防火墙综合实验一

目录

实验要求

防火墙准备

 IP地址分配

需求一

需求二

需求三

需求四

需求五

需求六


实验要求

1、DMZ区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问。
2、生产区不允许访问互联网,办公区和游客区允许访问互联网。
3、办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10。
4、办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证;
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码为:Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址为:10.0.3.10.
5、生产区访问DMZ区时需要进行Protal认证,设立生产区用户组织框架:
   至少三个部门,每个部门三个用户,用户统一密码:openlab@123,首次登陆需要修改密码,用户过期时间设置为10天,用户不允许多人使用。
6、创建一个自定义管理员,要求不能拥有系统管理的功能。 

防火墙准备

在修改密码以及修改管理接口IP后采用带内管理模式中的Web管理方式进行配置。需要在虚拟机中添加一个Cloud,连接防火墙设备才能在电脑上访问到防火墙。

Cloud配置:

端口映射设置勾选双向通道,修改一下出入段编号添加就行了。 

添加网卡信息时尽量新建一个环回网卡 (IP地址和防火墙管理地址在同一个网段):

防火墙初始化配置:

[USG6000V1-GigabitEthernet0/0/0]dis ip int b
2024-07-09 09:04:56.030 
*down: administratively down
^down: standby
(l): loopback
(s): spoofing
(d): Dampening Suppressed
(E): E-Trunk down
The number of interface that is UP in Physical is 8
The number of interface that is DOWN in Physical is 2
The number of interface that is UP in Protocol is 3
The number of interface that is DOWN in Protocol is 7Interface                         IP Address/Mask      Physical   Protocol  
GigabitEthernet0/0/0              192.168.10.1/24      up         up        
GigabitEthernet1/0/0              unassigned           up         down      
GigabitEthernet1/0/1              unassigned           up         down      
GigabitEthernet1/0/2              unassigned           up         down      
GigabitEthernet1/0/3              unassigned           up         down      
GigabitEthernet1/0/4              unassigned           up         down      
GigabitEthernet1/0/5              unassigned           down       down      
GigabitEthernet1/0/6              unassigned           down       down      
NULL0                             unassigned           up         up(s)     
Virtual-if0                       unassigned           up         up(s)         
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit //开启所有服务

在浏览器网址栏输入管理接口的IP地址,然后便可以从Web连接到防火墙了:

登陆后就可以进行配置了。

补充:

管理用户名(初始):admin

管理用户密码(初始):Admin@123

 IP地址分配

Server1:

Server2:

Client1:

Client2:

PC1:

PC2:

PC4:

防火墙:

在网络模块的接口选项中进行IP配置:

 

生产区与办公区是两个不同的Vlan,故在防火墙上面配置子接口,采用单臂路由的形式。

 所以先在LSW3上面划分Vlan:

<Huawei>sys
[Huawei]sysname LSW3
[LSW3]vlan batch 2 to 3	
[LSW3]int g 0/0/2	
[LSW3-GigabitEthernet0/0/2]port link-type access 	
[LSW3-GigabitEthernet0/0/2]port default vlan 2
[LSW3-GigabitEthernet0/0/2]int g0/0/3
[LSW3-GigabitEthernet0/0/3]port link-type access 	
[LSW3-GigabitEthernet0/0/3]port default vlan 3
[LSW3-GigabitEthernet0/0/3]int g0/0/1
[LSW3-GigabitEthernet0/0/1]port link-type trunk 
[LSW3-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
[LSW3-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1

先新建办公区和生产区两个区域:

在安全区域中新建:

 

现在开始分配IP地址:

生产区及办公区IP地址:

 通向DMZ及游客区的IP地址:

 通向公网的接口(需要配置默认网关):

为了方便做测试,勾选:

补充:访问管理的优先级大于安全策略。

防火墙上的接口配置完成:

配置ISP网络IP地址:

