防火墙综合实验一

目录

实验要求

防火墙准备

 IP地址分配

需求一

需求二

需求三

需求四

需求五

需求六


实验要求

1、DMZ区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问。
2、生产区不允许访问互联网,办公区和游客区允许访问互联网。
3、办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10。
4、办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证;
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码为:Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址为:10.0.3.10.
5、生产区访问DMZ区时需要进行Protal认证,设立生产区用户组织框架:
   至少三个部门,每个部门三个用户,用户统一密码:openlab@123,首次登陆需要修改密码,用户过期时间设置为10天,用户不允许多人使用。
6、创建一个自定义管理员,要求不能拥有系统管理的功能。 

防火墙准备

在修改密码以及修改管理接口IP后采用带内管理模式中的Web管理方式进行配置。需要在虚拟机中添加一个Cloud,连接防火墙设备才能在电脑上访问到防火墙。

Cloud配置:

端口映射设置勾选双向通道,修改一下出入段编号添加就行了。 

添加网卡信息时尽量新建一个环回网卡 (IP地址和防火墙管理地址在同一个网段):

防火墙初始化配置:

[USG6000V1-GigabitEthernet0/0/0]dis ip int b
2024-07-09 09:04:56.030 
*down: administratively down
^down: standby
(l): loopback
(s): spoofing
(d): Dampening Suppressed
(E): E-Trunk down
The number of interface that is UP in Physical is 8
The number of interface that is DOWN in Physical is 2
The number of interface that is UP in Protocol is 3
The number of interface that is DOWN in Protocol is 7Interface                         IP Address/Mask      Physical   Protocol  
GigabitEthernet0/0/0              192.168.10.1/24      up         up        
GigabitEthernet1/0/0              unassigned           up         down      
GigabitEthernet1/0/1              unassigned           up         down      
GigabitEthernet1/0/2              unassigned           up         down      
GigabitEthernet1/0/3              unassigned           up         down      
GigabitEthernet1/0/4              unassigned           up         down      
GigabitEthernet1/0/5              unassigned           down       down      
GigabitEthernet1/0/6              unassigned           down       down      
NULL0                             unassigned           up         up(s)     
Virtual-if0                       unassigned           up         up(s)         
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit //开启所有服务

在浏览器网址栏输入管理接口的IP地址,然后便可以从Web连接到防火墙了:

登陆后就可以进行配置了。

补充:

管理用户名(初始):admin

管理用户密码(初始):Admin@123

 IP地址分配

Server1:

Server2:

Client1:

Client2:

PC1:

PC2:

PC4:

防火墙:

在网络模块的接口选项中进行IP配置:

 

生产区与办公区是两个不同的Vlan,故在防火墙上面配置子接口,采用单臂路由的形式。

 所以先在LSW3上面划分Vlan:

<Huawei>sys
[Huawei]sysname LSW3
[LSW3]vlan batch 2 to 3	
[LSW3]int g 0/0/2	
[LSW3-GigabitEthernet0/0/2]port link-type access 	
[LSW3-GigabitEthernet0/0/2]port default vlan 2
[LSW3-GigabitEthernet0/0/2]int g0/0/3
[LSW3-GigabitEthernet0/0/3]port link-type access 	
[LSW3-GigabitEthernet0/0/3]port default vlan 3
[LSW3-GigabitEthernet0/0/3]int g0/0/1
[LSW3-GigabitEthernet0/0/1]port link-type trunk 
[LSW3-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
[LSW3-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1

先新建办公区和生产区两个区域:

在安全区域中新建:

 

现在开始分配IP地址:

生产区及办公区IP地址:

 通向DMZ及游客区的IP地址:

 通向公网的接口(需要配置默认网关):

为了方便做测试,勾选:

补充:访问管理的优先级大于安全策略。

防火墙上的接口配置完成:

配置ISP网络IP地址:

