【自学网络安全】:安全策略与用户认证综合实验

news2024/11/16 3:49:06

实验拓扑图:

在这里插入图片描述
实验任务:
1、DMZ区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问
2、生产区不允许访问互联网,办公区和游客区允许访问互联网
3、办公区设备10.0.2.10不允许访问Dmz区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4、办公区分为市场部和研发部,研发部IP地址固定,访问dmz区使用匿名认证,市场部需要用户绑定IP地址,访问dmz区使用免认证;
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,
门户网站地址10.0.3.10
5、生产区访问dmz区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,
用户同一密码openlab123,首次登录需要修改密码,用户过期时间设定为19天,用户不允许多人使用
6、创建一个自定义管理员,要求不能拥有系统管理的功能

实验步骤如下:
一、DMZ区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问

1、搭建拓扑图
2、在Windows系统添加一个环回网卡,步骤如下:
1)右键单机开始,选择设备管理器
在这里插入图片描述
2)找到网络适配器,点击左上角操作,点击添加过时硬件
在这里插入图片描述
3)连续点击下一步,直到有下图画面,找到网络适配器,点击下一步
在这里插入图片描述
4)点击Microsoft,再点击Microsoft KM-TEST 环回适配器,最后点击下一步及完成添加网卡。
在这里插入图片描述
3、给网卡配置一个不会使用的IP地址,如:192.168.100.2;在云上添加网卡和UDP,勾上双向通道,添加即可。在这里插入图片描述
4、登录防火墙FW3,默认账号admin,密码Admin@123;修改密码,进去之后去进入G0/0/0接口,输入如下命令,即配置G0/0/0接口的IP为192.168.100.1,使其IP与网卡是一个网段上,并打开所有服务管理。

[USG6000V1-GigabitEthernet0/0/0]service-manage all permit 

5、打开自带浏览器,url栏输入192.168.100.1:8443回车,无视风险进入虚拟华为防火墙登录界面,输入之前设置的账号密码登录进去,即如下图:
在这里插入图片描述
6、LSW6操作,对办公区和生产区进行vlan划分,办公区是vlan10,生产区是vlan20,将G0/0/1设置为trunk模式,允许vlan10和vlan20通过,取消vlan1通过。
7、在FW3web界面管理,在G0/0/3接口创建两个子接口,并将其他端口配置设置为如下配置:

在这里插入图片描述
以办公区子接口为例:
在这里插入图片描述
在这里插入图片描述
8、添加安全策略,使DMZ区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问,细节配置如下图:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
9、双击server1
1)开启httpServer在这里插入图片描述
双击Client2或1,访问dmz区的http服务,访问成功即完成第一个任务。
在这里插入图片描述
在这里插入图片描述
当两条安全策略都能匹配到流量时,证明安全策略没有问题。
二、生产区不允许访问互联网,办公区和游客区允许访问互联网
1、创建安全策略,配置如下:
在这里插入图片描述
创建NAT区,将G0/0/1和G0/0/2接口分入次区。
在这里插入图片描述
2、将办公区和游客区禁止访问NAT区域。
在这里插入图片描述

三、办公区设备10.0.1.20不允许访问Dmz区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
1、先创建一个安全策略,使10.0.1.20不允许DMZ区的相关服务
在这里插入图片描述
2、再创建一个安全策略,使10.0.1.20只能ping通10.0.3.10,再将该安全策略置顶,使其最先匹配。
在这里插入图片描述
3、结果展示:
1)10.0.1.20能ping通10.0.3.10
在这里插入图片描述
2)10.0.1.20不能访问10.0.3.10的http服务
在这里插入图片描述
3)安全策略成功匹配到流量。
在这里插入图片描述

四、办公区分为市场部和研发部,研发部IP地址固定,访问dmz区使用匿名认证,市场部需要用户绑定IP地址,访问dmz区使用免认证;游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10
1、创建认证域,bg,在bg认证域中建立市场部和研发部
在这里插入图片描述
2、做认证策略,使研发部10.0.1.20使用匿名认证登录DMZ区;使市场部10.0.1.10使用免认证登录DMZ区;
在这里插入图片描述
在这里插入图片描述
3、创建YK认证域,建立Guest用户,密码为Admin@123,允许多人同时登陆
在这里插入图片描述
4、写安全策略,使游客区不允许访问DMZ区和生产区
在这里插入图片描述
5、创建安全策略,使游客区允许访问外网NAT区
在这里插入图片描述
6、创建安全策略,使游客允许访问10.0.3.10的http服务,将次策略移动到YK to DMZ NAT策略之前。
在这里插入图片描述
7、检测结果,在游客区添加一个client,访问10.0.3.10的httpserver,结果如下:

