网络安全防御 -- 防火墙安全策略用户认证综合实验

实验拓扑:

实验目的:

1、DMZ区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问。
2、生产区不允许访问互联网,办公区和游客区允许访问互联网。
3、办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10。
4、办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证;
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码为:Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址为:10.0.3.10.
5、生产区访问DMZ区时需要进行Protal认证,设立生产区用户组织框架:
   至少三个部门,每个部门三个用户,用户统一密码:openlab@123,首次登陆需要修改密码,用户过期时间设置为10天,用户不允许多人使用。
6、创建一个自定义管理员,要求不能拥有系统管理的功能。 

实验配置:

防火墙准备

在修改密码以及修改管理接口IP后采用带内管理模式中的Web管理方式进行配置。需要在虚拟机中添加一个Cloud,连接防火墙设备才能在电脑上访问到防火墙。

Cloud配置

这里用于测试的网卡是新建的一张换回网卡,手动配置IP地址为172.168.100.22/24

防火墙基本操作(虚拟设备需要开启服务,真实设备不需要):

因为我们需要通过云在浏览器图形化界面对防火墙进行操作,所以需要防火墙和运在同一个网段,

所以我们把FW0/0/0接口IP地址改为172.68.100.2/24

Username:admin
Password:
The password needs to be changed. Change now? [Y/N]: y
Please enter old password:                          #初始默认是Admin@123
Please enter new password: 
Please confirm new password: 
Error: New passwords are different.
The password needs to be changed. Change now? [Y/N]: y
Please enter old password: 
Please enter new password: 
Please confirm new password: Info: Your password has been changed. Save the change to survive a reboot. 
*************************************************************************
*         Copyright (C) 2014-2018 Huawei Technologies Co., Ltd.         *
*                           All rights reserved.                        *
*               Without the owner's prior written consent,              *
*        no decompiling or reverse-engineering shall be allowed.        *
*************************************************************************<USG6000V1>
Jul 10 2024 11:51:11 USG6000V1 ENTEXT/4/CPUUSAGESUDDENCHANGE:1.3.6.1.4.1.2011.5.
25.31.2.0.29 Entity 0: The CPU usage on SPU11 CPU0 is suddenly changed from 64% 
to 7%, and the change value is 57% , exceeding threshold value 40%.
<USG6000V1>sys
Enter system view, return user view with Ctrl+Z.
[USG6000V1]ser	
[USG6000V1]service-man	
[USG6000V1]dis ip int b
2024-07-10 11:51:47.410 
*down: administratively down
^down: standby
(l): loopback
(s): spoofing
(d): Dampening Suppressed
(E): E-Trunk down
The number of interface that is UP in Physical is 4
The number of interface that is DOWN in Physical is 6
The number of interface that is UP in Protocol is 3
The number of interface that is DOWN in Protocol is 7Interface                         IP Address/Mask      Physical   Protocol  
GigabitEthernet0/0/0              192.168.0.1/24       up         up       该接口默认ip址为 192.168.0.1/24 GigabitEthernet1/0/0              unassigned           up         down      
GigabitEthernet1/0/1              unassigned           down       down      
GigabitEthernet1/0/2              unassigned           down       down      
GigabitEthernet1/0/3              unassigned           down       down      
GigabitEthernet1/0/4              unassigned           down       down      
GigabitEthernet1/0/5              unassigned           down       down      
GigabitEthernet1/0/6              unassigned           down       down      
NULL0                             unassigned           up         up(s)     
Virtual-if0                       unassigned           up         up(s)     [USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit   #开启所有服务
Jul 10 2024 11:52:07 USG6000V1 DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.25
.191.3.1 configurations have been changed. The current change number is 1, the c
hange loop count is 0, and the maximum number of records is 4095.[USG6000V1-GigabitEthernet0/0/0]ip address 172.168.100.1 24
浏览器搜素FWip进入图形化界面

PC、server、client的相关基本配置:

PC2:

PC3:

Client1:

Client2:

Server2:

Server3:

交换机配置

生产区与办公区是两个不同区域用不同的Vlan,故在防火墙上面配置子接口,采用单臂路由的形式

先在LW7创建两个vlan

[Huawei]sys	
[Huawei]sysname LW7[LW7]vlan batch 2 to 3
Info: This operation may take a few seconds. Please wait for a moment...done.[LW7]int g0/0/2
[LW7-GigabitEthernet0/0/2]port link-type access 
[LW7-GigabitEthernet0/0/2]port default vlan 2[LW7-GigabitEthernet0/0/2]int g0/0/3	
[LW7-GigabitEthernet0/0/3]port link-type access 	
[LW7-GigabitEthernet0/0/3]port default vlan 3[LW7-GigabitEthernet0/0/3]int g0/0/1
[LW7-GigabitEthernet0/0/1]port link-type trunk 
[LW7-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
[LW7-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1
配置子接口:
[USG6000V1]int g1/0/3.1
[USG6000V1-GigabitEthernet1/0/3.1]ip address 10.0.1.1 24[USG6000V1-GigabitEthernet1/0/3.1]int g1/0/3.2
[USG6000V1-GigabitEthernet1/0/3.2]ip address 10.0.2.1 24