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname ISP
[ISP]int g 0/0/0
[ISP-GigabitEthernet0/0/0]ip add 12.0.0.1 24//电信
[ISP-GigabitEthernet0/0/0]int g 0/0/1
[ISP-GigabitEthernet0/0/1]ip add 21.0.0.1 24//移动
[ISP-GigabitEthernet0/0/1]int l 0
[ISP-LoopBack0]ip add 1.1.1.1 24//测试地址
[ISP-LoopBack0]dis ip int b
*down: administratively down
^down: standby
(l): loopback
(s): spoofing
The number of interface that is UP in Physical is 5
The number of interface that is DOWN in Physical is 0
The number of interface that is UP in Protocol is 4
The number of interface that is DOWN in Protocol is 1Interface                         IP Address/Mask      Physical   Protocol  
GigabitEthernet0/0/0              12.0.0.1/24          up         up        
GigabitEthernet0/0/1              21.0.0.1/24          up         up        
GigabitEthernet0/0/2              unassigned           up         down      
LoopBack0                         1.1.1.1/24           up         up(s)     
NULL0                             unassigned           up         up(s)     

至此IP地址分配完成。

需求一

DMZ区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问。

使用安全策略:

新建:

修改work time时间:

新建:

 测试:

将server1模拟为HTTP服务器:

分别使用生产区Client 来访问服务器,并查看是否命中对应策略:

生产区:

        获取成功!

对用策略命中次数加1: 

 办公区:

        获取成功!

对应策略命中次数加1:

由此需求一完成。

需求二

 生产区不允许访问互联网,办公区和游客区允许访问互联网。

互联网统一设置是untrust区域,故只需要控制生产区和办公区通向untrust区域的流量。

新建策略:

 

测试:

        生产区访问互联网:

对应策略命中次数增加: 

        办公区访问互联网:

因为没做公私网地址转换,故ping不通:

但从策略命中次数可以看出:

        游客区访问互联网:

同上ping不通

直接来看策略命中次数:

需求二完成。

需求三

办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10。

新建地址:

    ​​​​​​

策略:

因为先前有一条办公区在工作时间允许访问DMZ区,故需要将新建策略放在这条策略之前且应先放通ping后再禁止其他服务:

测试:

server1模拟http服务器(上面已经设置过了)

server2模拟ftp服务器:

 访问http:

        访问失败!

策略命中:

访问ftp:

        访问失败!

策略命中: 

ping:

访问10.0.3.10:

        访问成功!

命中策略:

访问10.0.3.20:

        访问失败!

命中策略:

 需求三完成。

需求四

办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证;
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码为:Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址为:10.0.3.10。

建立办公区组及其下的市场部和研发部:

 

对研发部和市场部作认证策略:

这里将client2当作研发部,PC2当作市场部。

研发部IP地址固定,访问DMZ区使用匿名认证,:

 

 

创建游客区:

在游客区 创建Guest用户:

对游客区作安全策略:

 不允许访问DMZ和生产区:

允许访问外网(前面的需求已经实现了): 

 允许访问门户网站10.0.3.10:

 访问门户网站的优先级应当大于禁止访问DMZ区的优先级:

 测试:

游客访问外网:

        因为没做公私网转换,故不同,但能命中策略:

游客访问门户网站:

        成功!

命中策略:

游客访问DMZ区其他设备:

        失败!

命中策略:

 需求完成。

需求五

生产区访问DMZ区时需要进行Protal认证,设立生产区用户组织框架:
   至少三个部门,每个部门三个用户,用户统一密码:openlab@123,首次登陆需要修改密码,用户过期时间设置为10天,用户不允许多人使用。

创建生产区并设立框架:

        部门一:

 过期时间由计算得。

        部门二:

        部门三:

 最后将首次登陆修改密码打开:

用户框架就完成了:

 

 认证策略:

由此需求五完成。 

需求六

创建一个自定义管理员,要求不能拥有系统管理的功能。

新建:

        在角色中选中新建角色:

创建成功:

