实验拓扑图

实验要求：

1、DMZ区内的服务器，生产区仅能在办公时间内（9：00-18:00)可以访问，办公区的设备全天可以访问

2、生产区不允许访问互联网，办公区和游客区允许访问互联网

3、办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器，仅能ping通10.0.3.10

4、办公区分为市场部和研发部，研发部ip地址固定，访问DMZ区使用匿名认证，市场部需要用户绑定ip地址，访问DMZ区使用免认证。

       游客区人员不固定，不允许访问DMZ区和生产区，统一使用Guest用户登录，密码Admin@123,游客仅有访问公司门户网站和上网权限，门户网站地址10.0.3.10

5、生产区访问DMZ区时，需要进行protal认证，建立生产区用户组织架构，至少包含三个部门，每个部门三个用户，用户统一密码openlab123，首次登录需要修改密码，用户过期时间设定为10天，用户不允许多人使用

6、创建一个自定义管理员，要求不能拥有系统管理的功能

配置

1.基础配置

1.1在防火墙上的配置

1.2在交换机lsw2创建vlan和划分vlan

生产区化为vlan3

办公区化为vlan2

Trunk通道放行vlan2 ，vlan3

1.3防火墙接口配置

2.完成要求1

要求：DMZ区内的服务器，生产区仅能在办公时间内（9：00-18:00)可以访问，办公区的设备全天可以访问

2.1配置dmz到所有的策略

2.2配置生产区仅能在办公时间策略

2.3配置Worktime

2.4测试

在未设置时间段的时候，pc2是能访问服务器的，时间段设置后，如果不在该工作日，无法

服务器也能访问到pc2

生产区办公区的设备全天可以访问

测试：访问服务器

3.实现要求2

要求：生产区不允许访问互联网，办公区和游客区允许访问互联网

3.1配置移动和电信

3.2配置生产区禁止到互联网策略

3.3配置游客区访问互联网策略

3.4配置办公区访问互联网策略

4.实现要求3

要求：办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器，仅能ping通10.0.3.10

4.1禁止10.0.2.10对DMZ区的HTTP和ftp的服务

4.2禁止10.0.2.10对DMZ区的10.0.3.20的icmp服务，让它ping不通

4.3移策略

将之前的办公区的配置策略移到最后

4.4测试

Client2不能访问DMZ的HTTP和ftp服务器

Client2只能ping通DMZ的10.0.3.10，不能ping通10.0.3.20

5.实现要求4第一个条件

要求：办公区分为市场部和研发部，研发部ip地址固定，访问DMZ区使用匿名认证，市场部需要用户绑定ip地址，访问DMZ区使用免认证。

5.1做市场部访问dmz区，免认证策略

5.2做研发部访问dmz区，匿名认证策略

5.3创建办公认证区域

5.4创建市场部和研发部

5.5策略绑定

5.6测试

6.实现要求4的第二个条件

要求：游客区人员不固定，不允许访问DMZ区和生产区，统一使用Guest用户登录，密码Admin@123,游客仅有访问公司门户网站和上网权限，门户网站地址10.0.3.10

6.1创建游客认证域和用户

用户为guest，绑定10.0.1.10

做游客区禁止访问dmz区和生产区的策略

7.实现要求5

要求：生产区访问DMZ区时，需要进行protal认证，建立生产区用户组织架构，至少包含三个部门，每个部门三个用户，用户统一密码openlab123，首次登录需要修改密码，用户过期时间设定为10天，用户不允许多人使用

7.1生产区访问DMZ区时，需要进行protal认证

7.2新建DMZ和生产区

7.3创建三个部门

7.4批量创建员工

用户统一密码openlab123，用户过期时间设定为10天，用户不允许多人使用

生产区下的部门和员工

7.5首次登录需要修改密码

8.实现要求6

要求：创建一个自定义管理员，要求不能拥有系统管理的功能

 先在管理员角色里面创建自定义管理员，将系统的权限改为无

在管理员创建一个用户，输入设置密码，并划分为自定义角色。