华为USG6000V防火墙v1

目录

一、实验拓扑图

二、要求

三、IP地址规划

四、实验配置

1🤣防火墙FW1web服务配置

2.网络配置

 要求1:DMZ区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问

 要求2:生产区不允许访问互联网,办公区和游客区允许访问互联网

要求3:办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和http服务器,仅能ping通10.0.3.10

要求4:办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证;游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10

要求5:生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时设定为10天,用户不允许多人使用

要求6:创建一个自定义管理员,要求不能拥有系统管理的功能


一、实验拓扑图

二、要求

1,DMZ区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问。

2,生产区不允许访问互联网,办公区和游客区允许访问互联网

3,办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和http服务器,仅能ping通10.0.3.10,

4,办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证;

游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10

5,生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次

登录需要修改密码,用户过期时设定为10天,用户不允许多人使用

6.创建一个自定义管理员,要求不能拥有系统管理的功能

(分公司的暂时不做)

三、IP地址规划

办公区:

划分在vlan2

IP地址:10.0.2.0/24网段

生产区:

划分在vlan3

IP地址:10.0.1.0/24网段

游客区:

IP地址:10.0.4.0/24

DMZ服务器区:

IP地址:10.0.3.0/24

外网专线:

联通:12.0.0.0/24

电信:21.0.0.0/24

环回模拟外网千千万万网段

1.1.1.1 32

防火墙管理:

IP地址:192.168.100.0/24

  • 实验思路
  1. 首先要确保总司这边的网络能够正常通信
  2. 其次根据要求做相应的防火墙策略

四、实验配置

1😀交换机LSW3

[Huawei]vlan batch 2 3

#

interface GigabitEthernet0/0/3

 port link-type access

 port default vlan 2

#

interface GigabitEthernet0/0/2

 port link-type access

 port default vlan 3

#

interface GigabitEthernet0/0/1

 port link-type trunk

 port trunk allow-pass vlan 2 to 3

#

1🤣防火墙FW1web服务配置

1.启动防火墙之后华为默认登录账号admin,密码:Admin@123;初次登录需要修改密码

2.进入管理口配置web服务登录设置

[USG6000V1-GigabitEthernet0/0/0]service-manage all permit

3.防火墙默认管理端口g0/0/0,管理地址为192.168.0.1/24 我这里修改了管理地址,再将本地的环回口配置在同一网段即可通信

这里通过换回网卡连接将防火墙的管理端口连接到本地,通过web界面进行管理

4.在浏览器界面地址栏位置输入防火墙的管理地址即可登录

输入192.168.100.3

用户名使用admin

密码为修改之后的密码

登录之后进行设置界面

2.网络配置

在网络-->接口-->安全区域首先划分出安全区域

默认有四个区域

我们还需要划分出三个区域,分别是生产区、办公区、游客区(以办公区为例)

划分之后的区域

接口-->进行IP地址的设置

以DMZ区为例:

DMZ区连接防火墙的G1/0/0,所以点GE1/0/0接口进行设置

这里最好先将启动访问管理里的ping勾选,方便测试,后期为了安全可以取消勾选 

而生产区和办公区要在不同的vlan,这里充当网关,所以我们可以使用子接口

新建-->

其他几个区域也是类似的配置方法,配完之后的

 要求1:DMZ区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问

(1)要求1说让办公区在工作时间能够访问DMZ区,那就新建安全策略

策略-->安全策略-->新建安全策略

注意:源安全区域选之前建好的办公区,目的区选DMZ区,源地址写办公区的IP地址

源地址-->新建-->新建地址

目的地址可以直接填写DMZ区的IP地址,也可以新建地址都行,用户这里先不写,后面在进行修改,服务这里因为是服务器区,所以我们要勾选我们需要的服务,不需要的我们就不勾选,默认这边就访问了其他的服务,时间段这里新建时间段,选我们工作期间的时间,动作选允许,之后选确定。

我们现在可以区服务器上开启http服务,(服务器要配置IP地址及网关)

在办公区访问DMZ区(同样这里也要配置IP地址和网关)

我要到的一个问题:

再配置玩策略之后,策略显示

这是我设置的是上班时间为09:00-18:00,但是这里的系统时间忘记设置,系统时间现在不在上班时间,所以这个策略就没有生效。这里需要设置一下系统时间

系统-->配置-->时钟配置-->配置方法

选从本地系统同步时间,点击应用,这时策略才会生效,我们才能正常访问服务器

(2)生产区全天都能访问DMZ 区

这里我的思路和之前一样,只是在新建策略时将时间段改为any,就能正常访问。

 要求2:生产区不允许访问互联网,办公区和游客区允许访问互联网

(1)生产区不允许访问互联网,而华为防火墙这里默认都是拒绝访问,而办公区和游客区允许访问互联网,那我们只需要放通办公区和游客区就行。

这里我选用NAT技术

这是连接联通专线的接口,安全区域选择untrust区,默认网关指向ISP,路由表中会产生有一条缺省指向联通专线,

策略

策略-->NAT策略-->新建

策略-->安全策略-->新建安全策略

这样我们就可以正常访问外网,而生产区访问不了

要求3:办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和http服务器,仅能ping通10.0.3.10