由此全部配置完成。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/869933.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

qq动态删了怎么恢复?五分钟找回您的QQ动态

在使用QQ空间时&#xff0c;我们经常会发现自己误删了一些重要的动态。这可能是由于手指滑动不慎或者误操作引起的。无论是珍贵的回忆还是重要的信息&#xff0c;一旦被删除&#xff0c;我们都希望能够找回来。那么&#xff0c;qq动态删了怎么恢复&#xff1f; 在本文中&#…

vue2/3代码格式化问题,看着太难受了

1.原本的代码&#xff1a; 格式化后的代码&#xff1a; 太难受了&#xff01; 2.原本的代码 格式化后的代码 格式化跟有病似的&#xff0c;看着非常难受&#xff01; 有没有什么插件解决&#xff01;&#xff1f;

你知道的和你不知道的DOM操作技巧

你知道的和你不知道的DOM操作技巧 亲爱的前端小伙伴们&#xff0c;今天我们来聊聊那些你可能知道或者不知道的DOM操作技巧。作为一名前端开发者&#xff0c;如果你还在为DOM操作头疼&#xff0c;那么这篇文章绝对能让你茅塞顿开。让我们一起来探索一下DOM的奥秘吧&#xff01;…

2024春秋杯网络安全联赛夏季赛-PWN

文章目录 stdout测试setvbuf(stdout, 0LL, 2, 0LL)绕过或者输出直到缓冲区满使用system("/bin/sh")或者onegadget即使setvbuf(stdout, 0LL, 0, 0LL);也能立即有回显参考[https://starrysky1004.github.io/2024/07/05/2024-shu-qi-xue-xi-ji-lu/#toc-heading-4](https…

搜维尔科技:【研究】Scalefit是一款可在工作场所自动处理3D姿势分析结果的软件

Scalefit是一款可在工作场所自动处理 3D 姿势分析结果的软件。这甚至可以在衡量员工的同时发生。然后&#xff0c;Scalefit 根据国际标准对姿势、压缩力和关节力矩进行分析和可视化。 3D姿势分析 如今&#xff0c;Xsens 技术可让您快速测量工作场所员工的态度。一套带有 17 个…

开源无人机从入门到炸机,共需要几步?

阿木实验室2024年的重磅新品 Prometheus 仿真笔记本已经上架有一段时间了&#xff0c;近日&#xff0c;该产品的研发负责人廖工受邀到直播间与开发者们深度解读了Prometheus仿真笔记本的设计理念。直播过程中&#xff0c;廖工不仅展示了该产品的功能demo&#xff0c;解答技术开…

Postman API性能测试:解锁高级技巧的宝库

&#x1f680; Postman API性能测试&#xff1a;解锁高级技巧的宝库 在API开发和测试过程中&#xff0c;性能测试是确保API稳定性和可靠性的关键环节。Postman作为API测试的强大工具&#xff0c;提供了多种性能测试功能和高级技巧&#xff0c;帮助开发者深入分析API的性能表现…

掌握Conda配置术:conda config命令的深度指南

掌握Conda配置术&#xff1a;conda config命令的深度指南 引言 Conda是一个功能强大的包管理器和环境管理器&#xff0c;广泛用于Python和其他科学计算语言的依赖管理。conda config命令是Conda套件中用于配置和自定义Conda行为的关键工具。通过这个命令&#xff0c;用户可以…

leetcode:1332. 删除回文子序列(python3解法)

难度&#xff1a;简单 给你一个字符串 s&#xff0c;它仅由字母 a 和 b 组成。每一次删除操作都可以从 s 中删除一个回文 子序列。 返回删除给定字符串中所有字符&#xff08;字符串为空&#xff09;的最小删除次数。 「子序列」定义&#xff1a;如果一个字符串可以通过删除原字…

less和sass有啥区别哪个更加好

Less 和 Sass&#xff08;特别是其最流行的变体 SCSS&#xff09;都是 CSS 预处理器&#xff0c;它们扩展了 CSS 的功能&#xff0c;如变量、嵌套规则、混合&#xff08;Mixins&#xff09;、函数等&#xff0c;以编程方式生成 CSS。它们之间的主要区别在于语法、功能和工具生态…