在FW1的web网页中做相关配置

添加安全区域(SC,BG,YK)

G1/0/3:配置对应的子接口

G1/0/3.1:

G1/0/3.2:

g1/0/4

g1/0/0

g1/0/1:

g1/0/2:

接口总体配置如下:

安全策略配置:

1.DMZ区内的服务器,办公区仅能在办公时间内(9:00 — 18:00)可以访问,生产区的设备全天可以访问

办公区:

生产区:

测试:

用生产区的PC ping Server1

2.生产区不允许访问互联网,办公区和游客区允许访问互联网:

3.办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
对10.0.2.10 禁止对DMZ区的http和ftp服务

4.办公区分布为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名验证;市场部需要用户绑定IP地址,访问DMZ区使用免认证;游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10
(1)研发部IP地址固定,访问DMZ区使用匿名验证

研发部地址为10.0.2.20

( 2)市场部需要用户绑定IP地址,访问DMZ区使用免认证

(3)游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10

创建游客使用的用户:

密码Admin@123

游客使用Guest用户登录,仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10:

5.生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用

批量创建用户:

密码openlab 123

用户不允许多人使用

 生产区用户组织架构

6.创建一个自定义管理员,要求不能拥有系统管理的功能

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/44818.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

sql常用语句:

1.联合查询 对表中的数据进行限制&#xff1b; 2.从一个表复制到另一个表 SELECT INTO 将数据复制到一个新表&#xff08;有的 DBMS 可以覆盖已经存在的表&#xff0c;这依赖于 所使用的具体 DBMS&#xff09; SELECT *&#xff08;字段&#xff09; INTO CustCopy FROM Cu…

高仿imtoken钱包源码/获取助记词/获取私钥/自动归集

简介&#xff1a; 高仿imtoken钱包/获取助记词/获取私钥/自动归集 带双端&#xff0c;无纯源码 下载源码

从微分方程组构建 bbr 模型

描述分析 bbr 的文字自 2016 年底起至今从空白到泛滥&#xff0c;我自己在期间贡献了不少&#xff0c;本文又是一篇&#xff0c;但不同的是&#xff0c;本文尝试用闭环的数学模型给出一个 bbr 的全貌&#xff0c;顺便和 aimd 做对比。 先看带宽特性 bw(t)&#xff0c;设瓶颈带…

Java中的消息中间件选择与比较

Java中的消息中间件选择与比较 大家好&#xff0c;我是免费搭建查券返利机器人省钱赚佣金就用微赚淘客系统3.0的小编&#xff0c;也是冬天不穿秋裤&#xff0c;天冷也要风度的程序猿&#xff01; 在分布式系统中&#xff0c;消息中间件是一种关键组件&#xff0c;它能帮助不同…

等保2.0丨5分钟速览:小白都能理解的等保2.0简介

等保2.0的概念 等保2.0全称网络安全等级保护2.0制度&#xff0c;是我国网络安全领域的基本国策、基本制度。以1.0的规范为基础&#xff0c;等级保护标准以积极的防御为重点&#xff0c;由被动的防御发展为安全可信、动态感知和全过程的事前、事中和事后的全过程的全方位的审核…

函数式接口、匿名内部类、lambda表达式

一、函数式接口 只有一个抽象方法的接口叫函数式接口&#xff0c;不能有两个&#xff0c;也不能有方法实现。 FunctionalInterface注解标记&#xff0c;在idea中可以用这个注解验证是不是函数式接口。实现函数式接口可以转成lambda表达式。 二、匿名内部类 匿名内部类的格式&a…

Vue实战【基于wangEditor富文本编辑器+拖拽实现一个自定义打印模版】

目录 &#x1f31f;前言&#x1f31f;需求&#x1f31f;效果预览&#x1f31f;安装wangEditor富文本编辑器&#x1f31f;拖拽API&#x1f31f;wangEditor富文本编辑器所用到的API&#x1f31f;写在最后&#x1f31f;JSON包里写函数&#xff0c;关注博主不迷路 &#x1f31f;前言…

7.11 cf div3 C

Problem - C - Codeforces 操作 根据给定的索引数组ind和字符串c&#xff0c;按照一定的顺序修改字符串s中对应位置的字符。具体来说&#xff0c;第i次操作会修改s中索引为indi的位置的字符&#xff0c;将其设置为ci。 将c字符串按照从小到大排序&#xff0c;替换ind数组所表…

