網安防御保護-小實驗

1、DMZ區內的服務器，辦公區僅能在辦公時間內(9:00-18:00)可以訪問，生產區的設備全天可以訪問
2、生產區不允許訪問互聯網，辦公區和游客區允許訪問互聯網
3、辦公區設備10.0.2.10不允許訪問DMZ區的FTP服務器和HTTP服務器，僅能ping通10.0.3.10
4、辦公區氛圍市場部和研發部。研發部IP地址固定，訪問DMZ區使用匿名認證，市場部需要用戶綁定IP地址，訪問DMZ區使用免認證
? ?游客區人員不固定，不允許訪問DMZ區和生產區，統一使用Gu餓三天用戶登錄，密碼Admin@123,游客僅能訪問公司門戶網站和上網的權限，門戶網站地址10.0.3.10
5、生產區訪問DMZ區是。需要進行protal認證，設立生產區用戶組織架構，至少包含三個部門，每個部門三個用戶，用戶統一密碼openlab123
6、創建一個自定義管理員，要求不能擁有系統管理的功能

一、實驗準備

云配置

server1配置

server2配置?

pc1配置

client1配置?

pc2配置?

client2配置?

?二、開始實驗

1、DMZ區內的服務器，辦公區僅能在辦公時間內(9:00-18:00)可以訪問，生產區的設備全天可以訪問

?(1)交換機lsw7配置并劃分vlan

[LSW7]vlan batch 10 20
[LSW7]int g0/0/3
[LSW7-GigabitEthernet0/0/2]port link-type access
[LSW7-GigabitEthernet0/0/2]port default vlan 10
[LSW7]int g0/0/2 
[LSW7-GigabitEthernet0/0/3]port link-type access
[LSW7-GigabitEthernet0/0/3]port default vlan 20
[LSW7]int g0/0/1 
[LSW7-GigabitEthernet0/0/1]port link-type  trunk 
[LSW7-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20
[LSW7-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1

(2)在FW2的g0/0/0端口配置ip并打開web服務

<USG6000V1>system-view 	
[USG6000V1]interface g0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip address 172.172.1.2 24	
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit

(3)用瀏覽器登錄防火墻并配置GE1/0/1接口IP地址

配置GE1/0/2接口IP地址?

?配置GE1/0/3接口IP地址

配置GE1/0/0接口IP地址

創建心得安全區域

創建辦公區

創建生產區?

創建辦公區虛擬子接口?

?創建生產區虛擬子接口?

(4)書寫防火墻FW1的辦公區安全策略

測試辦公區可以連接到DMZ區

測試成功！

2、生產區不允許訪問互聯網，辦公區和游客區允許訪問互聯網

(1)配置游客登錄

(2)配置路由器R1

<Huawei>system-view 	
[Huawei]sysname R1
[R1]interface g0/0/0	
[R1-GigabitEthernet0/0/0]ip address 12.0.0.2 24 
[R1-GigabitEthernet0/0/0]q	
[R1]interface g0/0/1
[R1-GigabitEthernet0/0/1]ip address 21.0.0.2 24
[R1-GigabitEthernet0/0/1]q
[R1]interface g0/0/2
[R1-GigabitEthernet0/0/2]ip address 23.0.0.1 24
[R1-GigabitEthernet0/0/2]q	
[R1]rip 1	
[R1-rip-1]version 2	
[R1-rip-1]network 12.0.0.0	
[R1-rip-1]network 21.0.0.0	
[R1-rip-1]network 23.0.0.0

(3)禁止生產區訪問互聯網

(4)允許辦公區上網

(5)允許游客區上網

3、辦公區設備10.0.2.10不允許訪問DMZ區的FTP服務器和HTTP服務器，僅能ping通10.0.3.10?

?4、辦公區氛圍市場部和研發部。研發部IP地址固定，訪問DMZ區使用匿名認證，市場部需要用戶綁定IP地址，訪問DMZ區使用免認證
? ?游客區人員不固定，不允許訪問DMZ區和生產區，統一使用Gu餓三天用戶登錄，密碼Admin@123,游客僅能訪問公司門戶網站和上網的權限，門戶網站地址10.0.3.10

(1)創建認證域bg

(2)在bg認證域中建立市場部和研發部?

?(3)做認證策略，使研發部10.0.1.20匿名認證登錄DMZ區

(4)使市場部10.0.1.10免認證登錄DMZ區；

(5)創建游客認證域，建立Guest用戶，密碼為Admin@123，允許多人同時登陸?

(6)寫安全策略，使游客區不允許訪問DMZ區和生產區

(7)游客區允許訪問外網

(8)創建安全策略，使游客允許訪問10.0.3.10的http服務

?5、生產區訪問DMZ區是。需要進行protal認證，設立生產區用戶組織架構，至少包含三個部門，每個部門三個用戶，用戶統一密碼openlab123

(1)創建生產區訪問DMZ區認證域

(2)點擊scfwDMZ創建用戶組，分別創建檢修部、農業部、工業部

(3)新建批量用戶，密碼為Openlab@123

(4)找到認證選項，勾選首次登錄必須修改密碼

?6、創建一個自定義管理員，要求不能擁有系統管理的功能

(1)創建一個管理員角色

(2)在管理員中添加一個管理員，名稱為新建管理員

實驗圓滿結束！?

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/diannao/45078.shtml
繁體地址，請注明出處：http://hk.pswp.cn/diannao/45078.shtml
英文地址，請注明出處：http://en.pswp.cn/diannao/45078.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！