目錄

實驗拓撲與要求?編輯

交換機與防火墻接口的配置

交換機：

????????創建vlan

? ? ? ? 接口配置

防火墻配置及接口配置

防火墻IP地址配置

云配置?編輯?編輯?編輯

在瀏覽器上使用https協議登陸防火墻，并操作

訪問網址：https://192.168.100.1:8443?編輯?編輯

防火墻G1/0/1配置子接口?編輯?編輯

防火墻關于DMZ區域的接口G1/0/0?編輯

防火墻關于游客區的接口G1/0/4?編輯

防火墻關于ISP的接口G1/0/1?編輯

防火墻策略建立

? 1.新建區域?編輯

?2.策略建立

?? 辦公區訪問DMZ?編輯

生產區訪問DMZ?編輯

?游客區只能訪問門戶網站10.0.3.10?編輯

針對單個IP10.0.2.10的策略?編輯?編輯

創建toISP的策略

辦公區訪問ISP

?游客區訪問ISP

整體效果：生效順序??編輯

NAT策略可以上網的關鍵??編輯

?防火墻用戶創建與管理?

????????????????辦公區的市場部和研發部用戶?編輯

針對市場部和研發部的策略??編輯?編輯

游客區用戶和組的創建??編輯

生產區用戶與組的創建?

批量創建生產區車間1的用戶（車間2，3同理）?編輯

?生產區的用戶策略??編輯?編輯

最終整體結構圖

?編輯?設置登錄?編輯

系統用戶創建?

設置身份（不選系統相關權限）?編輯新建用戶身份選擇剛剛建立的管理員?編輯要先有身份再有登錄用戶！

實驗拓撲與要求

?要求

1.DMZ區域內的服務器，辦公區僅能在辦公時間內（9：00-18：00）可以訪問，生產區的設備全天可以訪問
2.生產區不允許訪問互聯網，辦公區和游客區允許訪問互聯網
3.辦公區設備10.0.2.10不允許訪問DMZ區的FTP服務器和HTTP服務器，僅能ping10.0.3.10
4.辦公區分為市場部和研發部，研發部IP地址固定，訪問DMZ區使用匿名認證，研發部需要用戶綁定IP地址，訪問DMZ區使用免認證；游客區人員不固定，不允許訪問DMZ區和生產區，統一使用Guest用戶登錄，密碼Admin@123，游客僅有訪問公司門戶網站和上網權限，門戶網站地址為10.0.3.10
5.生產區訪問DMZ區時，需要進行protal認證，設立生產區用戶組織架構，至少包含三個部門，每個部門三個用戶，用戶統一密碼openlab123；首次登錄需要修改密碼，用戶過期時間設定為10天，用戶不允許多人使用
6.創建一個自定義管理員，要求不能擁有系統管理功能

交換機與防火墻接口的配置

LSW7交換機配置vlan，其中生產區在vlan2，辦公區在vlan3.防火墻在G1/0/3上配置子接口分別實現管理，命令如下。

交換機：

????????創建vlan

[LSW5]vlan batch  2 to 3

? ? ? ? 接口配置

[LSW5]int g 0/0/2
[LSW5-GigabitEthernet0/0/2]port link-type access        # 定義接口類型
[LSW5-GigabitEthernet0/0/2]port default  vlan 2           # 定義所屬valn[LSW5]int g 0/0/3
[LSW5-GigabitEthernet0/0/3]port link-type access 
[LSW5-GigabitEthernet0/0/3]port default vlan 3[LSW5]int g 0/0/1  
[LSW5-GigabitEthernet0/0/1]port link-type trunk 
[LSW5-GigabitEthernet0/0/1]port trunk allow-pass vlan  2 3     # 放通vlan 2 3 內的流量[LSW5-GigabitEthernet0/0/1]undo  port trunk allow-pass vlan  1  # 出于對網絡安全的考慮，拒絕vlan1內的流量通過

防火墻配置及接口配置

防火墻IP地址配置

Username:admin
Password:        # 默認密碼為Admin@123
The password needs to be changed. Change now? [Y/N]: y
Please enter old password:     
Please enter new password:        # 修改新密碼為Mysql@123
Please confirm new password: Info: Your password has been changed. Save the change to survive a reboot. 
*************************************************************************
*         Copyright (C) 2014-2018 Huawei Technologies Co., Ltd.         *
*                           All rights reserved.                        *
*               Without the owner's prior written consent,              *
*        no decompiling or reverse-engineering shall be allowed.        *
*************************************************************************
<USG6000V1>sys[USG6000V1]int g 0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.100.1 24   # 修改IP地址[USG6000V1-GigabitEthernet0/0/0] service-manage all permit    # 開啟服務

云配置

在瀏覽器上使用https協議登陸防火墻，并操作

訪問網址：https://192.168.100.1:8443

防火墻G1/0/1配置子接口

防火墻關于DMZ區域的接口G1/0/0

防火墻關于游客區的接口G1/0/4

防火墻關于ISP的接口G1/0/1

防火墻策略建立

? 1.新建區域

?2.策略建立

?? 辦公區訪問DMZ

生產區訪問DMZ

?游客區只能訪問門戶網站10.0.3.10

針對單個IP10.0.2.10的策略

創建toISP的策略

辦公區訪問ISP

?游客區訪問ISP

整體效果：生效順序?

NAT策略可以上網的關鍵?

?防火墻用戶創建與管理?

? ? ? ? ?辦公區用戶與組的創建

????????????????辦公區的市場部和研發部用戶

針對市場部和研發部的策略?

游客區用戶和組的創建?

生產區用戶與組的創建?

批量創建生產區車間1的用戶（車間2，3同理）

?生產區的用戶策略?

最終整體結構圖

?設置登錄

系統用戶創建?

設置身份（不選系統相關權限）新建用戶身份選擇剛剛建立的管理員要先有身份再有登錄用戶！

以上實驗密碼統一為Mysql@123，實驗完成