本地部署,图片细节处理大模型Tile Controlnet

目录 什么是 Tile ControlNet&#xff1f; 工作原理 应用场景 优势与挑战 优势 挑战 本地部署 运行结果 未来展望 结论 Tip&#xff1a; 在近年来的深度学习和计算机视觉领域&#xff0c;生成对抗网络&#xff08;GAN&#xff09;和扩散模型等技术取得了显著的进展。…

理解和解决Spring框架中的事务自调用问题

在使用Spring框架进行企业级应用开发时&#xff0c;事务管理是保证数据一致性和系统稳定性的关键技术。Spring提供的Transactional注解允许开发者轻松声明方法的事务行为&#xff0c;但不正确的使用可能导致事务不被正确触发&#xff0c;尤其是在方法自调用的场景中。本文将深入…

NAND Flash 常用命令

NAND Flash 常用命令 NAND Flash 常用命令主要包括以下几类&#xff1a;重置命令、读取信息命令、状态命令、页面读取命令、页面编程命令、拷贝命令、擦除命令。具体命令如下&#xff1a; 重置命令&#xff1a; ResetSynchronous ResetReset LUNHard Reset 读取信息命令&am…

技术文件国产化准备

技术文档的本地化涉及调整内容以满足特定目标市场的文化、语言和技术要求。这一过程超越了简单的翻译&#xff0c;确保文件在文化上适合预期受众&#xff0c;在技术上准确无误。适当的准备对于成功的本地化至关重要&#xff0c;以下步骤概述了一种全面的方法。 分析目标受众 …

Elasticsearch7.5.2 常用rest api与elasticsearch库

目录 一、rest api 1. 新建索引 2. 删除索引 3. 插入单条数据 4. 更新单条数据 5. 删除单条数据 6. 查询数据 二、python elasticsearch库 1. 新建索引 一、rest api 1. 新建索引 请求方式&#xff1a;PUT 请求URL&#xff1a;http://ip/&#xff08;your_index_nam…

二十四、常用API之Object

前面学习的Java的语法基础&#xff0c; 后面的几篇介绍一下Java的常用API 那么什么是API&#xff1f;&#xff08;Application Programming Interface,应用程序编程接口&#xff09; API就是一组用于构建和集成应用软件的定义和协议。 学习类的过程就是学习Java的过程&#xff…

JAVA实现智能问答助手-GPT4o+向量数据库+FunctionCalling

本文基于上一篇文章GPT向量数据库Function calling垂直领域小助手进行了改进&#xff0c;对其中的循环请求GPT、FuctionCalling循环请求、MSGList缩容等进行了修改和优化&#xff0c;使的相关请求更加抽象和方便后续做延伸。文章中涉及业务属性的内容已经进行了过滤&#xff0c…

在Visutal Studio 2022中完成D3D12初始化

在Visutal Studio 2022中完成DirectX设备初始化 1 DirectX121.1 DirectX 简介1.2 DirectX SDK安装2 D3D12初始化2.1 创建Windwos桌面项目2.2 修改符合模式2.3 下载d3dx12.h文件2.4 创建一个异常类D3DException,定义抛出异常实例的宏ThrowIfFailed3 D3D12的初始化步骤3.1 初始化…

pytorch实现水果2分类(蓝莓,苹果)

1.数据集的路径&#xff0c;结构 dataset.py 目的&#xff1a; 输入&#xff1a;没有输入&#xff0c;路径是写死了的。 输出&#xff1a;返回的是一个对象&#xff0c;里面有self.data。self.data是一个列表&#xff0c;里面是&#xff08;图片路径.jpg&#xff0c;标签&…

JMH325【剑侠情缘3】第2版80级橙武网游单机更稳定亲测视频安装教学更新整合收集各类修改教学补丁兴趣可以慢慢探索

资源介绍&#xff1a; 是否需要虚拟机&#xff1a;是 文件大小&#xff1a;压缩包约14G 支持系统&#xff1a;win10、win11 硬件需求&#xff1a;运行内存8G 4核及以上CPU独立显卡 下载方式&#xff1a;百度网盘 任务修复&#xff1a; 1&#xff0c;掌门任务&#xff08…