这里单拎出来做了策略

放第一位,因为这个策略是自上向下匹配,我将ftp、http服务和其他服务器的访问都禁止掉,仅ping10.0.3.10再做一个策略

要求4:办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证;游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10

要求5:生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时设定为10天,用户不允许多人使用

这里要对用户登录进行认证,那就创建用户,先创认证域,再加入用户

对象-->用户-->认证域-->新建

创建完之后这里会出现一个认证域

进去我们创建用户

Open-->新建

先创用户组,再创各个部门,再创用户同时将用户加入对应的用户组这样方便以后的管理

这里用到了新建用户组,批量新建用户,新建用户。

题中要求研发部IP地址固定,这里选单向绑定;市场部需要用户绑定IP地址,这里选双向绑定,该IP地址只能该用户登录,其他用户想用这台主机是不行的,即为固定IP

这里有个小点是:要求密码设为openlan123,但是默认设置要求大小写加数字,我们将密码这里设为中级,使用小写加数字就可以设置

配置认证策略,题中说研发部去访问DMZ区使用匿名登录,而市场部使用免认证,生产部访问进行protal认证,如图配置

账号国企时间在创建用户时设置,在用户属性选项中,要求设置为10天,不允许多人使用,

这些要求都在这里进行设置即可。

游客账号设置

同时允许多人登录这个账号

游客仅有访问公司门户和上网的权限,这里游客不能访问DMZ和生产区,那我们就只放通办公区和门户网站

这样其他的服务就通不了咯,同时他们还能访问外网

验证:

要求6:创建一个自定义管理员,要求不能拥有系统管理的功能

系统-->管理员-->管理员角色创建

新建管理员

管理员登录

权限发生变化

实验到这里就全部做完了,不完美的就是这里的用户验证不完全,不知道做的配置和策略能不能完全成功。其他的思路只要清晰,这个配置起来不难吧!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/871644.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

电影《头脑特工队2》观后感

上周看了电影《头脑特工队2》,整体是非常不错的,一个大脑中,想象的世界。 (1)人格-多元政体理论 记得前几年是看过《头脑特工队1》的,当时电影是非常出名的,当时有很多研究理论,都…

【练习】分治--归并排序

🎥 个人主页:Dikz12🔥个人专栏:算法(Java)📕格言:吾愚多不敏,而愿加学欢迎大家👍点赞✍评论⭐收藏 目录 归并排序 代码实现 交易逆序对的总数 题目描述 ​编辑 题解 代码实…

JAVA从入门到精通之入门初阶(二)

1. 自动类型转换 自动类型转换:类型范围小的变量可以赋值给类型范围大的变量 byte->int public class java_7_10 {public static void main(String[] args) {//自动类型转换//类型范围小的变量可以赋值给类型范围大的变量 byte->intbyte a 12;int b a;//自动…

C语言 ——— 输入两个正整数,求出最小公倍数

目录 何为最小公倍数 题目要求 代码实现 方法一:暴力求解法(不推荐) 方法二:递乘试摸法(推荐) 何为最小公倍数 最小公倍数是指两个或者多个正整数(除了0以外)的最小的公共倍数…

【LeetCode】205. 同构字符串

认真地分类讨论,评判复杂度,再决定是否要写代码执行。整套流程干净利落,不存在主观臆想,也不会有对事实结果计算的巨大偏差。 1. 题目 2. 分析 这里提供一版可以解题的思路。 定义两个词典,这两个词典分别记录s字符串…

DHC2-2多时段电子式时间继电器 带底座 约瑟JOSEF

DHC2多时段电子式时间继电器 DHC2-H多时段电子式时间继电器 DHC2-1多时段电子式时间继电器 DHC2-2多时段电子式时间继电器 DHC2-3多时段电子式时间继电器 一、特点 超小型面板尺寸DIN 36X36mm(DHC1)、DIN 48X48m(DHC2) 有延时吸合、延时释放、等周期循环三种规格 可替代…

kibana连接elasticsearch(版本8.11.3)

前言 elasticsearch在8版本之后就出现了很大变化,由于kibana版本需要需elasticsearch进行版本对象,kibana连接方式也出现了很大变化。我在这里记录下自己的踩坑记录。 服务部署 本文中的服务都是在docker环境中部署的。其中elasticsearch版本和kibana版…

5G-A通感融合赋能低空经济-RedCap芯片在无人机中的应用

1. 引言 随着低空经济的迅速崛起,无人机在物流、巡检、农业等多个领域的应用日益广泛。低空飞行器的高效、安全通信成为制约低空经济发展的关键技术瓶颈。5G-A通感一体化技术通过整合通信与感知功能,为低空网络提供了强大的技术支持。本文探讨了5G-A通感…

OpenCV 寻找棋盘格角点及绘制

目录 一、概念 二、代码 2.1实现步骤 2.2完整代码 三、实现效果 一、概念 寻找棋盘格角点(Checkerboard Corners)是计算机视觉中相机标定(Camera Calibration)过程的重要步骤。 OpenCV 提供了函数 cv2.findChessboardCorners…

什么? CSS 将支持 if() 函数了?

