实验拓扑：

实验要求：

1.生产区在工作时间（9：00-18：00）内可以访问DMZ区，仅可以访问http服务器；

2.办公区全天可以访问DMZ区，其中10.0.2.10可以访问FTP服务器和HTTP服务器，10.0.2.20仅可以ping通10.0.3.10

3.办公区在访问服务器区时采用匿名认证的方式进行上网行为管理

4.到公网的nat配置

要求1的实现：

在对象里面的地址新建一个名为dmz-http-server的地址，这个地址是生产区访问的dmz区的http服务器。

在策略里面新建一个安全策略，写上生产区访问dmz区http服务器的策略

效果：

能达到仅能访问HTTP服务器，其它的功能不能实现，如ping。

要求2的实现：

先做一个策略，10.0.2.10的client可以访问dmz区的http和ftp，这里策略的源地址为10.0.2.10

效果：

可以实现访问http和ftp服务，但其它的不能实现，如ping

这下做10.0.2.20只能ping通10.0.3.10的策略，写好源地址和目的地址，服务只允许icmp

源地址

目的地址

效果：

只能实现ping通10.0.3.10，但不能ping通10.0.3.20

要求3实现：

在认证策略里，基本使用默认的认证策略就可以实现认证，这里使用匿名认证。

效果：

要求4的实现：

于公网相连的g1/0/1口的ip配置，这里的网关指向公网

公网路由配置

[ISP]int g0/0/1
[ISP-GigabitEthernet0/0/1]ip add 12.0.0.2 24
Jan 26 2024 23:01:24-08:00 ISP %%01IFNET/4/LINK_STATE(l)[0]:The line protocol IP
 on the interface GigabitEthernet0/0/1 has entered the UP state. 
[ISP-GigabitEthernet0/0/1]int lo 0
[ISP-LoopBack0]ip add 1.1.1.1 24

这里办公区访问公网的nat策略制作，在后面，要点击新建安全策略，一个NAT策略一个安全策略，是必须的

效果：

查看会话表时，就可以看见NAT的转换。