目錄

一、實驗拓撲

二、實驗要求

三、實驗思路

四、實驗配置

1、配置vlan

2、配置路由器、防火墻IP地址，劃分區域

3、配置安全策略

?策略一：

策略二：

策略三：

4、配置用戶認證

策略一：

策略二：

策略三：

策略四：

5、創建管理員

---

一、實驗拓撲

二、實驗要求

1、DMZ區內的服務器，辦公區僅能在辦公時間（9：00-18：00）內可以訪問；生產區的設備全天可以訪問
2、生產區不允許訪問互聯網，辦公區和游客區允許訪問互聯網
3、辦公區設備10.0.2.10不允許訪問DMZ的FTP服務器和HTTP服務器，僅能ping通10.0.3.10
4、辦公區分為市場部和研發部，研發部IP地址固定，訪問DMZ區使用匿名認證，市場部需要用戶綁定IP地址，訪問DMZ區使用免認證；游客區人員不固定，不允許訪問DMZ區和生產區，統一使用Guest用戶登錄，密碼Admin@123
5、生產區訪問DMZ區時，需要進行protal認證，設立生產區用戶組織架構，至少包含三個部門，每個部門三個用戶，用戶統一密碼Openlab@123，首次登錄需要修改密碼，用戶過期時間設定為10天，用戶不允許多人使用
6、創建一個自定義管理員，要求不能擁有系統管理的功能

三、實驗思路

1、先看二層，創建vlan，劃分區域

2、再看三層，給路由器、防火墻配置IP，劃分區域

3、配置安全策略達到實驗要求1、2、3

4、配置用戶認證，創建用戶組、用戶，通過認證策略達到要求4、5

5、創建管理員，系統功能只讀

四、實驗配置

1、配置vlan

[Huawei]vlan batch 2 3
[Huawei]int g0/0/2??
[Huawei-GigabitEthernet0/0/2]port link-type access?
[Huawei-GigabitEthernet0/0/2]port default vlan 2??
[Huawei-GigabitEthernet0/0/2]int g0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type access???
[Huawei-GigabitEthernet0/0/3]port default vlan 3
[Huawei-GigabitEthernet0/0/3]int g0/0/1?
[Huawei-GigabitEthernet0/0/1]port link-type trunk???
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3? ?
[Huawei-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1

2、配置路由器、防火墻IP地址，劃分區域

ISP：

[ISP]int g0/0/0
[ISP-GigabitEthernet0/0/0]ip add 12.0.0.2 24
[ISP-GigabitEthernet0/0/0]int g0/0/2
[ISP-GigabitEthernet0/0/2]ip add 21.0.0.2 24
[ISP-GigabitEthernet0/0/2]int l0
[ISP-LoopBack0]ip add 1.1.1.1 24

先登錄：admin/Admin@123

Username:admin
Password:
The password needs to be changed. Change now? [Y/N]: y
Please enter old password:?
Please enter new password:?（Huawei@123）
Please confirm new password:?

[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.100.1 24
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit?

云配置：

g1/0/1和g1/0/2連外網要配網關當默認缺省，放在untrust區域

g0/0/0放在DMZ區域

g1/0/3創建兩個子接口，放在兩個不同的區域：

辦公區：

生產區：

創建子接口，辦公區屬于vlan3

創建子接口，生產區屬于vlan2

游客區：

測試是否ping通：

3、配置安全策略

先創建地址方便管理：

策略一：

辦公區：

源地址/目的地址可以直接寫，或者選擇創建地址

按要求新建時間段work（9：00-18：00）；其他如圖

服務主要充當兩種：http和ftp；而icmp方便測試，可不放

生產區

源地址/目的地址可以不寫，則為any，訪問所有

時間段：全天，則只需選擇允許

若顯示時間不符合，則在系統中選擇本地時間同步：

測試：啟動服務器，用客戶端訪問

策略二：

默認會有一條拒絕策略，則我們需要配置允許訪問互聯網的策略和NAT策略

測試：

策略三：

前面需求滿足了辦公區所有設備訪問DMZ區的HTTP、FTP、ICMP服務，所以這里只用寫一條拒絕10.0.2.10訪問DMZ區的FTP和HTTP服務即可

測試：

4、配置用戶認證

假設10.0.2.20為研發部，10.0.2.10為市場部，則需要寫兩條認證策略

策略一：

策略二：

測試：

游客區先寫一條安全策略禁止游客區訪問DMZ區和生產區

策略三：

統一使用Guest用戶登錄，密碼Admin@123，必須勾選多人使用

測試：

策略四：

先寫一條認證策略

創建用戶組、用戶

生產區有3個部門

每個部門3個用戶：先在認證選項中勾選首次登錄需要修改密碼，及強度降為中等

5、創建管理員

在系統中找到管理員，創建管理員角色，系統功能只讀