目录

前言：

一、实验题目

二、实验操作

需求一

需求二

需求三

需求四、需求五

需求六

需求七

​编辑

需求八

需求九

需求十

需求十一

三、需求测试

---

前言：

        本篇文章是延续上一篇文章，简单来说就是防火墙实验的完善和延续，本次主要完善的模块是内外网的NAT转换以及如何通过策略进行智能选路，我们的实验图也会拓展好公网和分公司部分的内容，当然，为了更好的让大家理解，我也会将所有需求再写一遍。

一、实验题目

1，DMZ区内的服务器，办公区仅能在办公时间内（9：00 - 18：00）可以访问，生产区的设备全   天可以访问.
2，生产区不允许访问互联网，办公区和游客区允许访问互联网
3，办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器，仅能ping通10.0.3.10
4，办公区分为市场部和研发部，市场部IP地址固定，访问DMZ区使用匿名认证，研发部需要用户绑定IP地址，访问DMZ区使用免认证；
游客区人员不固定，不允许访问DMZ区和生产区，统一使用Guest用户登录，密码Admin@123
5，生产区访问DMZ区时，需要进行protal认证，设立生产区用户组织架构，至少包含三个部门，每个部门三个用户，用户统一密码openlab123，首次
登录需要修改密码，用户过期时间设定为10天,用户不允许多人使用
6，创建一个自定义管理员，要求不能拥有系统管理的功能
7，办公区设备可以通过电信链路和移动链路上网(多对多的NAT，并且需要保留一个公网IP不能用 来转换)
8，分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
9，多出口环境基于带宽比例进行选路，但是，办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护，保护阈值80%；
10，分公司内部的客户端可以通过域名访问到内部的服务器，公网设备也可以通过域名访问到分公司内部服务器；
11，游客区仅能通过移动链路访问互联网

二、实验操作

首先我们将防火墙与互联网的映射关系通过ensp里面的cloud配置好，然后再浏览器中登录192.168.10.1：8443域名，这样就可以进入防火墙的可视化界面。

进入后的可视化界面如下图所示：

我们可以看到，该界面有策略、对象、网络等模块，这些就是我们要重点配置的地方。

我们先将系统中的时钟配置调整为与PC端一致，以便于后续操作。

在实验拓扑图中，我们可以看到一共分为好几个区域，所以第一步我们要将这几个安全区域新建出来，在防火墙中自带local/trust/untrust/dmz区域，所以我们只要新建生产区与办公区、游客区即可，内网连接LSP的两条链路（电信与移动）可以分配至不信任区域。

防火墙连接着许多接口，每一个接口都对应着该区域的网关，也在网络模块中配置，我们给每个区域分配的网段如下所示：

dmz区：10.0.3.0/24

生产区：10.0.1.0/24

办公区：10.0.2.0/24

游客区：10.0.0.0/24

电信业务：12.0.0.0/24

移动业务：21.0.0.0/24

需求一

由于总公司的业务流量是分为两个不同的网段的，所以划分vlan，生产区vlan2，办公区vlan3，在交换机中进行配置，且总公司交换机上口设置trunk干道，允许流量都通过，当然，好习惯必不可少，一定要顺便禁止vlan1流量通过，防火墙G1/0/1接口新建两个子接口接受不同流量。

防火墙接口配置：

总公司交换机配置：

接下来的需求通过安全策略实现，针对生产区和办公区用户访问dmz区域服务，撰写两个策略，生产区新建一个（9：00-18：00工作日）的时间段。

需求二

配置防火墙NAT策略，先将LSP配置环回地址和接口地址，方便后续测试。

办公区和游客区允许访问互联网。

easy ip选择出接口地址，配置完成后，点击新建安全策略，里面可以更精细化配置。

需求三

我们可以再写两条安全策略便于精细化管理，第一条直接将http/ftp/icmp服务设为禁止，第二条让10.0.2.10这个设备智能ping通10.0.3.10这个http server。

一定要把策略的顺序排好！！！自上而下逐级匹配！！！

需求四、需求五

市场部用户的匿名认证可以不用创建，研发部需要创建。

游客区创建，这个账号为公有用户。

直接进入用户模块就可以批量创建用户和用户组，剩下两个部门一样操作，不与展示。

首次登陆修改密码，勾选上即可。

另外这个我们也要应用

接下来就是做认证策略，有一个生产区的portal认证，以及办公区两个部门的匿名认证和免认证。

需求六

现在管理员角色里面创建一个网络管理员，不给系统权限，在管理员里面创建一个SmilingMrRui。

需求七

办公区设备可以通过电信链路上网。

办公区设备可以通过移动链路上网。

需求八

需要在FW2上进行配置

需求九

在网络模块中的路由智能选路中进行配置。

办公区设备10.0.2.10只能通过电信链路访问互联网

需求十

需求十一

在策略路由中添加，游客区只能通过移动链路进行上网。

三、需求测试

实现网关都通：

生产区周六无法访问，办公区一直可以访问：

生产区用户：

办公区用户：

办公区设备10.0.2.10不能访问dmz的HTTP和ftp服务器，仅能ping：

FTP server：

HTTP server：

ping：

管理员登入无系统权限：

办公区游客区访问公网：

注意：安全的策略一定要注意匹配顺序，是自上而下逐级匹配。