网络安全防御 -- 防火墙安全策略用户认证综合实验

实验拓扑:

实验目的:

1、DMZ区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问。
2、生产区不允许访问互联网,办公区和游客区允许访问互联网。
3、办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10。
4、办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证;
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码为:Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址为:10.0.3.10.
5、生产区访问DMZ区时需要进行Protal认证,设立生产区用户组织框架:
   至少三个部门,每个部门三个用户,用户统一密码:openlab@123,首次登陆需要修改密码,用户过期时间设置为10天,用户不允许多人使用。
6、创建一个自定义管理员,要求不能拥有系统管理的功能。 

实验配置:

防火墙准备

在修改密码以及修改管理接口IP后采用带内管理模式中的Web管理方式进行配置。需要在虚拟机中添加一个Cloud,连接防火墙设备才能在电脑上访问到防火墙。

Cloud配置

这里用于测试的网卡是新建的一张换回网卡,手动配置IP地址为172.168.100.22/24

防火墙基本操作(虚拟设备需要开启服务,真实设备不需要):

因为我们需要通过云在浏览器图形化界面对防火墙进行操作,所以需要防火墙和运在同一个网段,

所以我们把FW0/0/0接口IP地址改为172.68.100.2/24

Username:admin
Password:
The password needs to be changed. Change now? [Y/N]: y
Please enter old password:                          #初始默认是Admin@123
Please enter new password: 
Please confirm new password: 
Error: New passwords are different.
The password needs to be changed. Change now? [Y/N]: y
Please enter old password: 
Please enter new password: 
Please confirm new password: Info: Your password has been changed. Save the change to survive a reboot. 
*************************************************************************
*         Copyright (C) 2014-2018 Huawei Technologies Co., Ltd.         *
*                           All rights reserved.                        *
*               Without the owner's prior written consent,              *
*        no decompiling or reverse-engineering shall be allowed.        *
*************************************************************************<USG6000V1>
Jul 10 2024 11:51:11 USG6000V1 ENTEXT/4/CPUUSAGESUDDENCHANGE:1.3.6.1.4.1.2011.5.
25.31.2.0.29 Entity 0: The CPU usage on SPU11 CPU0 is suddenly changed from 64% 
to 7%, and the change value is 57% , exceeding threshold value 40%.
<USG6000V1>sys
Enter system view, return user view with Ctrl+Z.
[USG6000V1]ser	
[USG6000V1]service-man	
[USG6000V1]dis ip int b
2024-07-10 11:51:47.410 
*down: administratively down
^down: standby
(l): loopback
(s): spoofing
(d): Dampening Suppressed
(E): E-Trunk down
The number of interface that is UP in Physical is 4
The number of interface that is DOWN in Physical is 6
The number of interface that is UP in Protocol is 3
The number of interface that is DOWN in Protocol is 7Interface                         IP Address/Mask      Physical   Protocol  
GigabitEthernet0/0/0              192.168.0.1/24       up         up       该接口默认ip址为 192.168.0.1/24 GigabitEthernet1/0/0              unassigned           up         down      
GigabitEthernet1/0/1              unassigned           down       down      
GigabitEthernet1/0/2              unassigned           down       down      
GigabitEthernet1/0/3              unassigned           down       down      
GigabitEthernet1/0/4              unassigned           down       down      
GigabitEthernet1/0/5              unassigned           down       down      
GigabitEthernet1/0/6              unassigned           down       down      
NULL0                             unassigned           up         up(s)     
Virtual-if0                       unassigned           up         up(s)     [USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit   #开启所有服务
Jul 10 2024 11:52:07 USG6000V1 DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.25
.191.3.1 configurations have been changed. The current change number is 1, the c
hange loop count is 0, and the maximum number of records is 4095.[USG6000V1-GigabitEthernet0/0/0]ip address 172.168.100.1 24
浏览器搜素FWip进入图形化界面

PC、server、client的相关基本配置:

PC2:

PC3:

Client1:

Client2:

Server2:

Server3:

交换机配置

生产区与办公区是两个不同区域用不同的Vlan,故在防火墙上面配置子接口,采用单臂路由的形式

先在LW7创建两个vlan

[Huawei]sys	
[Huawei]sysname LW7[LW7]vlan batch 2 to 3
Info: This operation may take a few seconds. Please wait for a moment...done.[LW7]int g0/0/2
[LW7-GigabitEthernet0/0/2]port link-type access 
[LW7-GigabitEthernet0/0/2]port default vlan 2[LW7-GigabitEthernet0/0/2]int g0/0/3	
[LW7-GigabitEthernet0/0/3]port link-type access 	
[LW7-GigabitEthernet0/0/3]port default vlan 3[LW7-GigabitEthernet0/0/3]int g0/0/1
[LW7-GigabitEthernet0/0/1]port link-type trunk 
[LW7-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
[LW7-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1
配置子接口:
[USG6000V1]int g1/0/3.1
[USG6000V1-GigabitEthernet1/0/3.1]ip address 10.0.1.1 24[USG6000V1-GigabitEthernet1/0/3.1]int g1/0/3.2
[USG6000V1-GigabitEthernet1/0/3.2]ip address 10.0.2.1 24

