一、实验拓扑
二、实验要求
1.DMZ区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问
2.生产区不允许访问互联网,办公区和游客区允许访问互联网
3.办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4.办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户和上网的权限,门户网站地址10.0.3.10
5.生产区访问DMZ时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时设定为10天,用户不允许多人使用
6.创建一个自定义管理员,要求不能拥有系统管理的功能
三、实验思路
1.先配置IP地址,防火墙的IP地址,g0/0/0接口需要开启server-manage all,才能进行登录,配置子接口,配置PC的IP地址
2.配置Cloud云,
3.通过云登录到防火墙
4.写两条安全策略,完成办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问的要求
5. 写三条安全策略,实现生产区不允许访问互联网,办公区和游客区允许访问互联网
6.写一条安全策略,拒绝FTP和HTTP服务,但能ping通10.0.3.10
7.创建openlab区域,创建办公区,生产区,游客区,办公区下分为市场部,研发部,各部门下创建一个用户,单向绑定,研发部访问DMZ使用匿名验证,生产区访问DMZ使用免认证;
游客区不允许访问DMZ和生产区,写一条安全策略,禁止ICMP服务,但开通ping10.0.3.10的服务,创建Guest用户,密码Admin@123
8.生产区访问DMZ时进行Portal认证,创建三个部门,每个部门三个用户,密码统一openlab@123,用户过期时设定为10天,用户不允许多人使用,首次登录改密码(不知道怎么实现)
8.创建一个自定义管理员,不能拥有管理系统的功能(开启只读)
四、实验步骤
1.先配置IP地址,防火墙的IP地址,g0/0/0接口需要开启server-manage all,才能进行登录,配置子接口,配置PC的IP地址
PCIP地址如图所示
2.配置Cloud云,通过云才能登录防火墙(没有环回网卡可以自行创建),网卡IP地址要和防火墙一个网段,不一致可以任意改一个
3.通过浏览器(地址栏输入防火墙接口地址(g0/0/0))登录到防火墙,用户名默认admin,密码默认Admin@123,首次登录需要修改密码
4.写两条安全策略,完成办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问的要求
(1)办公区在办公时间能访问
注意vlan id别设置,不然识别不了
(2)生产区全天可以访问
5. 写三条安全策略,实现生产区不允许访问互联网,办公区和游客区允许访问互联网
生产区:
办公区:
游客区:
6.写一条安全策略,办公区访问DMZ拒绝FTP和HTTP服务,但能ping通10.0.3.10
因为第一条我开启ICMP,所以这里直接写拒绝
7.创建openlab认证域,创建办公区,生产区,游客区,办公区下分为市场部,研发部,各部门下创建一个用户,单向绑定,研发部访问DMZ使用匿名验证,市场部访问DMZ使用免认证;
创建认证域:
创建部门对应关系及用户:
研发部访问DMZ:
市场部访问DMZ:
游客区不允许访问DMZ和生产区,写一条安全策略,禁止ICMP服务,但开通ping10.0.3.10的服务,创建Guest用户,密码Admin@123:
创建游客用户:
创建安全策略,使其不允许访问DMZ和生产区,但开通ping10.0.3.10的服务(我直接在游客访问ISP的安全策略里面多加了一条)
8.生产区访问DMZ时进行Portal认证,创建三个部门,每个部门三个用户,密码统一openlab@123,用户过期时设定为10天,用户不允许多人使用,首次登录改密码(不知道怎么实现)
创建三个部门(牛马部,管理部,通宵部),各部门在批量创建三个用户:
生产区访问DMZ使用Poetal认证:
9.创建一个自定义管理员,不能拥有管理系统的功能(开启只读):
对系统功能只读
实验完成!!!