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname ISP
[ISP]int g 0/0/0
[ISP-GigabitEthernet0/0/0]ip add 12.0.0.1 24//电信
[ISP-GigabitEthernet0/0/0]int g 0/0/1
[ISP-GigabitEthernet0/0/1]ip add 21.0.0.1 24//移动
[ISP-GigabitEthernet0/0/1]int l 0
[ISP-LoopBack0]ip add 1.1.1.1 24//测试地址
[ISP-LoopBack0]dis ip int b
*down: administratively down
^down: standby
(l): loopback
(s): spoofing
The number of interface that is UP in Physical is 5
The number of interface that is DOWN in Physical is 0
The number of interface that is UP in Protocol is 4
The number of interface that is DOWN in Protocol is 1Interface                         IP Address/Mask      Physical   Protocol  
GigabitEthernet0/0/0              12.0.0.1/24          up         up        
GigabitEthernet0/0/1              21.0.0.1/24          up         up        
GigabitEthernet0/0/2              unassigned           up         down      
LoopBack0                         1.1.1.1/24           up         up(s)     
NULL0                             unassigned           up         up(s)     

至此IP地址分配完成。

需求一

DMZ区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问。

使用安全策略:

新建:

修改work time时间:

新建:

 测试:

将server1模拟为HTTP服务器:

分别使用生产区Client 来访问服务器,并查看是否命中对应策略:

生产区:

        获取成功!

对用策略命中次数加1: 

 办公区:

        获取成功!

对应策略命中次数加1:

由此需求一完成。

需求二

 生产区不允许访问互联网,办公区和游客区允许访问互联网。

互联网统一设置是untrust区域,故只需要控制生产区和办公区通向untrust区域的流量。

新建策略:

 

测试:

        生产区访问互联网:

对应策略命中次数增加: 

        办公区访问互联网:

因为没做公私网地址转换,故ping不通:

但从策略命中次数可以看出:

        游客区访问互联网:

同上ping不通

直接来看策略命中次数:

需求二完成。

需求三

办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10。

新建地址:

    ​​​​​​

策略:

因为先前有一条办公区在工作时间允许访问DMZ区,故需要将新建策略放在这条策略之前且应先放通ping后再禁止其他服务:

测试:

server1模拟http服务器(上面已经设置过了)

server2模拟ftp服务器:

 访问http:

        访问失败!

策略命中:

访问ftp:

        访问失败!

策略命中: 

ping:

访问10.0.3.10:

        访问成功!

命中策略:

访问10.0.3.20:

        访问失败!

命中策略:

 需求三完成。

需求四

办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证;
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码为:Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址为:10.0.3.10。

建立办公区组及其下的市场部和研发部:

 

对研发部和市场部作认证策略:

这里将client2当作研发部,PC2当作市场部。

研发部IP地址固定,访问DMZ区使用匿名认证,:

 

 

创建游客区:

在游客区 创建Guest用户:

对游客区作安全策略:

 不允许访问DMZ和生产区:

允许访问外网(前面的需求已经实现了): 

 允许访问门户网站10.0.3.10:

 访问门户网站的优先级应当大于禁止访问DMZ区的优先级:

 测试:

游客访问外网:

        因为没做公私网转换,故不同,但能命中策略:

游客访问门户网站:

        成功!

命中策略:

游客访问DMZ区其他设备:

        失败!

命中策略:

 需求完成。

需求五

生产区访问DMZ区时需要进行Protal认证,设立生产区用户组织框架:
   至少三个部门,每个部门三个用户,用户统一密码:openlab@123,首次登陆需要修改密码,用户过期时间设置为10天,用户不允许多人使用。

创建生产区并设立框架:

        部门一:

 过期时间由计算得。

        部门二:

        部门三:

 最后将首次登陆修改密码打开:

用户框架就完成了:

 

 认证策略:

由此需求五完成。 

需求六

创建一个自定义管理员,要求不能拥有系统管理的功能。

新建:

        在角色中选中新建角色:

创建成功:

