1.实验拓扑及要求

• 1，Dz区内的服务器，办公区仅能在办公时间内(9: 00 - 18 : 00〉可以访问，生产区的设备全天可以访问.

• 2，生产区不允许访问互联网，办公区和游客区允许访问互联网

• 3，办公区设备10.0.2.10不允许访问dwz区的FTP服务器和HTTP服务器，仅能ping通10.0.3.10

• 4，办公区分为市场部和研发部，研发部IP地址固定，访问dwz区使用匿名认证，市场部需要用户绑定IP地址，访问pwz区使用 免认证;游客区人员不固定，不允许访问dwz区和生产区，统一使用quest用户登录，密码Admin@123, 游客仅有访问公司门户网站和上网的权限，门户网站地址10.0.3.10

• 5，生产区访问bwz区时，需要进行protal认证，设立生产区用户组织架构，至少包含三个部门，每个部门三个用户，用户统一密码openlab123，首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用

• 6，创建一个自定义管理员,要求不能拥有系统管理的功能

2.实验思路

1. 首先搭建实验toop图，连接好线路

2. 将主机的IP地址什么的配置好

3. 配置云，使web连接上防火墙

4. 在防火墙内做好安全域，接口的配置

5. 然后根据需求编写策略

   • 需求一只需要分别给办公区和生产区配置一条能到dmz区的策略即可，办公区加一个时间限制

   • 需求二生产区不能访问互联网不写策略就能满足或者为了安全写一条拒绝的策略；给办公区和游客区加一条去往untrunst区的策略

   • 需求三先写一条10.0.2.10不能去dmz的策略，在写一条10.0.2.10只能通过icmp目的为10.0.3.10的策略，最后将第一条策略放在第二条下面

   • 需求四创建好办公区认证域，分为研发部和市场部，研发部的人员地址单向绑定，制定策略指向dmz用匿名认证；生产部人员用双向绑定，策略指向dmz用免认证；创建游客区，制定第一条：安全策略不能访问生产区和dmz区，第二条安全策略游客区可以访问10.0.3.10公司门户，放于第一条策略前面，创建游客区用户用Guest为用户名，Admin@123为密码，可多人使用该用户，自定策略为去往untrunst区和10.0.3.10，匿名认证

   • 需求五进入用户，修改全局配置，密码等级中等，首次登陆改密码，过期时间10天 ，创建生产区，创建三个组sc1，sc2，sc3；又分别为每个组创建三个用户，设置密码为openlab123，不允许多人登陆，制定策略为访问dmz区

   • 需求六进入系统，创建管理员admin_down角色：除了系统管理，其他全选上，创建管理员：local， 密码：local@123， 角色为：admin_dwon

3.实验过程

3.1搭建toop图

3.2基础配置

1.sw6

vlan bacth 2 3
interface GigabitEthernet0/0/1
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 2 to 3
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 2
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 3

2.客户端配置地址,网关等。。。

3.http服务器

4.ftp服务器

5.ISP

interface GigabitEthernet0/0/0
 ip address 12.0.0.2 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 21.0.0.2 255.255.255.0 
#
interface LoopBack0
 ip address 1.1.1.1 255.255.255.0 

6.yun

7.防火墙

1.g0/0/0配置web连接

interface GigabitEthernet0/0/0
 ip address 192.168.192.1 255.255.255.0
 service-manage all permit

2.web连接防火墙

3.配置1/0/0

4.配置G1/0/1

5.配置G1/0/2

6.配置G1/0/3

• 为了实现生产区和办公区的信息交流这里需要用到单臂路由。

创建安全SC，BG区域

配置子接口

7.配置g1/0/4

配置YK安全域

3.3核心配置

1，DMZ区内的服务器，办公区仅能在办公时间内(9: 00 - 18 : 00〉可以访问，生产区的设备全天可以访问.

创建地区

BG策略

SC策略

测试一下

办公区：17：00测试

2，生产区不允许访问互联网，办公区和游客区允许访问互联网

创建地区

办公区不能访问外网

办公区游客区能访问外网

3，办公区设备10.0.2.10不允许访问dwz区的FTP服务器和HTTP服务器，仅能ping通10.0.3.10

将这条策略移动到顶

这里方便测试吧pc换成了client，显然达到了目的

4，办公区分为市场部和研发部，研发部IP地址固定，访问dwz区使用匿名认证，市场部需要用户绑定IP地址，访问pwz区使用免认证;游客区人员不固定，不允许访问dwz区和生产区，统一使用quest用户登录，密码Admin@123, 游客仅有访问公司门户网站和上网的权限，门户网站地址10.0.3.10

研发部IP地址固定，访问dwz区使用匿名认证

创建办公区认证域

创建研发部组

创建研发人员用户

制定策略

测试

成功命中

市场部需要用户绑定IP地址，访问pwz区使用免认证

创建市场部用户组

创建市场部用户名

制定策略

测试

成功命中

办公区用户结构

游客区人员不固定，不允许访问dwz区和生产区，有访问公司门户网站，门户网站地址10.0.3.10

不写dwz和生产区的策略自然就不能访问了，所以只需要写能到10.0.3.10即可

测试

可以明显看到游客区访问门户网站OK，但是其他地方就不行

游客有上网的权限

统一使用quest用户登录，密码Admin@123,

创建游客域

创建游客用户

制定策略

测试

由于ensp限制pc段不能进行protal用户认证所以ping不通，但是能命中策略

5，生产区访问dwz区时，需要进行protai认证，设立生产区用户组织架构，至少包含三个部门，每个部门三个用户，用户统一密码openlab123，首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用，

创建生产域

创建生产组

批量创建用户

生产区组织架构

首次登录需要修改密码,用户过期时间设定为10天

编写策略

测试

由于ensp限制pc段不能进行protal用户认证所以ping不通，但是能命中策略

6.创建一个自定义管理员,要求不能拥有系统管理的功能

创建管理员角色

创建管理员

测试