安全防御---防火墙实验1

安全防御—防火墙实验1

111

一、实验拓扑与要求

image-20240709165624323

要求:

1、DMZ区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问
2、生产区不允许访问互联网,办公区和游客区允许访问互联网
3、办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4、办公区分为市场部和研发部,研发部ip地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定ip地址,访问DMZ区使用免认证。
(游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网权限,门户网站地址10.0.3.10)
5、生产区访问DMZ区时,需要进行protal认证,建立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
6、创建一个自定义管理员,要求不能拥有系统管理的功能

二、实验步骤

0.实验准备

image-20240709194520480

image-20240709195539467

image-20240709195607686

image-20240709195650493

image-20240709195737217

1.要求1

(1)在交换机LSW2:配置VLAN并划分VLAN
[LSW2]vlan batch 10 20
[LSW2]int g0/0/2 
[LSW2-GigabitEthernet0/0/2]port link-type access
[LSW2-GigabitEthernet0/0/2]port default vlan 10
[LSW2]int g0/0/3 
[LSW2-GigabitEthernet0/0/3]port link-type access
[LSW2-GigabitEthernet0/0/3]port default vlan 20
[LSW2]int g0/0/1 
[LSW2-GigabitEthernet0/0/1]port link-type  trunk 
[LSW2-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20
[LSW2-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1

在这里插入图片描述

image-20240709194609911

image-20240709194657493

image-20240709194748880

image-20240709195810175

image-20240709195851341

(2)在FW1上g0/0/0端口配置IP地址并打开web服务
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip add 172.172.1.2 24
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit 
(3)使用web服务页面操作防火墙FW1

配置GE1/0/1接口IP地址

image-20240709174918929

image-20240709175029162

配置GE1/0/2接口IP地址

image-20240709175414737

image-20240709175508218

配置GE1/0/3接口IP地址

image-20240709175738687

image-20240709175836692

配置GE1/0/0接口IP地址

  • 创建新的安全区域
    • ​ 创建办公区

image-20240709180332295

  • 创建生产区

image-20240709180622213

image-20240709180704772

  • 创建办公区的虚拟子接口

image-20240709181207640

image-20240709181259194

  • 创建生产区的虚拟子接口

image-20240709181435531

image-20240709181448696

(4)书写防火墙FW1的办公区安全策略

image-20240709190944774

image-20240709191029440

image-20240709185526875

image-20240709191752808

image-20240709192405609

image-20240709192649829

image-20240709193130006

image-20240709193106827

image-20240709195332004

(5)书写防火墙FW1的生产区安全策略

image-20240709193727321

image-20240709194154171

image-20240709194206056

image-20240709194346009

至此实验要求1完成!!

2.要求2

(1)防火墙FW1端口g1/0/1 IP地址在web管理页面已经配置完成

image-20240710132242525

image-20240710132305764

image-20240710122953049(2)在路由器AR1上进配置
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 12.0.0.2 24
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 21.0.0.2 24
[Huawei-GigabitEthernet0/0/1]int g0/0/2
[Huawei-GigabitEthernet0/0/2]ip add 23.0.0.1 24
[Huawei]rip 1
[Huawei-rip-1]version 2
[Huawei-rip-1]network 12.0.0.0 
[Huawei-rip-1]network 21.0.0.0
[Huawei-rip-1]network 23.0.0.0
(3)禁止生产区访问互联网

image-20240710125036089

image-20240710125111223

image-20240710125004309

(4)允许办公区上网策略

image-20240710125832354

(5)允许游客区上网策略

image-20240710130527994

3.要求3

因为前面我开启ICMP,所以这里直接写需要拒绝的服务

image-20240710133832815

4.要求4

(1)创建认证域bg

image-20240710135623764

(2)在bg认证域中建立市场部和研发部

image-20240710135557264

(3)做认证策略,使研发部10.0.1.20使用匿名认证登录DMZ区

image-20240710140217202

(4)使市场部10.0.1.10使用免认证登录DMZ区;