可观察性优势:掌握当代编程技术

反馈循环是我们开发人员工作的关键。它们为我们提供信息&#xff0c;并让我们从用户过去和现在的行为中学习。这意味着我们可以根据过去的反应进行主动开发。 TestComplete 是一款自动化UI测试工具&#xff0c;这款工具目前在全球范围内被广泛应用于进行桌面、移动和Web应用的…

vue项目实现路由按需加载(路由懒加载)的三种方式

使用异步组件 在使用vue-router配置路由时&#xff0c;可以使用异步组件来实现路由的按需加载。异步组件会在路由被访问时才进行加载&#xff0c;从而实现按需加载的效果。需要注意的是&#xff0c;使用异步组件需要借助webpack的动态import语法来实现。例如&#xff1a; cons…

【DRAM存储器三十三】LPDDR4介绍--寻址、pin定义、命令真值表

👉个人主页:highman110 👉作者简介:一名硬件工程师,持续学习,不断记录,保持思考,输出干货内容 参考资料:《镁光LPDDR4数据手册》 、《JESD209-4B》 目录 LPDDR4的寻址 LPDDR4的pin脚定义 命令真值表 LPDDR4的寻址

【深度学习入门篇 ②】Pytorch完成线性回归!

&#x1f34a;嗨&#xff0c;大家好&#xff0c;我是小森( &#xfe61;ˆoˆ&#xfe61; )&#xff01; 易编橙终身成长社群创始团队嘉宾&#xff0c;橙似锦计划领衔成员、阿里云专家博主、腾讯云内容共创官、CSDN人工智能领域优质创作者 。 易编橙&#xff1a;一个帮助编程小…

邦芒攻略:8条建议让你在大学毕业五年内蜕变

大学毕业后很多人都有了翻天覆地的变化&#xff0c;有些人有了自己的事业&#xff0c;进了国企&#xff0c;考上了公务员。有的人呢&#xff0c;自己创业成了一个小老板。 有的人还在苦苦地读研&#xff0c;为了自己的理想而奋斗。但是&#xff0c;总有一些人会停滞不前&#x…

第三方支付平台如何完美契合游戏行业?

在数字经济的浪潮中&#xff0c;游戏行业以其独特的魅力和创新能力&#xff0c;成为全球文化和经济交流的重要桥梁。然而&#xff0c;海外游戏商在进军中国市场时&#xff0c;常面临一系列难题。本文将通过一个故事案例&#xff0c;揭示第三方支付平台PASSTO PAY如何帮助海外游…

vue3中antd上传图片组件及回显

实现效果&#xff1a; 调用后端接口后&#xff0c;后端返回的数据&#xff1a; 1.在项目components/base下新建UploadNew.vue文件&#xff08;上传图片公共组件&#xff09; <template><div class"clearfix"><a-uploadv-model:file-list"fileL…

发挥储能系统领域优势,海博思创坚定不移推动能源消费革命

随着新发展理念的深入贯彻&#xff0c;我国正全面落实“双碳”目标任务&#xff0c;通过积极转变能源消费方式&#xff0c;大幅提升能源利用效率&#xff0c;实现了以年均约3.3%的能源消费增长支撑了年均超过6%的国民经济增长。这一成就的背后&#xff0c;是我国能源结构的持续…

龙蜥Anolis OS基于开源项目制作openssh 9.8p1 rpm包 —— 筑梦之路

环境信息 制作过程和centos 7几乎没有区别&#xff0c;此处就不再赘述。 CentOS 7基于开源项目制作openssh9.8p1 rpm二进制包修复安全漏洞CVE-2024-6387 —— 筑梦之路_cve-2024-6387修复-CSDN博客 制作成果展示 tree RPMS/ RPMS/ └── x86_64├── openssh-9.8p1-1.an7.…

springboot3整合SpringSecurity实现登录校验与权限认证(万字超详细讲解)

目录 身份认证&#xff1a; 1、创建一个spring boot项目&#xff0c;并导入一些初始依赖&#xff1a; 2、由于我们加入了spring-boot-starter-security的依赖&#xff0c;所以security就会自动生效了。这时直接编写一个controller控制器&#xff0c;并编写一个接口进行测试&…

【面试题】防火墙的部署模式有哪些?

防火墙的部署模式多种多样&#xff0c;每种模式都有其特定的应用场景和优缺点。以下是防火墙的主要部署模式&#xff1a; 一、按工作模式分类 路由模式 定义&#xff1a;当防火墙位于内部网络和外部网络之间时&#xff0c;需要将防火墙与内部网络、外部网络以及DMZ&#xff0…

【Jenkins持续集成持续部署】

目录 docker下安装gitlab一、安装docker二、使用容器安装gitlab三、Jenkins安装 Maven安装3测试服务器安装docker安装jenkens安装mavenJenkins Git Maven自动化部署配置 docker下安装gitlab redhat&#xff1a;9 内存建议6个G&#xff1b; 系统内核至少在3.10以上uname -r命…