热门标签
热门文章
- 1vue中splice方法总结_vue splice
- 2Java抽象类和接口的详细区别(全)_java抽象类和接口的区别
- 3CentOS安装Datax_datax下载
- 4链表OJ题之环形链表
- 5rtl8852be: 为Realtek RTL8852BE无线网卡提供开源驱动程序
- 6解决云服务器访问问题:发现和解决 Cloudflare WARP 引起的 IP 问题_cloudflare warp 无法连接
- 7毕业设计3351 基于微信小程序的校园兼职设计与实现【源代码+文档+调试+讲解视频】
- 82020百度暑期实习移动开发面经_百度 移动软件 实习
- 9对Image caption的一些理解(看图说话)_imagecaption技术讲解
- 10MySQL第二次作业---建立三张表的联系_在数据库创建3个表
当前位置: article > 正文
网络安全防御 -- 防火墙安全策略用户认证综合实验
作者:酷酷是懒虫 | 2024-07-16 13:26:13
赞
踩
网络安全防御 -- 防火墙安全策略用户认证综合实验
实验拓扑:
实验目的:
1、DMZ区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问。
2、生产区不允许访问互联网,办公区和游客区允许访问互联网。
3、办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10。
4、办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证;
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码为:Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址为:10.0.3.10.
5、生产区访问DMZ区时需要进行Protal认证,设立生产区用户组织框架:
至少三个部门,每个部门三个用户,用户统一密码:openlab@123,首次登陆需要修改密码,用户过期时间设置为10天,用户不允许多人使用。
6、创建一个自定义管理员,要求不能拥有系统管理的功能
实验配置:
防火墙准备
在修改密码以及修改管理接口IP后采用带内管理模式中的Web管理方式进行配置。需要在虚拟机中添加一个Cloud,连接防火墙设备才能在电脑上访问到防火墙。
Cloud配置
这里用于测试的网卡是新建的一张换回网卡,手动配置IP地址为172.168.100.22/24
防火墙基本操作(虚拟设备需要开启服务,真实设备不需要):
因为我们需要通过云在浏览器图形化界面对防火墙进行操作,所以需要防火墙和运在同一个网段,
所以我们把FW0/0/0接口IP地址改为172.68.100.2/24
- Username:admin
- Password:
- The password needs to be changed. Change now? [Y/N]: y
- Please enter old password: #初始默认是Admin@123
- Please enter new password:
- Please confirm new password:
- Error: New passwords are different.
- The password needs to be changed. Change now? [Y/N]: y
- Please enter old password:
- Please enter new password:
- Please confirm new password:
-
- Info: Your password has been changed. Save the change to survive a reboot.
- *************************************************************************
- * Copyright (C) 2014-2018 Huawei Technologies Co., Ltd. *
- * All rights reserved. *
- * Without the owner's prior written consent, *
- * no decompiling or reverse-engineering shall be allowed. *
- *************************************************************************
- <USG6000V1>
- Jul 10 2024 11:51:11 USG6000V1 ENTEXT/4/CPUUSAGESUDDENCHANGE:1.3.6.1.4.1.2011.5.
- 25.31.2.0.29 Entity 0: The CPU usage on SPU11 CPU0 is suddenly changed from 64%
- to 7%, and the change value is 57% , exceeding threshold value 40%.
- <USG6000V1>sys
- Enter system view, return user view with Ctrl+Z.
- [USG6000V1]ser
- [USG6000V1]service-man
- [USG6000V1]dis ip int b
- 2024-07-10 11:51:47.410
- *down: administratively down
- ^down: standby
- (l): loopback
- (s): spoofing
- (d): Dampening Suppressed
- (E): E-Trunk down
- The number of interface that is UP in Physical is 4
- The number of interface that is DOWN in Physical is 6
- The number of interface that is UP in Protocol is 3
- The number of interface that is DOWN in Protocol is 7
- Interface IP Address/Mask Physical Protocol
- GigabitEthernet0/0/0 192.168.0.1/24 up up 该接口默认ip址为 192.168.0.1/24
- GigabitEthernet1/0/0 unassigned up down
- GigabitEthernet1/0/1 unassigned down down
- GigabitEthernet1/0/2 unassigned down down
- GigabitEthernet1/0/3 unassigned down down
- GigabitEthernet1/0/4 unassigned down down
- GigabitEthernet1/0/5 unassigned down down
- GigabitEthernet1/0/6 unassigned down down
- NULL0 unassigned up up(s)
- Virtual-if0 unassigned up up(s)
- [USG6000V1]int g0/0/0
- [USG6000V1-GigabitEthernet0/0/0]service-manage all permit #开启所有服务
- Jul 10 2024 11:52:07 USG6000V1 DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.25
- .191.3.1 configurations have been changed. The current change number is 1, the c
- hange loop count is 0, and the maximum number of records is 4095.
- [USG6000V1-GigabitEthernet0/0/0]ip address 172.168.100.1 24
浏览器搜素FWip进入图形化界面
PC、server、client的相关基本配置:
PC2:
PC3:
Client1:
Client2:
Server2:
Server3:
交换机配置
生产区与办公区是两个不同区域用不同的Vlan,故在防火墙上面配置子接口,采用单臂路由的形式先在LW7创建两个vlan
- [Huawei]sys
- [Huawei]sysname LW7
-
- [LW7]vlan batch 2 to 3
- Info: This operation may take a few seconds. Please wait for a moment...done.
-
- [LW7]int g0/0/2
- [LW7-GigabitEthernet0/0/2]port link-type access
- [LW7-GigabitEthernet0/0/2]port default vlan 2
-
- [LW7-GigabitEthernet0/0/2]int g0/0/3
- [LW7-GigabitEthernet0/0/3]port link-type access
- [LW7-GigabitEthernet0/0/3]port default vlan 3
-
-
- [LW7-GigabitEthernet0/0/3]int g0/0/1
- [LW7-GigabitEthernet0/0/1]port link-type trunk
- [LW7-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
- [LW7-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1
配置子接口:
- [USG6000V1]int g1/0/3.1
- [USG6000V1-GigabitEthernet1/0/3.1]ip address 10.0.1.1 24
-
- [USG6000V1-GigabitEthernet1/0/3.1]int g1/0/3.2
- [USG6000V1-GigabitEthernet1/0/3.2]ip address 10.0.2.1 24
在FW1的web网页中做相关配置
添加安全区域(SC,BG,YK)
G1/0/3:配置对应的子接口
G1/0/3.1:
G1/0/3.2:
g1/0/4
g1/0/0
g1/0/1:
g1/0/2:
接口总体配置如下:
安全策略配置:
1.DMZ区内的服务器,办公区仅能在办公时间内(9:00 — 18:00)可以访问,生产区的设备全天可以访问
办公区:
生产区:
测试:
用生产区的PC ping Server1
2.生产区不允许访问互联网,办公区和游客区允许访问互联网:
3.办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
对10.0.2.10 禁止对DMZ区的http和ftp服务
4.办公区分布为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名验证;市场部需要用户绑02定IP地址,访问DMZ区使用免认证;游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10
(1)研发部IP地址固定,访问DMZ区使用匿名验证
研发部地址为10.0.2.20
(2)市场部需要用户绑定IP地址,访问DMZ区使用免认证
(3)游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10
创建游客使用的用户:
密码Admin@123
游客使用Guest用户登录,仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10:
5.生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
批量创建用户:
密码openlab 123
用户不允许多人使用
生产区用户组织架构
6.创建一个自定义管理员,要求不能拥有系统管理的功能
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/酷酷是懒虫/article/detail/834350
推荐阅读
相关标签
