一、实验拓扑
二、实验要求
1、DMZ区内的服务器,办公区仅能在办公时间(9:00-18:00)内可以访问;生产区的设备全天可以访问
2、生产区不允许访问互联网,办公区和游客区允许访问互联网
3、办公区设备10.0.2.10不允许访问DMZ的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4、办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证;游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123
5、生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码Openlab@123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
6、创建一个自定义管理员,要求不能拥有系统管理的功能
三、实验思路
1、先看二层,创建vlan,划分区域
2、再看三层,给路由器、防火墙配置IP,划分区域
3、配置安全策略达到实验要求1、2、3
4、配置用户认证,创建用户组、用户,通过认证策略达到要求4、5
5、创建管理员,系统功能只读
四、实验配置
1、配置vlan
[Huawei]vlan batch 2 3
[Huawei]int g0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 2
[Huawei-GigabitEthernet0/0/2]int g0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type access
[Huawei-GigabitEthernet0/0/3]port default vlan 3
[Huawei-GigabitEthernet0/0/3]int g0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type trunk
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
[Huawei-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1
2、配置路由器、防火墙IP地址,划分区域
ISP:
[ISP]int g0/0/0
[ISP-GigabitEthernet0/0/0]ip add 12.0.0.2 24
[ISP-GigabitEthernet0/0/0]int g0/0/2
[ISP-GigabitEthernet0/0/2]ip add 21.0.0.2 24
[ISP-GigabitEthernet0/0/2]int l0
[ISP-LoopBack0]ip add 1.1.1.1 24
先登录:admin/Admin@123
Username:admin
Password:
The password needs to be changed. Change now? [Y/N]: y
Please enter old password:
Please enter new password: (Huawei@123)
Please confirm new password:
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.100.1 24
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit
云配置:
g1/0/1和g1/0/2连外网要配网关当默认缺省,放在untrust区域
g0/0/0放在DMZ区域
g1/0/3创建两个子接口,放在两个不同的区域:
办公区:
生产区:
创建子接口,办公区属于vlan3
创建子接口,生产区属于vlan2
游客区:
测试是否ping通:
3、配置安全策略
先创建地址方便管理:
策略一:
办公区:
源地址/目的地址可以直接写,或者选择创建地址
按要求新建时间段work(9:00-18:00);其他如图
服务主要充当两种:http和ftp;而icmp方便测试,可不放
生产区
源地址/目的地址可以不写,则为any,访问所有
时间段:全天,则只需选择允许
若显示时间不符合,则在系统中选择本地时间同步:
测试:启动服务器,用客户端访问
策略二:
默认会有一条拒绝策略,则我们只需配置允许访问互联网的策略
测试:
策略三:
前面需求满足了办公区所有设备访问DMZ区的HTTP、FTP、ICMP服务,所以这里只用写一条拒绝10.0.2.10访问DMZ区的FTP和HTTP服务即可
测试:
4、配置用户认证
假设10.0.2.20为研发部,10.0.2.10为市场部,则需要写两条认证策略
策略一:
策略二:
测试:
游客区先写一条安全策略禁止游客区访问DMZ区和生产区
策略三:
统一使用Guest用户登录,密码Admin@123,必须勾选多人使用
测试:
策略四:
先写一条认证策略
创建用户组、用户
生产区有3个部门
每个部门3个用户:
在认证选项中勾选首次登录需要修改密码
5、创建管理员
在系统中找到管理员,创建管理员角色,系统功能只读
