网络安全防御【防火墙安全策略用户认证综合实验】

news2024/11/15 5:13:46

目录

一、实验拓扑图

二、实验要求

三、实验思路

四、实验步骤

1、打开ensp防火墙的web服务(带内管理的工作模式)

2、在FW1的web网页中网络相关配置

3、交换机LSW6(总公司)的相关配置:

4、路由器相关接口配置:

5、相关安全策略配置:

(1)DMZ区的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区设备全天都是可以访问。

(2)生产区不允许访问互联网,办公区和游客区允许访问互联网:

(3)办公区设备10.0.2.20不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10。

6、相关认证策略配置:

(1)办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权利,门户网站地址10.0.3.10。

(2)生产区访问DMZ区时,需要进行protal认证,设立生产区用户架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab@123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用

7、创建一个自定义管理员,要求不能拥有系统管理的功能


一、实验拓扑图

二、实验要求

1、DMZ区的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区设备全天都是可以访问的

2、生产区不允许访问互联网,办公区和游客区允许访问互联网

3、办公区设备10.0.2.20不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10

4、办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;

游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权利,门户网站地址10.0.3.10

5、生产区访问DMZ区时,需要进行protal认证,设立生产区用户架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab@123,

首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用

6、创建一个自定义管理员,要求不能拥有系统管理的功能

三、实验思路

  1. 首先拓扑图中各个设备的IP地址划分合理
  2. 会使用FW的web服务操作
  3. 要注意在这个拓扑图中FW的组网方式是路由模式
  4. FW与总公司连接的生产区和办公区的接口,需要使用到子接口
  5. 各个交换机接口配置要注意是access口还是trunk口
  6. 根据实验要求做出相关的安全策略和认证策略
  7. 创建管理员,并给它指定相关功能

四、实验步骤

1、打开ensp防火墙的web服务(带内管理的工作模式)

Clound1(云)的操作:

要增加一条UDP的信息和一张虚拟网卡(不要使用电脑中的真实网卡,可以自己添加一张虚拟环回网卡)的信息,要形成双向通道在端口映射表中显现出来

FW的基本操作:

开启防火墙后需要登录用户名和密码,第一次默认的用户名:admin,密码:Admin@123;

登录成功之后需要修改你的密码才能进入防火墙的用户视图。

防火墙的g0/0/0口默认的IP地址为192.168.0.1/24;但是我们需要在浏览器中打开FW的web服务就需要将g0/0/0接口的IP地址修改为与我们Clound中虚拟网卡通一个网段才行。

列如:我的虚拟网卡的IP为:192.168.142.1/24,那么我们就修改防火墙g0/0/0接口的IP为:192.168.142.10/24。保证在同一个网站,那么我们的浏览器就可以访问。

在防火墙中g0/0/0口中开启所有的服务:

[USG6000V1-GigabitEthernet0/0/0]service-manage all permit

如果你的浏览器搜索防火墙g0/0/0的IP地址的web网页打不开有以下几种解决方案

  1. 首先检查你的FW和Clound中虚拟网卡的配置是否正确
  2. 将Ncap、火绒、完美竞技平台等等与ensp不兼容的程序卸载
  3. 关闭你的杀毒软件和系统的防火墙
  4. 换几个浏览器试一试或者写一个小众的IP地址(如172.156.142.1)

PC、server、client的相关基本配置:

PC1:

PC2:

PC5:

Server1:

Server2:

Client1:

Client2:

Client3:

2、在FW1的web网页中网络相关配置

添加安全区域(SC,BG,YK)

 

 

 

G1/0/0:

G1/0/1:

G1/0/2:

G1/0/3:配置对应的子接口

G1/0/3.1:

G1/0/3.2

G1/0/4:

总的接口列表:

启动访问管理选项将ping勾选了,便于后续测试

3、交换机LSW6(总公司)的相关配置:

生产区:

[Huawei]int g0/0/2

[Huawei-GigabitEthernet0/0/2]port link-type access

[Huawei-GigabitEthernet0/0/2]port default vlan 2

办公区:

[Huawei-GigabitEthernet0/0/2]int g0/0/3

[Huawei-GigabitEthernet0/0/3]p l a

[Huawei-GigabitEthernet0/0/3]p d v 3

与防火墙相连:

