要求一：生产区的设备在工作时间访问dmz区,仅可访问http服务器
要求二：办公区可以全天访问dmz区，其中10.0.2.20可以访问FTP服务器和HTTP服务器，10.0.2.10仅可以ping通10.0.3.10
要求三：办公区在访问服务器区时采用匿名认证的方式进行上网行为管理
要求四：办公区设备可以访问公网，其他区域不行

防火墙FW1和交换机SW2,pc端,server端,client端配置与之前文章相同

FW1

interface GigabitEthernet0/0/0

 ip address 192.168.10.1

service-manage all permit 

 SW2

vlan batch 2 3

interface GigabitEthernet0/0/1
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 2 to 3

interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 2

interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 3

 isp配置好接口IP和环回1.1.1.1/32

 网页登录防火墙并配置新建好接口和地址

注:配置接口时一定要下拉勾选HTTP和Ping服务

server1和server2开启http服务和ftp服务,此处步骤相同,只展示server1的http来示范

要求一：生产区的设备在工作时间访问dmz区,仅可访问http服务器

新建好sc区 to dmz区的安全策略

生产区的client端无法ping通,也无法使用ftp服务访问server1,但是可以访问server1的http服务

要求二：办公区可以全天访问dmz区，其中10.0.2.20可以访问FTP服务器和HTTP服务器，10.0.2.10仅可以ping通10.0.3.10

新建好两个安全策略如下,仅框中区域有改动

最后pc2可以ping通server1,但是server2无回应

client2可以访问ftp和http服务

要求三：办公区在访问服务器区时采用匿名认证的方式进行上网行为管理

在对象->用户->认证策略处新建认证策略,修改认证动作为匿名认证

然后再次使用client2访问server1的ftp服务,在线用户刷新后发现多了一条记录

要求四：办公区设备可以访问公网，其他区域不行

新建nat策略如下,配置好后,要先点击最下方蓝色的新建安全策略 ,新建的内容不用动直接确定

出现黄框提示则配置成功

使用pc2 ping isp的环回1.1.1.1/32成功