在这里插入图片描述
8、查看安全策略,发现策略被成功匹配,如下:
在这里插入图片描述

五、生产区访问dmz区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户同一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
1、找到认证域,创建sctodmz认证域
在这里插入图片描述
2、点击sctodmz创建用户组,分别创建维护组、研发组、检测组
在这里插入图片描述
3、新建批量用户,用户名间以英文逗号隔开,密码为openlab123,有效时间为19号为止,允许多人登录取消,分别每个部门创建3个用户。
在这里插入图片描述
4、找到认证策略,勾选首次登录必须修改密码。
在这里插入图片描述
5、所有用户建立完成截图:
在这里插入图片描述

六、创建一个自定义管理员,要求不能拥有系统管理的功能
1、创建一个管理员角色,要求不能拥有系统管理功能

在这里插入图片描述

在这里插入图片描述
2、在管理员中添加一个管理员,角色是自定义管理员
在这里插入图片描述
最后实验拓扑:(就在游客区加了个client4设备用于检测而已)
在这里插入图片描述

实验到这里就做完咯!
让我们继续努力吧!!!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1912081.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

suricata7 rule加载(三)加载options

suricata7.0.5 加载options (msg:“HTTP Request Example”; flow:established,to_server; http.method; content:“POST”; http.uri; content:“query.php”; bsize:>9; http.protocol; content:“HTTP/1.1”; bsize:8; http.host; content:“360”; bsize:>3; class…

HI3559AV100四路IMX334非融合拼接8K视频记录

下班无事,写篇博客记录海思hi3559av100四路4K视频采集拼接输出8K视频Demo 一、准备工作: 软件:Win11系统、VMware虚拟机Ubuntu14、Hitool、Xshell等 硬件:HI3559AV100开发板4路imx334摄像头、串口线、电源等 附硬件图&#xff1…

射频硅基氮化镓:两个世界的最佳选择

当世界继续努力追求更高速的连接,并要求低延迟和高可靠性时,信息通信技术的能耗继续飙升。这些市场需求不仅将5G带到许多关键应用上,还对能源效率和性能提出了限制。5G网络性能目标对基础半导体器件提出了一系列新的要求,增加了对…

硕博电子移动控制器在无人驾驶卡车上的应用

传统港口行业一直是一个典型的劳动密集型行业,以前,集装箱的每次起吊操作需要多人配合,包括操作员、指挥手、理货员等至少7名现场工作人员。传统码头设施陈旧,重型设备难以更新换代。而且,港口还经常受到天气状况的影响…

AI自动生成PPT怎么用?5种提升演示效果的方法

随着#7月份我的同事一个个消失了#的话题热议,职场中的效率与变革再次成为焦点。 在忙碌的工作节奏中,AI自动生成PPT的软件悄然兴起,成为不少职场人的新宠。它们不仅简化了繁琐的PPT制作流程,更以高效、专业的姿态,助力…

Msfvenom制作自己的专属Shell

Msfvenom制作自己的专属Shell 如何通过Msfvenom来生成用户自己的专属Shell?有时候我们上传Shell到目标主机后,不仅我们自己可以连接,其他用户也可以连接,有时候会导致我们丢失该Shell,甚至该shell被用户发现并查杀。 实验环境 …

差分+前缀和习题集

&#xff08;luogu题号&#xff09; P6568 [NOI Online #3 提高组] 水壶 思路分析 前缀和优化问题。 其实题意就是让你求有k1个数的区间和最大值&#xff0c;那么直接前缀和优化&#xff0c;就可以通过本题。 代码 #include<bits/stdc.h> using namespace std;const in…

鸿蒙语言基础类库:【@ohos.util.Deque (线性容器Deque)】

线性容器Deque 说明&#xff1a; 本模块首批接口从API version 8开始支持。后续版本的新增接口&#xff0c;采用上角标单独标记接口的起始版本。 Deque&#xff08;double ended queue&#xff09;根据循环队列的数据结构实现&#xff0c;符合先进先出以及先进后出的特点&…

【电脑应用技巧】如何寻找电脑应用的安装包华为电脑、平板和手机资源交换

电脑的初学者可能会直接用【百度】搜索电脑应用程序的安装包&#xff0c;但是这样找到的电脑应用程序安装包经常会被加入木马或者强制捆绑一些不需要的应用装入电脑。 今天告诉大家一个得到干净电脑应用程序安装包的方法&#xff0c;就是用【联想的应用商店】。联想电脑我是一点…

