防御实验：(部分）

步骤一：了解前提：

1.1 题目要求：

需求一：DMZ区存在两台服务器，现在要求生产区的设备仅能在办公时间（9：00 - 18：00）访问，办公区的设备全天都可以访问。

需求二：办公区可以全天访问dmz区

1.2 拓扑搭建，IP地址规划。

步骤二：二层配置

2.1 配置IP地址

首先配置生产区（vlan2）内的设备，例如：PC2

配置办公区（vlan3）内的设备：例如:Clienr2

配置DMZ区内地地址：例如：Server2

2.2 valn配置

sys
[Huawei]vlan batch 2 3
[Huawei]int g 0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access        # 定义接口类型

[Huawei-GigabitEthernet0/0/2]port default  vlan 2           # 定义所属valn

[Huawei]int g 0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type access 
[Huawei-GigabitEthernet0/0/3]port default vlan 3
 

[Huawei-GigabitEthernet0/0/3]int g 0/0/1  
[Huawei-GigabitEthernet0/0/1]port link-type trunk 
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan  2 3     # 放通vlan 2 3 内的流量

[Huawei-GigabitEthernet0/0/1]undo  port trunk allow-pass vlan  1  # 出于对网络安全的考虑，拒绝vlan1内的流量通过

步骤三：三层的配置（防火墙配置）

3.1 IP地址配置

Username:admin
Password:        # 密码为Admin@123
The password needs to be changed. Change now? [Y/N]: y
Please enter old password:     
Please enter new password:        # 修改新密码为Admin@321
Please confirm new password: 

 Info: Your password has been changed. Save the change to survive a reboot. 
*************************************************************************
*         Copyright (C) 2014-2018 Huawei Technologies Co., Ltd.         *
*                           All rights reserved.                        *
*               Without the owner's prior written consent,              *
*        no decompiling or reverse-engineering shall be allowed.        *
*************************************************************************
sys

[USG6000V1]int g 0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.100.1 24   # 修改IP地址

[USG6000V1-GigabitEthernet0/0/0] service-manage all permit    # 开启服务

3.2 云配置

3.3  在浏览器上使用https协议登陆防火墙，并操作

访问网址：https://192.168.100.1:8443

使用之前重置的密码进行登陆

进入网络模块

第一步：配置对应dmz区的G1/0/0接口

第二步：创建新的区域

选择新建

创建SC（生产区）

创建BG（办公区）

第三步：子接口创建

切换到接口模块，选择新建：

创建连接生产区的（vlan2）的接口：

创建连接生产区的（vlan3）的接口：创建方式与G1/0/3.1相同

第四步：查看路由表

第五步：ping网关，测试网络连通性。

步骤四：服务器配置

将台服务器分别配置为HTTP服务器和FTP服务器

HTTP服务器：

FTP服务器： 

步骤五：配置安全策略

进入防火墙安全策略模块，按需求进行策略配置

默认存在的该条安全策略，只可以修改动作“允许，禁止”

完成需求一：

DMZ区存在两台服务器，现在要求生产区的设备仅能在办公时间（9：00 - 18：00）访问，办公区的设备全天都可以访问。

第一部分：具体解析

源地址/地区

目的地址/地区

针对应用--基本属性

针对应用--基本规则

第二部分：检测

此时该安全策略已经开始执行，但由于不在时间段内一次暂时不生效

因此我们可以修改时间段来测试其可使用性：（暂时修改未any）

结果表明：实验结果正确