一个网站建设大概需要多少费用,项目管理师证书报考条件,百度动态排名软件,做哪个网站招出国打工的多目录 一、实验拓扑图
二、实验要求
三、实验思路
四、实验步骤
1、打开ensp防火墙的web服务#xff08;带内管理的工作模式#xff09;
2、在FW1的web网页中网络相关配置
3、交换机LSW6#xff08;总公司#xff09;的相关配置#xff1a;
4、路由器相关接口配置带内管理的工作模式
2、在FW1的web网页中网络相关配置
3、交换机LSW6总公司的相关配置
4、路由器相关接口配置
5、相关安全策略配置
1DMZ区的服务器办公区仅能在办公时间内9:00-18:00可以访问生产区设备全天都是可以访问。
2生产区不允许访问互联网办公区和游客区允许访问互联网
3办公区设备10.0.2.20不允许访问DMZ区的FTP服务器和HTTP服务器仅能ping通10.0.3.10。
6、相关认证策略配置
1办公区分为市场部和研发部研发部IP地址固定访问DMZ区使用匿名认证研发部需要用户绑定IP地址访问DMZ区使用免认证游客区人员不固定不允许访问DMZ区和生产区统一使用Guest用户登录密码Admin123游客仅有访问公司门户网站和上网的权利门户网站地址10.0.3.10。
2生产区访问DMZ区时需要进行protal认证设立生产区用户架构至少包含三个部门每个部门三个用户用户统一密码openlab123首次登录需要修改密码用户过期时间设定为10天用户不允许多人使用
7、创建一个自定义管理员要求不能拥有系统管理的功能 一、实验拓扑图 二、实验要求
1、DMZ区的服务器办公区仅能在办公时间内9:00-18:00可以访问生产区设备全天都是可以访问的
2、生产区不允许访问互联网办公区和游客区允许访问互联网
3、办公区设备10.0.2.20不允许访问DMZ区的FTP服务器和HTTP服务器仅能ping通10.0.3.10
4、办公区分为市场部和研发部研发部IP地址固定访问DMZ区使用匿名认证研发部需要用户绑定IP地址访问DMZ区使用免认证
游客区人员不固定不允许访问DMZ区和生产区统一使用Guest用户登录密码Admin123游客仅有访问公司门户网站和上网的权利门户网站地址10.0.3.10
5、生产区访问DMZ区时需要进行protal认证设立生产区用户架构至少包含三个部门每个部门三个用户用户统一密码openlab123
首次登录需要修改密码用户过期时间设定为10天用户不允许多人使用
6、创建一个自定义管理员要求不能拥有系统管理的功能 三、实验思路
首先拓扑图中各个设备的IP地址划分合理会使用FW的web服务操作要注意在这个拓扑图中FW的组网方式是路由模式FW与总公司连接的生产区和办公区的接口需要使用到子接口各个交换机接口配置要注意是access口还是trunk口根据实验要求做出相关的安全策略和认证策略创建管理员并给它指定相关功能 四、实验步骤 1、打开ensp防火墙的web服务带内管理的工作模式
Clound1(云)的操作
要增加一条UDP的信息和一张虚拟网卡不要使用电脑中的真实网卡可以自己添加一张虚拟环回网卡的信息要形成双向通道在端口映射表中显现出来 FW的基本操作
开启防火墙后需要登录用户名和密码第一次默认的用户名admin密码Admin123;
登录成功之后需要修改你的密码才能进入防火墙的用户视图。 防火墙的g0/0/0口默认的IP地址为192.168.0.1/24;但是我们需要在浏览器中打开FW的web服务就需要将g0/0/0接口的IP地址修改为与我们Clound中虚拟网卡通一个网段才行。
列如我的虚拟网卡的IP为192.168.142.1/24,那么我们就修改防火墙g0/0/0接口的IP为192.168.142.10/24。保证在同一个网站那么我们的浏览器就可以访问。
在防火墙中g0/0/0口中开启所有的服务
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit
如果你的浏览器搜索防火墙g0/0/0的IP地址的web网页打不开有以下几种解决方案
首先检查你的FW和Clound中虚拟网卡的配置是否正确将Ncap、火绒、完美竞技平台等等与ensp不兼容的程序卸载关闭你的杀毒软件和系统的防火墙换几个浏览器试一试或者写一个小众的IP地址如172.156.142.1 PC、server、client的相关基本配置
PC1: PC2: PC5: Server1 Server2 Client1 Client2 Client3 2、在FW1的web网页中网络相关配置
添加安全区域SC,BG,YK G1/0/0: G1/0/1: G1/0/2: G1/0/3:配置对应的子接口
G1/0/3.1: G1/0/3.2 G1/0/4: 总的接口列表 启动访问管理选项将ping勾选了便于后续测试 3、交换机LSW6总公司的相关配置