image-20240710140655202

image-20240710140750390

(5)创建游客(tourist)认证域,建立Guest用户,密码为Admin@123,允许多人同时登陆

image-20240710141405439

image-20240710141426775

(6)写安全策略,使游客区不允许访问DMZ区和生产区

image-20240710142105360

(7)创建安全策略,使游客区允许访问外网NAT区

image-20240710142558962

(8)创建安全策略,使游客允许访问10.0.3.10的http服务,并将此策略移动到游客区允许访问外网NAT区策略之前

image-20240710143044460

image-20240710143225702

5.要求5

(1)创建生产区访问DMZ区认证域

image-20240710144815498

(2)点击sctodmz创建用户组,分别创建维修部、科研部、质检部

image-20240710144712439

image-20240710144923956

image-20240710145121939

(3)新建批量用户,用户名间以英文逗号隔开,密码为openlab123

有效时间为20号为止,允许多人登录取消,分别每个部门创建3个用户。

image-20240710145701599

image-20240710145932775

image-20240710150044982

(4)找到认证选项,勾选首次登录必须修改密码

image-20240710150240285

6.要求6

(1)创建一个管理员角色,要求不能拥有系统管理功能

image-20240710150715416

(2)在管理员中添加一个管理员,角色是自定义管理员

image-20240710150926507

至此所有实验要求已完成!!!!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/44882.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

企业注册商标步骤

企业注册商标:详细步骤与关键要点 在当今商业环境中,商标已成为企业品牌建设和市场竞争中不可或缺的一部分。它不仅是企业身份的象征,也是企业知识产权的重要组成部分。 一、确定注册商标的商品项目 首先,企业需要明确需要注册商…

【游戏引擎之路】登神长阶(七)——x86汇编学习:凡做难事,必有所得

5月20日-6月4日:攻克2D物理引擎。 6月4日-6月13日:攻克《3D数学基础》。 6月13日-6月20日:攻克《3D图形教程》。 6月21日-6月22日:攻克《Raycasting游戏教程》。 6月23日-7月1日:攻克《Windows游戏编程大师技巧》。 7月…

Go语言---文件分类、设备文件、磁盘文件、实现打开/写/读/关闭/拷贝文件

设备文件: 屏幕(标准输出设备) fmt.Println()往标准输出设备写内容 键盘(标准输入设备) fmt.Scan()从标准输入设备读取内容 磁盘文件,放在存储设备上的文件 文本文件:以记事本打开,能看到内容(不是乱码) 二进制文件:以记事本打开…

微信右上角的“+”号,竟然能做这些事?90%的人不知道

微信,作为一款集社交、支付、娱乐于一体的超级应用,它的每一次更新都吸引着亿万用户的目光。 在微信的众多功能中,右上角的""号图标看似普通,实则隐藏着许多不为人知的实用技巧。本文将从四个方面深入挖掘这些隐秘功能…

打包时提示:Missing Gradle Project Information.或者在加载gradle时出错

1.Android打包弹出错误提示框:missing gradle project information. please check if the IDE successfully synchronized its state with the Gradble project model. 2.加载gradle出错:修复报错后 File -> Sync Project with Gradle Files

用JavaScript将 NCR(Numeric Character Reference)标记转换为对应字符的方法

0 &#xff0c 、&#11111……是什么鬼&#xff1f; 最近&#xff0c;要将一些网页内容复制到<textarea>文本框中作进一步处理&#xff0c;发现有些网页内容中包含&#xff0c或之类的标记&#xff0c;会被原样复制到<textarea>文本框中。 如果将这些网页内容直…

Codeforces Round #956 (Div. 2) and ByteRace 2024(A~D题解)

这次比赛也是比较吃亏的&#xff0c;做题顺序出错了&#xff0c;先做的第三个&#xff0c;错在第三个数据点之后&#xff0c;才做的第二个&#xff08;因为当时有个地方没检查出来&#xff09;所以这次比赛还是一如既往地打拉了 那么就来发一下题解吧 A. Array Divisibility …

text prompt如何超过77个词

【深度学习】sdwebui的token_counter,update_token_counter,如何超出77个token的限制?对提示词加权的底层实现_prompt中token权重-CSDN博客文章浏览阅读1.6k次,点赞26次,收藏36次。文章探讨了如何在StableDiffusionProcessing中处理超过77个token的提示,涉及token_counte…

公司网站建站模板源码系统 响应式网站模版 随心自定义 带完整的代码包以及搭建部署教程

系统概述 公司网站建站模板源码系统是一套基于最新技术开发的网站建设解决方案。该系统集成了众多先进的网站开发工具和功能模块&#xff0c;旨在帮助企业快速构建出美观、实用的公司网站。通过采用模块化设计&#xff0c;系统实现了高度可定制性&#xff0c;企业可以根据自身…