接口测试(2)

单接口测试 CtrlD 复制 因为单接口的时候主要改变测试用例数据 自动判定响应结果 postman断言 //断言响应状态码为200 pm.test("Status code is 200", function () {pm.response.to.have.status(200); }); //断言返回数据中包括&#xff08;成功&#xff09; //预期结…

深度学习的数学PDF

链接: https://pan.baidu.com/s/1_jScZ7dcyAWGqbrad6bbCQ?pwd9gj9 提取码: 9gj9 复制这段内容后打开百度网盘手机App&#xff0c;操作更方便哦

探讨3D沉浸式在线会议系统的研发 - Meta演示的元宇宙虚拟化身多人对话场景,Web端现在也可以实现了 !

要实现一个元宇宙多人会议系统&#xff0c;关键技术有&#xff1a; 1. 3D虚拟空间的构建&#xff08;含光影特效、虚拟现实和增强现实&#xff09; 2. 3D虚拟化身的构建&#xff08;含动画、表情、语音&#xff09; 3. 多人角色管理 4. 会话控制和信息同步 5. 语音合成 6…

展开说说:Android服务之实现AIDL跨应用通信

前面几篇总结了Service的使用和源码执行流程&#xff0c;这里再简单分析一下如果需要Service跨进程通信该怎样做。AIDL&#xff08;Android Interface Definition Language&#xff09;Android接口定义语言&#xff0c;用于实现 Android 两个进程之间进行进程间通信&#xff08…

低资源低成本评估大型语言模型(LLMs)

随着新的大型语言模型&#xff08;LLMs&#xff09;的持续发展&#xff0c;从业者发现自己面临着众多选择&#xff0c;需要从数百个可用选项中选择出最适合其特定需求的模型、提示[40]或超参数。例如&#xff0c;Chatbot Arena基准测试平台积极维护着近100个模型&#xff0c;以…

PID控制与模糊PID控制的比较

一、PID控制器的设计 1.PID控制原理图&#xff1a; PID控制其结构框图如下图所示&#xff1a; 图1&#xff1a;PID控制器结构框图 2.PID控制器传递函数的一般表达式 PID控制器传递函数的一般表达形式为&#xff1a; 其中kp为比例增益&#xff1b;ki为积分增益&#xff1b;k…

ESLint: Delete `␍`(prettier/prettier)解决问题补充

如果你是克隆的&#xff0c;参考这位大佬的文章 vue.js - Delete ␍eslint(prettier/prettier) 错误的解决方案 - 个人文章 - SegmentFault 思否 如果你是个人在本地实现&#xff0c;且改为 仍旧报错&#xff0c;我解决的方案&#xff1a; 改为&#xff0c;同时勾选和我配置一…

020-GeoGebra中级篇-几何对象之点与向量

本文概述了在GeoGebra中如何使用笛卡尔或极坐标系输入点和向量。用户可以通过指令栏输入数字和角度&#xff0c;使用工具或指令创建点和向量。在笛卡尔坐标系中&#xff0c;示例如“P(1,0)”&#xff1b;在极坐标系中&#xff0c;示例如“P(1;0)”或“v(5;90)”。文章还介绍了点…

倒计时1天!飞思实验室暑期公益培训,7月10日不见不散

01培训背景 很荣幸地向大家宣布&#xff1a;卓翼飞思实验室将于7月10日正式开启为期两个月的暑期公益培训&#xff01;本次培训为线上直播&#xff0c;由中南大学计算机学院特聘副教授&#xff0c;RflySim平台总研发负责人戴训华副教授主讲。 培训将基于“RflySim—智能无人集…

74HC14使用陶瓷晶振产生振荡成功

之前实验这个ic陶瓷振子&#xff0c;结果是不起振&#xff0c;之前用的是并联模式。可能参数不适合。一直没有起振。 今天又翻阅了很多陶瓷谐振器的电路&#xff0c;看到有串联模式的电路&#xff0c;就来实验了一下。结果成功了。电路如下&#xff1a; 测试结果&#xff1a;陶…

【高校科研前沿】中国农业大学姚晓闯老师等人在农林科学Top期刊发表长篇综述:深度学习在农田识别中的应用

文章简介 论文名称&#xff1a;Deep learning in cropland field identification: A review&#xff08;深度学习在农田识别中的应用&#xff1a;综述&#xff09; 第一作者及单位&#xff1a;Fan Xu&#xff08;中国农业大学土地科学与技术学院&#xff09; 通讯作者及单位&…