由此全部配置完成。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/869933.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

qq动态删了怎么恢复?五分钟找回您的QQ动态

在使用QQ空间时&#xff0c;我们经常会发现自己误删了一些重要的动态。这可能是由于手指滑动不慎或者误操作引起的。无论是珍贵的回忆还是重要的信息&#xff0c;一旦被删除&#xff0c;我们都希望能够找回来。那么&#xff0c;qq动态删了怎么恢复&#xff1f; 在本文中&#…

vue2/3代码格式化问题,看着太难受了

1.原本的代码&#xff1a; 格式化后的代码&#xff1a; 太难受了&#xff01; 2.原本的代码 格式化后的代码 格式化跟有病似的&#xff0c;看着非常难受&#xff01; 有没有什么插件解决&#xff01;&#xff1f;

你知道的和你不知道的DOM操作技巧

你知道的和你不知道的DOM操作技巧 亲爱的前端小伙伴们&#xff0c;今天我们来聊聊那些你可能知道或者不知道的DOM操作技巧。作为一名前端开发者&#xff0c;如果你还在为DOM操作头疼&#xff0c;那么这篇文章绝对能让你茅塞顿开。让我们一起来探索一下DOM的奥秘吧&#xff01;…

2024春秋杯网络安全联赛夏季赛-PWN

文章目录 stdout测试setvbuf(stdout, 0LL, 2, 0LL)绕过或者输出直到缓冲区满使用system("/bin/sh")或者onegadget即使setvbuf(stdout, 0LL, 0, 0LL);也能立即有回显参考[https://starrysky1004.github.io/2024/07/05/2024-shu-qi-xue-xi-ji-lu/#toc-heading-4](https…

搜维尔科技:【研究】Scalefit是一款可在工作场所自动处理3D姿势分析结果的软件

Scalefit是一款可在工作场所自动处理 3D 姿势分析结果的软件。这甚至可以在衡量员工的同时发生。然后&#xff0c;Scalefit 根据国际标准对姿势、压缩力和关节力矩进行分析和可视化。 3D姿势分析 如今&#xff0c;Xsens 技术可让您快速测量工作场所员工的态度。一套带有 17 个…

开源无人机从入门到炸机,共需要几步?

阿木实验室2024年的重磅新品 Prometheus 仿真笔记本已经上架有一段时间了&#xff0c;近日&#xff0c;该产品的研发负责人廖工受邀到直播间与开发者们深度解读了Prometheus仿真笔记本的设计理念。直播过程中&#xff0c;廖工不仅展示了该产品的功能demo&#xff0c;解答技术开…

leetcode:1332. 删除回文子序列(python3解法)

难度&#xff1a;简单 给你一个字符串 s&#xff0c;它仅由字母 a 和 b 组成。每一次删除操作都可以从 s 中删除一个回文 子序列。 返回删除给定字符串中所有字符&#xff08;字符串为空&#xff09;的最小删除次数。 「子序列」定义&#xff1a;如果一个字符串可以通过删除原字…

本地部署,图片细节处理大模型Tile Controlnet

目录 什么是 Tile ControlNet&#xff1f; 工作原理 应用场景 优势与挑战 优势 挑战 本地部署 运行结果 未来展望 结论 Tip&#xff1a; 在近年来的深度学习和计算机视觉领域&#xff0c;生成对抗网络&#xff08;GAN&#xff09;和扩散模型等技术取得了显著的进展。…

技术文件国产化准备

技术文档的本地化涉及调整内容以满足特定目标市场的文化、语言和技术要求。这一过程超越了简单的翻译&#xff0c;确保文件在文化上适合预期受众&#xff0c;在技术上准确无误。适当的准备对于成功的本地化至关重要&#xff0c;以下步骤概述了一种全面的方法。 分析目标受众 …

在Visutal Studio 2022中完成D3D12初始化

在Visutal Studio 2022中完成DirectX设备初始化 1 DirectX121.1 DirectX 简介1.2 DirectX SDK安装2 D3D12初始化2.1 创建Windwos桌面项目2.2 修改符合模式2.3 下载d3dx12.h文件2.4 创建一个异常类D3DException,定义抛出异常实例的宏ThrowIfFailed3 D3D12的初始化步骤3.1 初始化…

pytorch实现水果2分类(蓝莓,苹果)