在FW1的web网页中做相关配置

添加安全区域(SC,BG,YK)

G1/0/3:配置对应的子接口

G1/0/3.1:

G1/0/3.2:

g1/0/4

g1/0/0

g1/0/1:

g1/0/2:

接口总体配置如下:

安全策略配置:

1.DMZ区内的服务器,办公区仅能在办公时间内(9:00 — 18:00)可以访问,生产区的设备全天可以访问

办公区:

生产区:

测试:

用生产区的PC ping Server1

2.生产区不允许访问互联网,办公区和游客区允许访问互联网:

3.办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
对10.0.2.10 禁止对DMZ区的http和ftp服务

4.办公区分布为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名验证;市场部需要用户绑定IP地址,访问DMZ区使用免认证;游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10
(1)研发部IP地址固定,访问DMZ区使用匿名验证

研发部地址为10.0.2.20

( 2)市场部需要用户绑定IP地址,访问DMZ区使用免认证

(3)游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10

创建游客使用的用户:

密码Admin@123

游客使用Guest用户登录,仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10:

5.生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用

批量创建用户:

密码openlab 123

用户不允许多人使用

 生产区用户组织架构

6.创建一个自定义管理员,要求不能拥有系统管理的功能

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/44818.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

sql常用语句:

1.联合查询 对表中的数据进行限制&#xff1b; 2.从一个表复制到另一个表 SELECT INTO 将数据复制到一个新表&#xff08;有的 DBMS 可以覆盖已经存在的表&#xff0c;这依赖于 所使用的具体 DBMS&#xff09; SELECT *&#xff08;字段&#xff09; INTO CustCopy FROM Cu…

高仿imtoken钱包源码/获取助记词/获取私钥/自动归集

简介&#xff1a; 高仿imtoken钱包/获取助记词/获取私钥/自动归集 带双端&#xff0c;无纯源码 下载源码

从微分方程组构建 bbr 模型

描述分析 bbr 的文字自 2016 年底起至今从空白到泛滥&#xff0c;我自己在期间贡献了不少&#xff0c;本文又是一篇&#xff0c;但不同的是&#xff0c;本文尝试用闭环的数学模型给出一个 bbr 的全貌&#xff0c;顺便和 aimd 做对比。 先看带宽特性 bw(t)&#xff0c;设瓶颈带…

等保2.0丨5分钟速览:小白都能理解的等保2.0简介

等保2.0的概念 等保2.0全称网络安全等级保护2.0制度&#xff0c;是我国网络安全领域的基本国策、基本制度。以1.0的规范为基础&#xff0c;等级保护标准以积极的防御为重点&#xff0c;由被动的防御发展为安全可信、动态感知和全过程的事前、事中和事后的全过程的全方位的审核…

函数式接口、匿名内部类、lambda表达式

一、函数式接口 只有一个抽象方法的接口叫函数式接口&#xff0c;不能有两个&#xff0c;也不能有方法实现。 FunctionalInterface注解标记&#xff0c;在idea中可以用这个注解验证是不是函数式接口。实现函数式接口可以转成lambda表达式。 二、匿名内部类 匿名内部类的格式&a…

7.11 cf div3 C

Problem - C - Codeforces 操作 根据给定的索引数组ind和字符串c&#xff0c;按照一定的顺序修改字符串s中对应位置的字符。具体来说&#xff0c;第i次操作会修改s中索引为indi的位置的字符&#xff0c;将其设置为ci。 将c字符串按照从小到大排序&#xff0c;替换ind数组所表…

可观察性优势:掌握当代编程技术

反馈循环是我们开发人员工作的关键。它们为我们提供信息&#xff0c;并让我们从用户过去和现在的行为中学习。这意味着我们可以根据过去的反应进行主动开发。 TestComplete 是一款自动化UI测试工具&#xff0c;这款工具目前在全球范围内被广泛应用于进行桌面、移动和Web应用的…

【DRAM存储器三十三】LPDDR4介绍--寻址、pin定义、命令真值表

👉个人主页:highman110 👉作者简介:一名硬件工程师,持续学习,不断记录,保持思考,输出干货内容 参考资料:《镁光LPDDR4数据手册》 、《JESD209-4B》 目录 LPDDR4的寻址 LPDDR4的pin脚定义 命令真值表 LPDDR4的寻址

【深度学习入门篇 ②】Pytorch完成线性回归!