生产区[Huawei]int g0/0/2[Huawei-GigabitEthernet0/0/2]port link-type access[Huawei-GigabitEthernet0/0/2]port default vlan 2办公区[Huawei-GigabitEthernet0/0/2]int g0/0/3[Huawei-GigabitEthernet0/0/3]p l a[Huawei-GigabitEthernet0/0/3]p d v 3与防火墙相连[Huawei-GigabitEthernet0/0/3]int g0/0/1[Huawei-GigabitEthernet0/0/1]p l t[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3[Huawei-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1 4、路由器相关接口配置
[Huawei]sysname ISP电信接口端[ISP]int g0/0/0[ISP-GigabitEthernet0/0/0]ip add 12.0.0.2 24移动接口端[ISP-GigabitEthernet0/0/0]int g0/0/1[ISP-GigabitEthernet0/0/1]ip add 21.0.0.2 24分公司接口端[ISP-GigabitEthernet0/0/1]int g0/0/2[ISP-GigabitEthernet0/0/2]ip add 23.0.0.2 24[ISP-GigabitEthernet0/0/2]q环回口用于测试[ISP]int LoopBack 0[ISP-LoopBack0]ip add 1.1.1.1 24[ISP-LoopBack0]q[ISP]dis ip int bri 5、相关安全策略配置 1DMZ区的服务器办公区仅能在办公时间内9:00-18:00可以访问生产区设备全天都是可以访问。 办公区访问DMZ服务器的安全策略 生产区访问DMZ服务器的安全策略 测试一下 使用生产区的PC去ping DMZ区的server1 在DMZ区server1中开启http服务在生产区client1中获取相关地址的http文件 测试成功 2生产区不允许访问互联网办公区和游客区允许访问互联网
生产区 办公区and游客区 测试一下但是由于我们暂时还没有在防火墙上面做NAT公私网地址转换所以都ping不通只有通过ping之后查看安全策略的流量变化。
未做操作时的流量情况观察命中次数
生产区pc1 ping ISP 的环回地址 可以观察到自动匹配到了生产区不能访问互联网这条安全策略该策略命中次数增加 办公区PC2 ping ISP 的环回地址 可以观察到自动匹配到了办公区和游客区能访问互联网这条安全策略该策略命中次数增加
测试成功 3办公区设备10.0.2.20不允许访问DMZ区的FTP服务器和HTTP服务器仅能ping通10.0.3.10。
Client210.0.2.:20不允许访问DMZ区的FTP服务器和HTTP服务器 Client210.0.2.:20仅能ping通DMZ区的10.0.3.10。
添加我们需要的client2和sever1的地址 我们需要更改一下安全策略的顺序匹配顺序是自上到下使我们刚刚创建的这两个策略放在最顶上因为要求1中策略的范围过大会影响我们实验测试效果。
测试一下
10.0.2.20 ping 10.0.3.10 10.0.2.20 ping 10.0.3.20
Server1 开启http服务使用client2去访问 访问失败 Server2 开启ftp服务使用client2去访问 访问失败 测试成功 6、相关认证策略配置 1办公区分为市场部和研发部研发部IP地址固定访问DMZ区使用匿名认证研发部需要用户绑定IP地址访问DMZ区使用免认证游客区人员不固定不允许访问DMZ区和生产区统一使用Guest用户登录密码Admin123游客仅有访问公司门户网站和上网的权利门户网站地址10.0.3.10。 创建一个办公区放在默认组的下一级
创建一个游客区放在默认组的下一级 在办公区里面创建市场部和研发部 在游客区中创建一个公共用户统一使用Guest用户登录密码Admin123 做相关的认证策略研发部IP地址10.0.1.20固定访问DMZ区使用匿名认证研发部需要用户绑定IP地址访问DMZ区使用免认证 做安全策略使游客区人员不固定不允许访问DMZ区和生产区游客仅有访问公司门户网站和上网的权利门户网站地址10.0.3.10。 注意要将游客区人员匹配门户网址这条策略放在游客区人员允许访问DMZ区和生产区这条策略之前才有效果。 测试一下
使用游客区的client3 去访问门户网址10.0.3.10http服务
门户网址server1开启http服务
使用游客区client3去访问门户网址
获取成功
测试成功 2生产区访问DMZ区时需要进行protal认证设立生产区用户架构至少包含三个部门每个部门三个用户用户统一密码openlab123首次登录需要修改密码用户过期时间设定为10天用户不允许多人使用 做认证策略使生产区访问DMZ区时需要进行protal认证 创建生产区在default组下一级 在生产组下创建三个部门 在每个部门下创建三个用户
批量创建用户过程演示要取消勾选多人同时使用该账号用户过期时间设定为10天 7、创建一个自定义管理员要求不能拥有系统管理的功能
先新建一个管理员角色网络安全管理员
再新建一个管理员用户名密码自拟 至此本实验全部结束
