一、拓扑图
二、实验要求
1、DMZ区的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区设备全天都是可以访问的
2、生产区不允许访问互联网,办公区和游客区允许访问互联网
3、办公区设备10.0.2.20不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4、办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权利,门户网站地址10.0.3.10
5、生产区访问DMZ区时,需要进行protal认证,设立生产区用户架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab@123,
首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
6、创建一个自定义管理员,要求不能拥有系统管理的功能
三、实验步骤
1、
开启防火墙后需要登录用户名和密码,第一次默认的用户名:admin,密码:Admin@123;
登录成功之后需要修改你的密码才能进入防火墙的用户视图。配置g0/0/0接口的IP地址(要和云端的虚拟网卡在同一个网段),这里我个人建议使用VMware Network的VMnet8网卡方便而且还快,然后开启所有的服务:service-manage all permit。
2.pc、server、client的相关配置:
PC1:
server1:
client2:
等都差不多就不一一截图了。
3.FW1的Web网页中的配置
例如:
等等。
最后
4.相关安全配置:
使用SC区的PCping一下DMZ的server:
访问成功
用Server1开启http服务,使用client2去访问,访问失败;server2开启ftp服务,使用client2去访问,也访问失败。
5、相关认证策略配置:
创建一个办公区:
创建一个游客区:
在办公区里面创建市场部和研发部:
在游客区中创建一个游客:
做相关的认证策略,研发部IP地址(10.0.1.20)固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;
禁止访问DMZ区和生产区,游客只能上网
生产区访问DMZ需要进行protal认证,设立生产区用户架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab@123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
protal认证:
先建一个生产区
创建部门:
创建多名用户:
建议使用批量创造
7.创造一个管理员
先创建一个管理员角色:
再创建一个管理员:
