实验要求：

实现： 

防火墙接口配置：

所有接口均配置为三层接口

由于G1/0/3口下为vlan环境，所以防火墙需要配置子接口 ：

交换机划分vlan分开生产区和办公区、配置trunk干道 ：

 安全策略：

生产区访问dmz的策略： 

办公区访问dmz的策略：

 

办公区的10.0.2.20不允许访问dmz区的ftp服务器和http服务器，只能ping通10.0.3.10，由于已经有了办公区访问dmz的策略，此时再写一条针对10.0.2.20的策略为，拒绝10.0.2.20访问dmz区的ftp，http服务，放在bg to dmz前

游客访问办公区：

 

创建用户组及用户：

 

设置认证策略：

认证选项改为首次登录需要修改密码，十天后账号过期：