[Huawei-GigabitEthernet0/0/3]int g0/0/1

[Huawei-GigabitEthernet0/0/1]p l t

[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3

[Huawei-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1

4、路由器相关接口配置:

[Huawei]sysname ISP

电信接口端:

[ISP]int g0/0/0

[ISP-GigabitEthernet0/0/0]ip add 12.0.0.2 24

移动接口端:

[ISP-GigabitEthernet0/0/0]int g0/0/1

[ISP-GigabitEthernet0/0/1]ip add 21.0.0.2 24

分公司接口端:

[ISP-GigabitEthernet0/0/1]int g0/0/2

[ISP-GigabitEthernet0/0/2]ip add 23.0.0.2 24

[ISP-GigabitEthernet0/0/2]q

环回口(用于测试):

[ISP]int LoopBack 0

[ISP-LoopBack0]ip add 1.1.1.1 24

[ISP-LoopBack0]q

[ISP]dis ip int bri

5、相关安全策略配置:

(1)DMZ区的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区设备全天都是可以访问。

办公区访问DMZ服务器的安全策略:

生产区访问DMZ服务器的安全策略:

测试一下:

使用生产区的PC去ping DMZ区的server1:

在DMZ区server1中开启http服务,在生产区client1中获取相关地址的http文件:

测试成功!!!

(2)生产区不允许访问互联网,办公区和游客区允许访问互联网:

生产区:

办公区and游客区:

测试一下:但是由于我们暂时还没有在防火墙上面做NAT公私网地址转换,所以都ping不通,只有通过ping之后查看安全策略的流量变化。

未做操作时的流量情况(观察命中次数)

生产区pc1 ping ISP 的环回地址:

 

可以观察到自动匹配到了生产区不能访问互联网这条安全策略(该策略命中次数增加)

办公区PC2 ping ISP 的环回地址:

 

 

可以观察到自动匹配到了办公区和游客区能访问互联网这条安全策略(该策略命中次数增加)

测试成功!!!

(3)办公区设备10.0.2.20不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10。

Client2:10.0.2.:20不允许访问DMZ区的FTP服务器和HTTP服务器

Client2:10.0.2.:20仅能ping通DMZ区的10.0.3.10。

添加我们需要的client2和sever1的地址

我们需要更改一下安全策略的顺序(匹配顺序是自上到下),使我们刚刚创建的这两个策略放在最顶上,因为要求1中策略的范围过大,会影响我们实验测试效果。

测试一下:

10.0.2.20  ping 10.0.3.10:

10.0.2.20  ping 10.0.3.20:

Server1 开启http服务,使用client2去访问:

 

访问失败!!!

Server2 开启ftp服务,使用client2去访问:

 

访问失败!!!

测试成功!!!

6、相关认证策略配置:

(1)办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权利,门户网站地址10.0.3.10。

创建一个办公区(放在默认组的下一级):

创建一个游客区(放在默认组的下一级):

在办公区里面创建市场部和研发部:

在游客区中创建一个公共用户:(统一使用Guest用户登录,密码Admin@123)

做相关的认证策略,研发部IP地址(10.0.1.20)固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;

 

做安全策略使游客区人员不固定,不允许访问DMZ区和生产区,游客仅有访问公司门户网站和上网的权利,门户网站地址10.0.3.10。

注意要将游客区人员匹配门户网址这条策略放在游客区人员允许访问DMZ区和生产区这条策略之前才有效果。

测试一下:

使用游客区的client3 去访问门户网址10.0.3.10(http服务):

门户网址(server1)开启http服务:

使用游客区client3去访问门户网址:

获取成功!

测试成功!!!

