防御实验一

拓扑结构展示：

一、

根据题目，先为办公区做安全策略主要策略有以下几点：

1、书写名称和描述，名称和描述要明确，让除本人以外的人也能理解
2、确定源地址为办公区，目标地址为DMZ区
3、确定时间段
4、可以设置标签，方便后续查看
5、确定服务，如：HTTP，FTP，ICMP等
具体操作如下图

完成后点击允许操作，点击确定即可
其中时间段的work需要创建，具体如下：

设置开始和结束时间，每周生效时间为周一到周五，工作日。

然后解决生产区

具体操作和办公区差不多，具体就是时间段不一样，如下：

这里时间选择any表示任何时间，这个选择不用自己创建
当然以上的操作都需要先创建区域
具体操作如下

点击网络中的接口，在不同的接口配置拓扑图上对应的区域，图中DMZ表示DMZ区，DX和LT分别代表电信和联通，SC表示生产区，BG表示办公区，YK表示游客区
配置如下：

区域配置在如下图

区域创建时，只需要配置名称和描述，接口不用配置，到时候在接口对应配置区域时可以选择，就如上图的安全区域
其中G1/0/3要划分两个子接口，来区分办公区和生产区，他们通过VLAN划分，这里我划分的是VLAN 2和VLAN 3，这时候配置的时候要表明VLAN

具体结构如下：
办公区配置，现在是晚上10点，所以配置允许时间是9点到18点，所以现在该策略是禁止的

但是生产区是全天，所以现在还允许

二、

生产不可访问，配置如下

其中untrust是分别表示电信和联通，表示的是互联网，我还创建了一个区域表示互联网

可以方便操作
办公区和游客可以访问，配置如下：

将办公区和游客区都概括进去，然后全部允许访问

三、

首先让10.0.2.10禁止访问，配置如下

然后允许其他的操作，配置如下

结果显示：
可以ping，但是不能访问HTTP和FTP

四、

我自己又创建了两个PC机，作为已经绑定IP地址的研发部和市场部，如最上面的拓扑图
然后在对象中的用户中分别创建SC，BG，和YK分别代表生产，办公和游客

创建过程如下：

然后配置认证，在认证策略中配置，研发部采用匿名认证如下图：
市场部采用免认证，如下图：

游客不能访问DMZ区和生产区，配置如下：

游客创建，名称为Guest，密码为Admin@123

游客可以访问门户网站和互联网，配置如下：

五、

生产区建立对应的组和用户：如下：

访问认证配置为Porltal认证，上网方式也应该如此配置，如上：

配置时不能勾选允许多人同时使用如上：

首次登录修改密码和过期时间，都在对象的认证选项中配置，如上图：

六、

在系统的管理员的管理员角色中配置自定义管理员

自定义的权限只有系统是无，其他都是读写
然后在管理员中创建自定义管理员，配置如下：

角色选择自己创建的管理员角色
自此，实验基本完成。