要求一:生产区的设备在工作时间访问dmz区,仅可访问http服务器
要求二:办公区可以全天访问dmz区,其中10.0.2.20可以访问FTP服务器和HTTP服务器,10.0.2.10仅可以ping通10.0.3.10
要求三:办公区在访问服务器区时采用匿名认证的方式进行上网行为管理
要求四:办公区设备可以访问公网,其他区域不行
防火墙FW1和交换机SW2,pc端,server端,client端配置与之前文章相同
FW1
interface GigabitEthernet0/0/0
ip address 192.168.10.1
service-manage all permit
SW2
vlan batch 2 3
interface GigabitEthernet0/0/1
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 2 to 3interface GigabitEthernet0/0/2
port link-type access
port default vlan 2interface GigabitEthernet0/0/3
port link-type access
port default vlan 3
isp配置好接口IP和环回1.1.1.1/32
网页登录防火墙并配置新建好接口和地址
注:配置接口时一定要下拉勾选HTTP和Ping服务
server1和server2开启http服务和ftp服务,此处步骤相同,只展示server1的http来示范
要求一:生产区的设备在工作时间访问dmz区,仅可访问http服务器
新建好sc区 to dmz区的安全策略
生产区的client端无法ping通,也无法使用ftp服务访问server1,但是可以访问server1的http服务
要求二:办公区可以全天访问dmz区,其中10.0.2.20可以访问FTP服务器和HTTP服务器,10.0.2.10仅可以ping通10.0.3.10
新建好两个安全策略如下,仅框中区域有改动
最后pc2可以ping通server1,但是server2无回应
client2可以访问ftp和http服务
要求三:办公区在访问服务器区时采用匿名认证的方式进行上网行为管理
在对象->用户->认证策略处新建认证策略,修改认证动作为匿名认证
然后再次使用client2访问server1的ftp服务,在线用户刷新后发现多了一条记录
要求四:办公区设备可以访问公网,其他区域不行
新建nat策略如下,配置好后,要先点击最下方蓝色的新建安全策略 ,新建的内容不用动直接确定
出现黄框提示则配置成功
使用pc2 ping isp的环回1.1.1.1/32成功