CSS Working Group 简称 CSSWG, 在近期的会议中决定将 if() 添加到 CSS Values Module Level 5 中。 详情可见:css-meeting-bot 、[css-values] if() function 当我看到这个消息的时候,心中直呼这很逆天了,我们知道像 less 这些 css 这些预…

用Speedtest-Tracker跟踪上网速度(续)

什么是 Speedtest Tracker ? Speedtest Tracker 是一款自托管互联网性能跟踪应用程序,可针对 Ookla 的 Speedtest 服务运行速度测试检查。 之前老苏介绍的另一个 https://github.com/henrywhitaker3/Speedtest-Tracker 已被放弃。现在这个是积极维护的替代品&#…

STM32编写代码之嵌入式常用位操作

在单片机编程的过程中&#xff0c;经常会遇到位操作进行赋值&#xff0c;例如 //程序1 int a 0,b 0x5b,c 0; //1 for (i 0; i < 8; i ) { //2a b & (0x80 >> i)); //3 c | (0x80 >> i); //4 } 这些位操作是什么意思呢&#xff1f…

GuLi商城-商品服务-API-品牌管理-JSR303自定义校验注解

自定义注解规则: 可以参考@NotNull注解 package com.nanjing.common.valid;import javax.validation.Constraint; import javax.validation.Payload; import java.lang.annotation.Documented; import java.lang.annotation.Retention; import java.lang.annotation.Target;i…

跨域解决方案

跨域 当发起请求的协议号、域名、端口号中有一个不一样时就会导致跨域 跨域解决方案 分为两个方面&#xff0c;是否可以修改服务器端。 可以修改服务器端&#xff1a;cors方案、jsonp方案 不可以修改服务器端&#xff1a; 使用代理&#xff1a; 因为跨域主要是针对浏览器…

T113-i系统启动速度优化方案

背景: 硬件:T113-i + emmc 软件:uboot2018 + linux5.4 + QT应用 分支:longan 问题: 全志T113-i的官方系统软件编译出的固件,开机启动时间10多秒,启动时间太长,远远超过行业内linux系统的开机速度,需要进一步优化。 T113-i 优化后启动速度实测数据 启动阶段启动时间(…

Fastgpt本地使用Docker Compose 快速部署

使用 Docker Compose 快速部署 FastGPT 部署架构图 MongoDB:用于存储除了向量外的各类数据 PostgreSQL/Milvus:存储向量数据 OneAPI: 聚合各类 AI API,支持多模型调用 (任何模型问题,先自行通过 OneAPI 测试校验) 推荐配置 PgVector版本 体验测试首选 环境最低配置(单…

MySql性能调优04-[MySql事务与锁机制原理]

MySql事务与锁机制原理 从undo与redo日志&#xff0c;理解事务底层ACID底层原理事务四大隔离级别事务底层锁机制和MVCC并发优化机制串行化底层实现机制读已提交和可重复读底层实现MVCC机制详解脏写问题(重要)读已提交&#xff1f;实现机制 BufferPool缓存与redo日志是如何提升事…

海康相机GrabImage

#include <stdio.h> #include <Windows.h> #include <process.h> #include <conio.h> #include "MvCameraControl.h"bool g_bExit false;// ch:等待按键输入 | en:Wait for key press void WaitForKeyPress(void) {while(!_kbhit()){Sleep(…

6.S081的Lab学习——Lab11: Network

文章目录 前言Network提示&#xff1a;实现e1000_transmit的一些提示&#xff1a;实现e1000_recv的一些提示&#xff1a; 解析 总结 前言 一个本硕双非的小菜鸡&#xff0c;备战24年秋招。打算尝试6.S081&#xff0c;将它的Lab逐一实现&#xff0c;并记录期间心酸历程。 代码下…

STM32MP135裸机编程:支持内存非对齐访问

0 前言 使用stm32官方可视化初始化代码生成工具STM32CubeMX生成的工程GCC编译选项默认不支持非对齐访问&#xff0c;在我们进行非对齐的访问时就会进入数据异常中断DAbt中。为了解决这一问题&#xff0c;我们需要在GCC编译选项中加上一处配置。 1 操作方法 右键STM32CubeIDE…