(2)生产区访问DMZ区时,需要进行protal认证,设立生产区用户架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab@123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用

做认证策略使生产区访问DMZ区时,需要进行protal认证:

创建生产区(在default组下一级):

在生产组下创建三个部门:

在每个部门下创建三个用户:

批量创建用户过程演示(要取消勾选多人同时使用该账号,用户过期时间设定为10天)

 

 

7、创建一个自定义管理员,要求不能拥有系统管理的功能

先新建一个管理员角色(网络安全管理员):

再新建一个管理员(用户名密码自拟):

至此本实验全部结束!!!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1914819.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Java中的锁都有什么

文章目录 锁公平锁与非公平锁可重入锁与不可重入锁共享锁与独占锁悲观锁与乐观锁自旋锁与适应性自旋锁偏向锁轻量级锁与重量级锁可中断锁互斥锁死锁使用资源有序分配法避免死锁使用银行家算法避免死锁使用tryLock进行超时锁定 锁 在Java中根据锁的特性来划分可以分为很多&…

(自用)共享单车服务器(二) 项目日志

stdin、stdout、stderr 注意&#xff1a;stderr是不缓存的&#xff0c;stdout则进行行间缓存。接下来我们看下行间缓存的效果&#xff0c;请参考以下代码&#xff1a; #include "stdio.h" #include <unistd.h>int main(int argc, char** argv) {for (int i 0…

Hum Brain Mapp:青春期早期的灰质流失可以用白质生长来解释吗?

摘要 关于大脑发育的一个基本谜题是&#xff0c;为什么儿童进入青春期时&#xff0c;灰质(GM)体积明显减少&#xff0c;而白质(WM)体积明显增加。一种流行的理论认为&#xff0c;由于被修剪的突触太小而不足以影响脑灰质体积&#xff0c;因此大脑总体积保持稳定&#xff0c;而…

从0-1搭建一个web项目(页面布局详解)详解

本章分析页面布局详解详解 ObJack-Admin一款基于 Vue3.3、TypeScript、Vite3、Pinia、Element-Plus 开源的后台管理框架。在一定程度上节省您的开发效率。另外本项目还封装了一些常用组件、hooks、指令、动态路由、按钮级别权限控制等功能。感兴趣的小伙伴可以访问源码点个赞 地…

10个图源二维码分享及使用方法

我们曾在《8个图源二维码分享及使用方法》一文中&#xff0c;为你分享了8个图源二维码。 现在在此基础之上新增两个图源二维码&#xff0c;共享10个。 如果你需要这些图源&#xff0c;请在文末查看领取方式。 新增了哪两个图源 增加的两个图源分别是全球10m等高线地图和全球…

【HTML入门】第八课 - 链接的学习(二)

我们上一节学习了&#xff0c;链接的基本知识&#xff0c;有锚点&#xff0c;还有鼠标上移的title属性的作用&#xff0c;这一节&#xff0c;我们继续说链接的知识点。 目录 1 跳转本项目的网页 1.1 修改html文件名 1.2 新建index1.html文件 1.3 修改index1.html文件 1.4…

随身WiFi市场乱象横生,随身WiFi测评最好的格行随身WiFi如何引领变革?

在当今随身WiFi市场乱象频发、内卷严重的背景下&#xff0c;消费者对于产品的性能与商家是否会后台割韭菜依旧存疑&#xff0c;尤其是“随身WiFi到底卡不卡&#xff1f;”的问题&#xff0c;成为了广大消费者关注的重点。然而&#xff0c;在众多品牌中&#xff0c;格行随身WiFi…

浅谈开源项目对于我编程之路的影响

开源项目有哪些机遇与挑战&#xff1f; 随着全球经济和科技环境的快速变化&#xff0c;开源软件项目的蓬勃发展成为了开发者社区的热门话题。越来越多的开发者和企业选择参与开源项目&#xff0c;以推动技术创新和实现协作共赢。你如何看待当前开源项目的发展趋势&#xff1f;…

昇思25天学习打卡营第22天 | Shufflenet图像分类

ShuffleNet图像分类 当前案例不支持在GPU设备上静态图模式运行&#xff0c;其他模式运行皆支持。 ShuffleNet网络介绍 ShuffleNetV1是旷视科技提出的一种计算高效的CNN模型&#xff0c;和MobileNet, SqueezeNet等一样主要应用在移动端&#xff0c;所以模型的设计目标就是利用有…

分布式架构演进之路

文章目录 1 相关概念1.1 基本概念1.2 评价指标 2 架构演进2.1 单机架构2.2 应用数据分离架构2.3 应用服务集群架构2.4 读写分离/主从分离架构2.5 冷热分离架构&#xff08;缓存&#xff09;2.5 分库分表2.6 微服务架构 3 本章总结 1 相关概念 在正式引入架构演进之前&#xff…