土木转行嵌入式,拿到一家初创公司的嵌入式研发offer,值得去吗

在开始前刚好我有一些资料&#xff0c;是我根据网友给的问题精心整理了一份「嵌入式的资料从专业入门到高级教程」&#xff0c; 点个关注在评论区回复“888”之后私信回复“888”&#xff0c;全部无偿共享给大家&#xff01;&#xff01;&#xff01;不论从未来行业的发展前景…

java项目如何配置不同环境变量 以及 原理

如何配置不同的profile 首先&#xff0c;一个java项目&#xff0c;需要有不同的环境配置&#xff0c;打包时&#xff0c;自动使用对应的配置。那么&#xff0c;如何实现呢&#xff1f; 在你的Spring Boot项目的src/main/resources目录下创建或添加一个application.yml文件。这…

纯CSS瀑布流

<!DOCTYPE html> <html lang"en"> <head> <meta charset"UTF-8"> <meta name"viewport" content"widthdevice-width, initial-scale1.0"> <title>瀑布流布局</title> <style>/* 瀑布…

[论文精读]BrainLM: A foundation model for brain activity recordings

论文网址&#xff1a;pdf (openreview.net) 英文是纯手打的&#xff01;论文原文的summarizing and paraphrasing。可能会出现难以避免的拼写错误和语法错误&#xff0c;若有发现欢迎评论指正&#xff01;文章偏向于笔记&#xff0c;谨慎食用 目录 1. 省流版 1.1. 心得 1.2…

redis批量删除keys,用lua脚本。

文章目录 现象解决方法 现象 系统报错&#xff1a; misconf redis is configured to save ....后查看机器内存。 是内存满了&#xff0c;需要删除其中的key 解决方法 (1) 编写一个脚本&#xff0c;放在redis-cli.exe同一个目录 (2) 脚本内容如下&#xff1a; -- 使用Lua脚…

经典文献阅读之--Self-Supervised Bird’s Eye View Motion,,(基于跨模态信号的自监督鸟瞰图运动预测)

Tip: 如果你在进行深度学习、自动驾驶、模型推理、微调或AI绘画出图等任务&#xff0c;并且需要GPU资源&#xff0c;可以考虑使用UCloud云计算旗下的Compshare的GPU算力云平台。他们提供高性价比的4090 GPU&#xff0c;按时收费每卡2.6元&#xff0c;月卡只需要1.7元每小时&…

window11连接lenovo 熊猫 Pro 打印机 M7328W

1、win11先下驱动&#xff08;将USB线接至电脑、电源通电&#xff09;&#xff0c;型号在后背面插电源的地方可以找到。 图1 开始电源按钮&#xff0c;会有蓝、绿、红闪烁灯光循环显示。 下载驱动&#xff1a; 图像发现 M7328W 然后按照说明书安装即可。 2、安装完成后&…

Delta的最新更新可让iPad用户同时模拟多款游戏

Delta iOS 应用程序发布了一个更新&#xff0c;引入了复古 游戏模拟器重新设计的标识&#xff0c;以及原生 iPad 支持&#xff0c;允许用户同时玩多个 游戏。 据 Delta 开发者 Riley Testut 称&#xff0c;欧盟用户可以立即通过AltStore PAL 下载更新&#xff0c;但其他用户则需…

【机器学习】朴素贝叶斯算法详解与实战扩展

欢迎来到 破晓的历程的 博客 ⛺️不负时光&#xff0c;不负己✈️ 引言 朴素贝叶斯算法是一种基于概率统计的分类方法&#xff0c;它利用贝叶斯定理和特征条件独立假设来预测样本的类别。尽管其假设特征之间相互独立在现实中往往不成立&#xff0c;但朴素贝叶斯分类器因其计算…

项目纪实 | 业务不停机、升级0感知!万里数据库生产环境助力操作系统升级 获客户点赞

为积极响应和落实国家、集团相关要求&#xff0c;某运营商省公司历时一个月将GreatDB数据库集群下Red Hat操作系统升级为BigCloud操作系统&#xff0c;以建立完善的IT自主可控体系&#xff0c;推动产业链生态发展。 源起&#xff1a;项目背景一览 2024年初&#xff0c;万里数…

基础架构服务API:降低成本,提升业务效益

基础架构服务API的应用可以显著降低企业的成本&#xff0c;并提升业务效益。通过使用这些API&#xff0c;企业可以充分利用云计算、自动化部署和资源管理等功能&#xff0c;从而减少了传统基础设施所需的大量投资和维护成本。这些API还提供了弹性扩展和自动化功能&#xff0c;使…