【自學網絡安全】：安全策略與用戶認證綜合實驗

實驗拓撲圖：

在這里插入圖片描述
實驗任務：
1、DMZ區內的服務器，辦公區僅能在辦公時間內(9:00-18:00)可以訪問，生產區的設備全天可以訪問
2、生產區不允許訪問互聯網，辦公區和游客區允許訪問互聯網
3、辦公區設備10.0.2.10不允許訪問Dmz區的FTP服務器和HTTP服務器，僅能ping通10.0.3.10
4、辦公區分為市場部和研發部，研發部IP地址固定，訪問dmz區使用匿名認證，市場部需要用戶綁定IP地址，訪問dmz區使用免認證;
游客區人員不固定，不允許訪問DMZ區和生產區，統一使用Guest用戶登錄，密碼Admin@123，游客僅有訪問公司門戶網站和上網的權限，
門戶網站地址10.0.3.10
5、生產區訪問dmz區時，需要進行protal認證，設立生產區用戶組織架構，至少包含三個部門，每個部門三個用戶，
用戶同一密碼openlab123,首次登錄需要修改密碼，用戶過期時間設定為19天，用戶不允許多人使用
6、創建一個自定義管理員，要求不能擁有系統管理的功能

實驗步驟如下：

一、DMZ區內的服務器，辦公區僅能在辦公時間內(9:00-18:00)可以訪問，生產區的設備全天可以訪問

1、搭建拓撲圖
2、在Windows系統添加一個環回網卡，步驟如下：
1）右鍵單機開始，選擇設備管理器
在這里插入圖片描述
2）找到網絡適配器，點擊左上角操作，點擊添加過時硬件

3）連續點擊下一步，直到有下圖畫面，找到網絡適配器，點擊下一步

4）點擊Microsoft，再點擊Microsoft KM-TEST 環回適配器，最后點擊下一步及完成添加網卡。
在這里插入圖片描述
3、給網卡配置一個不會使用的IP地址，如：192.168.100.2；在云上添加網卡和UDP，勾上雙向通道，添加即可。
4、登錄防火墻FW3，默認賬號admin，密碼Admin@123；修改密碼，進去之后去進入G0/0/0接口，輸入如下命令，即配置G0/0/0接口的IP為192.168.100.1，使其IP與網卡是一個網段上，并打開所有服務管理。

[USG6000V1-GigabitEthernet0/0/0]service-manage all permit

5、打開自帶瀏覽器，url欄輸入192.168.100.1:8443回車，無視風險進入虛擬華為防火墻登錄界面，輸入之前設置的賬號密碼登錄進去，即如下圖：
在這里插入圖片描述
6、LSW6操作，對辦公區和生產區進行vlan劃分，辦公區是vlan10，生產區是vlan20，將G0/0/1設置為trunk模式，允許vlan10和vlan20通過，取消vlan1通過。
7、在FW3web界面管理，在G0/0/3接口創建兩個子接口，并將其他端口配置設置為如下配置：

在這里插入圖片描述
以辦公區子接口為例：

8、添加安全策略，使DMZ區內的服務器，辦公區僅能在辦公時間內(9:00-18:00)可以訪問，生產區的設備全天可以訪問，細節配置如下圖：

9、雙擊server1
1）開啟httpServer
雙擊Client2或1，訪問dmz區的http服務，訪問成功即完成第一個任務。
在這里插入圖片描述

當兩條安全策略都能匹配到流量時，證明安全策略沒有問題。
二、生產區不允許訪問互聯網，辦公區和游客區允許訪問互聯網
1、創建安全策略，配置如下：

創建NAT區，將G0/0/1和G0/0/2接口分入次區。
在這里插入圖片描述
2、將辦公區和游客區禁止訪問NAT區域。

三、辦公區設備10.0.1.20不允許訪問Dmz區的FTP服務器和HTTP服務器，僅能ping通10.0.3.10
1、先創建一個安全策略，使10.0.1.20不允許DMZ區的相關服務
在這里插入圖片描述
2、再創建一個安全策略，使10.0.1.20只能ping通10.0.3.10，再將該安全策略置頂，使其最先匹配。

3、結果展示：
1）10.0.1.20能ping通10.0.3.10

2）10.0.1.20不能訪問10.0.3.10的http服務

3）安全策略成功匹配到流量。
在這里插入圖片描述

四、辦公區分為市場部和研發部，研發部IP地址固定，訪問dmz區使用匿名認證，市場部需要用戶綁定IP地址，訪問dmz區使用免認證;游客區人員不固定，不允許訪問DMZ區和生產區，統一使用Guest用戶登錄，密碼Admin@123，游客僅有訪問公司門戶網站和上網的權限，門戶網站地址10.0.3.10
1、創建認證域，bg，在bg認證域中建立市場部和研發部
在這里插入圖片描述
2、做認證策略，使研發部10.0.1.20使用匿名認證登錄DMZ區；使市場部10.0.1.10使用免認證登錄DMZ區；

3、創建YK認證域，建立Guest用戶，密碼為Admin@123，允許多人同時登陸

4、寫安全策略，使游客區不允許訪問DMZ區和生產區
在這里插入圖片描述
5、創建安全策略，使游客區允許訪問外網NAT區

6、創建安全策略，使游客允許訪問10.0.3.10的http服務，將次策略移動到YK to DMZ NAT策略之前。

7、檢測結果，在游客區添加一個client，訪問10.0.3.10的httpserver，結果如下：

在這里插入圖片描述
8、查看安全策略，發現策略被成功匹配，如下：

五、生產區訪問dmz區時，需要進行protal認證，設立生產區用戶組織架構，至少包含三個部門，每個部門三個用戶，用戶同一密碼openlab123,首次登錄需要修改密碼，用戶過期時間設定為10天，用戶不允許多人使用
1、找到認證域，創建sctodmz認證域
在這里插入圖片描述
2、點擊sctodmz創建用戶組，分別創建維護組、研發組、檢測組

3、新建批量用戶，用戶名間以英文逗號隔開，密碼為openlab123，有效時間為19號為止，允許多人登錄取消，分別每個部門創建3個用戶。

4、找到認證策略，勾選首次登錄必須修改密碼。
在這里插入圖片描述
5、所有用戶建立完成截圖：

六、創建一個自定義管理員，要求不能擁有系統管理的功能
1、創建一個管理員角色，要求不能擁有系統管理功能

在這里插入圖片描述

在這里插入圖片描述
2、在管理員中添加一個管理員，角色是自定義管理員

最后實驗拓撲：（就在游客區加了個client4設備用于檢測而已）

實驗到這里就做完咯！
讓我們繼續努力吧！！！

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/web/42653.shtml
繁體地址，請注明出處：http://hk.pswp.cn/web/42653.shtml
英文地址，請注明出處：http://en.pswp.cn/web/42653.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！