1.数据集的路径&#xff0c;结构 dataset.py 目的&#xff1a; 输入&#xff1a;没有输入&#xff0c;路径是写死了的。 输出&#xff1a;返回的是一个对象&#xff0c;里面有self.data。self.data是一个列表&#xff0c;里面是&#xff08;图片路径.jpg&#xff0c;标签&…

JMH325【剑侠情缘3】第2版80级橙武网游单机更稳定亲测视频安装教学更新整合收集各类修改教学补丁兴趣可以慢慢探索

资源介绍&#xff1a; 是否需要虚拟机&#xff1a;是 文件大小&#xff1a;压缩包约14G 支持系统&#xff1a;win10、win11 硬件需求&#xff1a;运行内存8G 4核及以上CPU独立显卡 下载方式&#xff1a;百度网盘 任务修复&#xff1a; 1&#xff0c;掌门任务&#xff08…

【Android组件】封装加载弹框

&#x1f4d6;封装加载弹框 ✅1. 构造LoadingDialog✅2. 调用LoadingDialog 效果&#xff1a; ✅1. 构造LoadingDialog 构造LoadingDialog类涉及到设计模式中的建造者模式&#xff0c;进行链式调用&#xff0c;注重的是构建的过程&#xff0c;设置需要的属性。 步骤一&#x…

[数据结构] 归并排序快速排序 及非递归实现

&#xff08;&#xff09;标题&#xff1a;[数据结构] 归并排序&&快速排序 及非递归实现 水墨不写bug &#xff08;图片来源于网络&#xff09; 目录 (一)快速排序 类比递归谋划非递归 快速排序的非递归实现&#xff1a; &#xff08;二&#xff09;归并排序 归…

Elasticsearch文档_id以数组方式返回

背景需求是只需要文档的_id字段&#xff0c;并且_id组装成一个数组。 在搜索请求中使用 script_fields 来整理 _id 为数组输出&#xff1a; POST goods_info/_search?size0 {"query": {"term": {"brand": {"value": "MGC"…

明白这两大关键点,轻松脱单不再是难题!

很多未婚男女都渴望找到心仪的伴侣&#xff0c;建立稳定的情感关系&#xff0c;但往往在脱单的过程中跌跌撞撞。平时与同学、同事之间相处得很融洽&#xff0c;一旦遇到心仪的异性&#xff0c;情商直接掉线&#xff0c;难道情商也会选择性地发挥作用吗&#xff1f;其实&#xf…

什么牌子的开放式耳机好用?南卡、Cleer、小米、开石超值机型力荐!

​开放式耳机在如今社会中已经迅速成为大家购买耳机的新趋势&#xff0c;深受喜欢听歌和热爱运动的人群欢迎。当大家谈到佩戴的稳固性时&#xff0c;开放式耳机都会收到一致好评。对于热爱运动的人士而言&#xff0c;高品质的开放式耳机无疑是理想之选。特别是在近年来的一些骑…

AnimateLCM:高效生成连贯真实的视频

视频扩散模型因其能够生成连贯且高保真的视频而日益受到关注。然而&#xff0c;迭代去噪过程使得这类模型计算密集且耗时&#xff0c;限制了其应用范围。香港中文大学 MMLab、Avolution AI、上海人工智能实验室和商汤科技公司的研究团队提出了AnimateLCM&#xff0c;这是一种允…

电子电气架构 --- 关于DoIP的一些闲思 上

我是穿拖鞋的汉子,魔都中坚持长期主义的汽车电子工程师。 老规矩,分享一段喜欢的文字,避免自己成为高知识低文化的工程师: 屏蔽力是信息过载时代一个人的特殊竞争力,任何消耗你的人和事,多看一眼都是你的不对。非必要不费力证明自己,无利益不试图说服别人,是精神上的节…

JavaDS —— 单链表 与 LinkedList

顺序表和链表区别 ArrayList &#xff1a; 底层使用连续的空间&#xff0c;可以随机访问某下标的元素&#xff0c;时间复杂度为O&#xff08;1&#xff09; 但是在插入和删除操作的时候&#xff0c;需要将该位置的后序元素整体往前或者向后移动&#xff0c;时间复杂度为O&…