/2              unassigned           up         down      
GigabitEthernet1/0/3              unassigned           up         down      
GigabitEthernet1/0/4              unassigned           up         down      
GigabitEthernet1/0/5              unassigned           down       down      
GigabitEthernet1/0/6              unassigned           down       down      
NULL0                             unassigned           up         up(s)     
Virtual-if0                       unassigned           up         up(s)     [USG6000V1-GigabitEthernet0/0/0]service-manage all permit   //開啟所有服務
[USG6000V1-GigabitEthernet0/0/0]

在瀏覽器網址欄輸入防火墻管理接口的IP地址，輸入用戶名密碼，即可web連接防火墻
在這里插入圖片描述

登錄后就可以進行配置。

配置IP：

在這里插入圖片描述

防火墻：
在網絡模塊的接口選項：
在這里插入圖片描述
生產區與辦公區是兩個不同的Vlan，故在防火墻上面配置子接口，采用單臂路由的形式。
在LSW1（總公司）上進行valn劃分：

<Huawei>sys
[Huawei]sysname LSW3
[LSW1]vlan batch 2 to 3	
[LSW1]int g 0/0/2	
[LSW1-GigabitEthernet0/0/2]port link-type access 	
[LSW1-GigabitEthernet0/0/2]port default vlan 2
[LSW1-GigabitEthernet0/0/2]int g0/0/3
[LSW1-GigabitEthernet0/0/3]port link-type access 	
[LSW1-GigabitEthernet0/0/3]port default vlan 3
[LSW1-GigabitEthernet0/0/3]int g0/0/1
[LSW1-GigabitEthernet0/0/1]port link-type trunk 
[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
[LSW1-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1

新建辦公區，生產區和游客區：
在網絡模塊中的安全區域中新建
在這里插入圖片描述

分配IP：
為了方便測試，需勾選：

生產區和辦公區IP地址：
在這里插入圖片描述

通向dmz及游客區的IP地址：

通向公網的接口：

接口配置完成。

配置LSP網絡IP地址：

[Huawei]sys LSP
[LSP]int g0/0/0
[LSP-GigabitEthernet0/0/0]ip add 12.0.0.1 24
[LSP-GigabitEthernet0/0/0] 
[LSP-GigabitEthernet0/0/0]int g0/0/1
[LSP-GigabitEthernet0/0/1]ip add 21.0.0.1 24
[LSP-GigabitEthernet0/0/1]int  l0
[LSP-LoopBack0]ip add 1.1.1.1 24
[LSP-LoopBack0]dis ip int b
*down: administratively down
^down: standby
(l): loopback
(s): spoofing
The number of interface that is UP in Physical is 5
The number of interface that is DOWN in Physical is 0
The number of interface that is UP in Protocol is 4
The number of interface that is DOWN in Protocol is 1Interface                         IP Address/Mask      Physical   Protocol  
GigabitEthernet0/0/0              12.0.0.1/24          up         up        
GigabitEthernet0/0/1              21.0.0.1/24          up         up        
GigabitEthernet0/0/2              unassigned           up         down      
LoopBack0                         1.1.1.1/24           up         up(s)     
NULL0                             unassigned           up         up(s)     
[LSP-LoopBack0]

至此IP地址分配完成。

需求一

DMZ區內的服務器，辦公區僅能在辦公時間內(9:00-18:00)可以訪問，生產區的設備全天可以訪問。

使用安全策略：
在這里插入圖片描述
新建：

修改work time ：

新建：

測試：
將server1模擬為HTTP服務器：

分別使用生產區client來訪問服務器，并查看是否命中對應策略：
生產區：

獲取成功！

策略命中加1 ！
辦公區：

獲取成功！
在這里插入圖片描述
策略命中加1！
由此需求一完成！

需求二

生產區不允許訪問互聯網，辦公區和游客區允許訪問互聯網。

互聯網統一設置是untrust區域，故只需要控制生產區和辦公區通向untrust區域的流量。

新建策略：
在這里插入圖片描述

測試：
生產區訪問互聯網：

策略命中次數增加

辦公區訪問互聯網：

游客區訪問互聯網：

因為沒做公私網地址轉換，故ping不通，但從策略命中次數可以看出
需求二完成！

需求三：

辦公區設備10.0.2.10不允許訪問DMZ區的FTP服務器和HTTP服務器，僅能ping通10.0.3.10。

新建地址：
在這里插入圖片描述

策略：

因為先前有一條辦公區在工作時間允許訪問DMZ區，故需要將新建策略放在這條策略之前且應先放通ping后再禁止其他服務：

測試：
server1 模擬HTTP服務器（已設置）
server2 模擬ftp服務器：

訪問http:
在這里插入圖片描述
訪問失敗！
訪問ftp:

訪問失敗！
ping:
訪問10.0.3.10：

訪問成功！
訪問10.0.3.20:

訪問失敗！
需求三完成！

需求四：

辦公區分為市場部和研發部，研發部IP地址固定，訪問DMZ區使用匿名認證，市場部需要用戶綁定IP地址，訪問DMZ區使用免認證；
游客區人員不固定，不允許訪問DMZ區和生產區，統一使用Guest用戶登錄，密碼為：Admin@123，游客僅有訪問公司門戶網站和上網的權限，門戶網站地址為：10.0.3.10。

建立辦公區組及其下的市場部和研發部：
在這里插入圖片描述