&#x1f34a;嗨&#xff0c;大家好&#xff0c;我是小森( &#xfe61;ˆoˆ&#xfe61; )&#xff01; 易编橙终身成长社群创始团队嘉宾&#xff0c;橙似锦计划领衔成员、阿里云专家博主、腾讯云内容共创官、CSDN人工智能领域优质创作者 。 易编橙&#xff1a;一个帮助编程小…

vue3中antd上传图片组件及回显

实现效果&#xff1a; 调用后端接口后&#xff0c;后端返回的数据&#xff1a; 1.在项目components/base下新建UploadNew.vue文件&#xff08;上传图片公共组件&#xff09; <template><div class"clearfix"><a-uploadv-model:file-list"fileL…

发挥储能系统领域优势,海博思创坚定不移推动能源消费革命

随着新发展理念的深入贯彻&#xff0c;我国正全面落实“双碳”目标任务&#xff0c;通过积极转变能源消费方式&#xff0c;大幅提升能源利用效率&#xff0c;实现了以年均约3.3%的能源消费增长支撑了年均超过6%的国民经济增长。这一成就的背后&#xff0c;是我国能源结构的持续…

龙蜥Anolis OS基于开源项目制作openssh 9.8p1 rpm包 —— 筑梦之路

环境信息 制作过程和centos 7几乎没有区别&#xff0c;此处就不再赘述。 CentOS 7基于开源项目制作openssh9.8p1 rpm二进制包修复安全漏洞CVE-2024-6387 —— 筑梦之路_cve-2024-6387修复-CSDN博客 制作成果展示 tree RPMS/ RPMS/ └── x86_64├── openssh-9.8p1-1.an7.…

springboot3整合SpringSecurity实现登录校验与权限认证(万字超详细讲解)

目录 身份认证&#xff1a; 1、创建一个spring boot项目&#xff0c;并导入一些初始依赖&#xff1a; 2、由于我们加入了spring-boot-starter-security的依赖&#xff0c;所以security就会自动生效了。这时直接编写一个controller控制器&#xff0c;并编写一个接口进行测试&…

【面试题】防火墙的部署模式有哪些?

防火墙的部署模式多种多样&#xff0c;每种模式都有其特定的应用场景和优缺点。以下是防火墙的主要部署模式&#xff1a; 一、按工作模式分类 路由模式 定义&#xff1a;当防火墙位于内部网络和外部网络之间时&#xff0c;需要将防火墙与内部网络、外部网络以及DMZ&#xff0…

事半功倍大法!财务数据API让企业工作智能化

在快速变化的商业环境中&#xff0c;财务管理的自动化已成为企业提升效率、降低成本和增强决策质量的关键。财务API&#xff0c;作为现代企业架构中不可或缺的一部分&#xff0c;提供了一种强大的工具&#xff0c;使得企业能够无缝集成各种财务服务和应用&#xff0c;实现数据的…

数据分析理论

数据分析的概念 数据分析是指通过恰当的统计方法和分析手段&#xff0c;对数据进行收集汇总&#xff0c;并进行加工处理。对处理过后的有效数据进行分析&#xff0c;发现存在的问题&#xff0c;制定可行的方案、从而帮助人们采取更科学的行动 数据分析4个层次 著名咨询公司Gart…

【WEB前端2024】3D智体编程:乔布斯3D纪念馆-第59-agent自动获取喵星人资讯并保存至云文件夹

【WEB前端2024】3D智体编程&#xff1a;乔布斯3D纪念馆-第59-agent自动获取喵星人资讯并保存至云文件夹 使用dtns.network德塔世界&#xff08;开源的智体世界引擎&#xff09;&#xff0c;策划和设计《乔布斯超大型的开源3D纪念馆》的系列教程。dtns.network是一款主要由Java…

Oracle执行一条SQL的内部过程

一、SQL语句根据其功能主要可以分为以下几大类&#xff1a; 1. 数据查询语言&#xff08;DQL, Data Query Language&#xff09; 功能&#xff1a;用于从数据库中检索数据&#xff0c;常用于查询表中的记录。基本结构&#xff1a;主要由SELECT子句、FROM子句、WHERE子句等组成…

stm32h743 阿波罗v2 NetXduo http server CubeIDE+CubeMX

在这边要设置mpu的大小&#xff0c;要用到http server&#xff0c;mpu得设置的大一些 我是这么设置的&#xff0c;做一个参考 同样&#xff0c;在FLASH.ld里面也要对应修改&#xff0c;SECTIONS里增加.tcp_sec和 .nx_data两个区&#xff0c;我们用ram_d2区域去做网络&#xff…

生产英特尔CPU处理器繁忙的一天

早晨&#xff1a;准备与检查 7:00 AM - 起床与准备 工厂员工们早早起床&#xff0c;快速洗漱并享用早餐。为了在一天的工作中保持高效&#xff0c;他们会进行一些晨间锻炼&#xff0c;保持头脑清醒和身体活力。 8:00 AM - 到达工厂 员工们到达英特尔的半导体制造工厂&#…