不入耳耳机哪个品牌好便宜学生、不入耳式蓝牙耳机推荐

开放式耳机相较于传统的入耳式耳机&#xff0c;极大地提升了用户的听觉享受和佩戴时的持久舒适度。然而&#xff0c;如何找到一款性价比高、品质优良的开放式耳机也是一个不小的问题。不入耳耳机哪个品牌好便宜学生&#xff1f;为了帮助大家更好地做出选择&#xff0c;我结合自…

第5章 IT服务部署实施

第5章 IT服务部署实施 5.1 概述 IT服务部署实施是衔接IT服务规划设计与IT服务运营的中间阶段&#xff0c;负责对服务组件进行客户化&#xff0c;并在充分满足客户要求的前提下&#xff0c;使用标准化的方法管理人员、资源、技术和过程&#xff0c;包括计划、实施和管理生产环…

【排序 - 快速排序】

快速排序&#xff08;Quick Sort&#xff09;是一种高效的排序算法&#xff0c;它基于分治&#xff08;Divide and Conquer&#xff09;的策略。这种排序算法的核心思想是选择一个基准元素&#xff0c;将数组分割成两部分&#xff0c;使得左边的元素都小于等于基准元素&#xf…

二分查找算法【折半查找算法】

二分查找算法 二分查找算法&#xff0c;也称为折半查找&#xff0c;是一种在有序数组中查找特定元素的高效算法。它的工作原理是通过不断地将搜索区间减半来缩小目标值可能存在的范围&#xff0c;直至找到目标值或确定目标值不存在于数组中。二分查找的关键在于每次比较都能排…

【堆 优先队列】1354. 多次求和构造目标数组

本文涉及知识点 堆 优先队列 LeetCode1354. 多次求和构造目标数组 给你一个整数数组 target 。一开始&#xff0c;你有一个数组 A &#xff0c;它的所有元素均为 1 &#xff0c;你可以执行以下操作&#xff1a; 令 x 为你数组里所有元素的和 选择满足 0 < i < target.…

瓦罗兰特游戏帧数低怎么办 瓦罗兰特游戏帧率提不上去怎么解决

瓦罗兰特是一款由拳头游戏&#xff08;Riot Games&#xff09;开发的5v5英雄射击游戏。结合了MOBA元素&#xff0c;每个角色都拥有四个独特的技能&#xff1b;提供了多种游戏模式&#xff0c;如5V5战术射击等&#xff1b;角色和皮肤设计丰富。游戏中&#xff0c;玩家将扮演各具…

《梦醒蝶飞:释放Excel函数与公式的力量》10.3 IMABS函数

第一节 10.3 IMABS函数 10.3.1 函数简介 IMABS函数是Excel中的一个工程函数&#xff0c;用于计算复数的绝对值&#xff08;模&#xff09;。在工程和科学计算中&#xff0c;复数的模是一个重要的概念&#xff0c;表示复数在复平面上到原点的距离。 10.3.2 语法&#xff1a; …

idea控制台乱码问题解决教程

注&#xff1a;按顺序来操作&#xff0c;完成后要重启软件 方案一&#xff1a;修改Tomcat的编码设置 在Tomcat的VM options中添加了-Dfile.encodingUTF-8 方案二&#xff1a;修改IDEA的编码设置 File->Settings->Editor->File Encodings 将Global Encoding、Proj…

顶顶通呼叫中心中间件-打电话没声音检查步骤(mod_cti基于FreeSWITCH)

顶顶通呼叫中心中间件-电话没声音检查步骤(mod_cti基于FreeSWITH) 检查步骤 1、检查配置文件 检查配置文件&#xff1a;打开ccadmin -> 配置文件 -> vars -> external_ip$${local_ip_v4}看一下这个有没有配置正确的外网IP&#xff0c;如果没有配置正确就需要配置正…

【C++】开源:drogon-web框架配置使用

&#x1f60f;★,:.☆(&#xffe3;▽&#xffe3;)/$:.★ &#x1f60f; 这篇文章主要介绍drogon-web框架配置使用。 无专精则不能成&#xff0c;无涉猎则不能通。——梁启超 欢迎来到我的博客&#xff0c;一起学习&#xff0c;共同进步。 喜欢的朋友可以关注一下&#xff0c;…