当前位置: 首页 > news >正文

防火墙安全策略用户认证综合实验

news 来源:原创 2024/9/20 10:30:17

目录

一、拓扑图

二、实验要求

三、实验步骤

步骤1:配置防火墙接口

步骤2:配置ISP

步骤3:配置交换机LSW1

步骤4:配置PC端、客户端、服务器端

需求1:针对访问DMZ区内的服务器

​编辑测试需求1:

需求2:生产区不允许访问互联网,办公区和游客区允许访问互联网

测试需求2

需求3:办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务,仅能ping通10.0.3.10

测试需求3:

需求4:办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区服务器时需要使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证;

测试需求4:

​编辑需求5:游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码为Admin@123

测试需求5:

需求6:生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用

需求7:创建一个自定义管理员,要求不能拥有系统管理功能

一、拓扑图

二、实验要求

1、DMZ区内的服务器,办公区仅在办公时间内(9:00-18:00)可以访问,生产区的设备全体可以访问
2、生产区不允许访问互联网,办公区和游客区允许访问互联网
3、办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务,仅能ping通10.0.3.10
4、办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区服务器时需要使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证;
5、游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码为Admin@123
6、生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
7、创建一个自定义管理员,要求不能拥有系统管理功能

三、实验步骤

步骤1:配置防火墙接口

to DMZ:

生产区子接口:

办公区子接口:

to YK:

to ISP:

步骤2:配置ISP

步骤3:配置交换机LSW1

[LSW1]vlan batch 10 20
[LSW1]int g0/0/1
[LSW1-GigabitEthernet0/0/1]port link-type access
[LSW1-GigabitEthernet0/0/1]port default vlan 10
[LSW1]int g0/0/2
[LSW1-GigabitEthernet0/0/2]port link-type access
[LSW1-GigabitEthernet0/0/2]port default vlan 20
[LSW1]int g0/0/3
[LSW1-GigabitEthernet0/0/3]port link-type trunk
[LSW1-GigabitEthernet0/0/3]port trunk allow-pass vlan 10 20

步骤4:配置PC端、客户端、服务器端

需求1:针对访问DMZ区内的服务器

办公区仅在办公时间内(9:00-18:00)可以访问,生产区的设备全体可以访问,则写两条安全策略可以满足,一条针对办公区访问DMZ在(9:00-18:00),另一条针对生产区全天访问DMZ

测试需求1:

需求2:生产区不允许访问互联网,办公区和游客区允许访问互联网

默认会有一条拒绝策略,则我们只需配置允许访问互联网的策略

配置NAT策略

测试需求2

需求3:办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务,仅能ping通10.0.3.10

因为前面需求满足了办公区所有设备访问DMZ区的HTTP、FTP、ICMP服务,所以这里只用写一条拒绝10.0.2.10访问DMZ区的FTP和HTTP服务即可。

测试需求3:

需求4:办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区服务器时需要使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证;

假设10.0.2.20为研发部,10.0.2.10为市场部,则需要写两条认证策略

测试需求4:

需求5:游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码为Admin@123

我们需要两条策略,一条安全策略拒绝游客区访问DMZ区和生产区,另一条认证策略使游客区人员登录

测试需求5:

需求6:生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用

需求7:创建一个自定义管理员,要求不能拥有系统管理功能

相关文章:

  • 北京网站建设多少钱?
  • 辽宁网页制作哪家好_网站建设
  • 高端品牌网站建设_汉中网站制作
  • 火柴棒图python绘画
  • Spring中@Transactional的实现和原理
  • 嵌入式驱动源代码(9):Linux内核移植
  • 我的前端实习之旅
  • PyCharm\VsCode——Python第三方库下载换源
  • 老年生活照护实训室:为养老服务业输送专业人才
  • 如何挑选适合的需求池管理系统?10款优质工具分享
  • 韦尔股份:深蹲起跳?
  • Flexcel学习笔记
  • 32 华三vlan案例+STP
  • 堆叠的作用
  • 代理模式和Java中的动态代理【开发实践】
  • Linux——多线程(五)
  • 用python生成词频云图(python实例二十一)
  • 升级springboot3.2集成shiro的问题
  • 【MySQL经典案例分析】 Waiting for table metadata lock
  • centos安装java运行环境jdk+tomcat
  • egg(89)--egg之redis的发布和订阅
  • es的写入过程
  • HashMap ConcurrentHashMap
  • Java 内存分配及垃圾回收机制初探
  • JavaScript 基础知识 - 入门篇(一)
  • Js基础——数据类型之Null和Undefined
  • MYSQL 的 IF 函数
  • Odoo domain写法及运用
  • PHP 的 SAPI 是个什么东西
  • Python连接Oracle
  • ⭐ Unity 开发bug —— 打包后shader失效或者bug (我这里用Shader做两张图片的合并发现了问题)
  • VUE es6技巧写法(持续更新中~~~)
  • vue脚手架vue-cli
  • Webpack4 学习笔记 - 01:webpack的安装和简单配置
  • 第三十一到第三十三天:我是精明的小卖家(一)
  • 对超线程几个不同角度的解释
  • 官方新出的 Kotlin 扩展库 KTX,到底帮你干了什么?
  • 目录与文件属性:编写ls
  • 前端面试之CSS3新特性
  • 微服务入门【系列视频课程】
  • 小而合理的前端理论:rscss和rsjs
  • 怎么将电脑中的声音录制成WAV格式
  • Redis4.x新特性 -- 萌萌的MEMORY DOCTOR
  • 阿里云ACE认证之理解CDN技术
  • 扩展资源服务器解决oauth2 性能瓶颈
  • 新海诚画集[秒速5センチメートル:樱花抄·春]
  • ​2021半年盘点,不想你错过的重磅新书
  • #经典论文 异质山坡的物理模型 2 有效导水率
  • (12)Linux 常见的三种进程状态
  • (Java岗)秋招打卡!一本学历拿下美团、阿里、快手、米哈游offer
  • (函数)颠倒字符串顺序(C语言)
  • (六)DockerCompose安装与配置
  • (生成器)yield与(迭代器)generator
  • (数据大屏)(Hadoop)基于SSM框架的学院校友管理系统的设计与实现+文档
  • .NET8 动态添加定时任务(CRON Expression, Whatever)
  • .Net多线程总结
  • .NET中GET与SET的用法
  • .pings勒索病毒的威胁:如何应对.pings勒索病毒的突袭?