防御实验:(部分)

步骤一:了解前提:

1.1 题目要求:

需求一:DMZ区存在两台服务器,现在要求生产区的设备仅能在办公时间(9:00 - 18:00)访问,办公区的设备全天都可以访问。

需求二:办公区可以全天访问dmz区

1.2 拓扑搭建,IP地址规划。

防御实验:(部分)_第1张图片

步骤二:二层配置

2.1 配置IP地址

首先配置生产区(vlan2)内的设备,例如:PC2

防御实验:(部分)_第2张图片

配置办公区(vlan3)内的设备:例如:Clienr2

防御实验:(部分)_第3张图片

配置DMZ区内地地址:例如:Server2

防御实验:(部分)_第4张图片

2.2 valn配置

sys
[Huawei]vlan batch 2 3
[Huawei]int g 0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access        # 定义接口类型

[Huawei-GigabitEthernet0/0/2]port default  vlan 2           # 定义所属valn

[Huawei]int g 0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type access 
[Huawei-GigabitEthernet0/0/3]port default vlan 3
 

[Huawei-GigabitEthernet0/0/3]int g 0/0/1  
[Huawei-GigabitEthernet0/0/1]port link-type trunk 
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan  2 3     # 放通vlan 2 3 内的流量

[Huawei-GigabitEthernet0/0/1]undo  port trunk allow-pass vlan  1  # 出于对网络安全的考虑,拒绝vlan1内的流量通过

步骤三:三层的配置(防火墙配置)

3.1 IP地址配置

Username:admin
Password:        # 密码为Admin@123
The password needs to be changed. Change now? [Y/N]: y
Please enter old password:     
Please enter new password:        # 修改新密码为Admin@321
Please confirm new password: 

 Info: Your password has been changed. Save the change to survive a reboot. 
*************************************************************************
*         Copyright (C) 2014-2018 Huawei Technologies Co., Ltd.         *
*                           All rights reserved.                        *
*               Without the owner's prior written consent,              *
*        no decompiling or reverse-engineering shall be allowed.        *
*************************************************************************
sys

[USG6000V1]int g 0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.100.1 24   # 修改IP地址

[USG6000V1-GigabitEthernet0/0/0] service-manage all permit    # 开启服务

3.2 云配置

防御实验:(部分)_第5张图片

防御实验:(部分)_第6张图片

防御实验:(部分)_第7张图片

防御实验:(部分)_第8张图片

3.3  在浏览器上使用https协议登陆防火墙,并操作

访问网址:https://192.168.100.1:8443

防御实验:(部分)_第9张图片

使用之前重置的密码进行登陆

防御实验:(部分)_第10张图片

进入网络模块

防御实验:(部分)_第11张图片

第一步:配置对应dmz区的G1/0/0接口

防御实验:(部分)_第12张图片

第二步:创建新的区域

防御实验:(部分)_第13张图片

选择新建

防御实验:(部分)_第14张图片

创建SC(生产区)

防御实验:(部分)_第15张图片

创建BG(办公区)

防御实验:(部分)_第16张图片

第三步:子接口创建

切换到接口模块,选择新建:

防御实验:(部分)_第17张图片

创建连接生产区的(vlan2)的接口:

防御实验:(部分)_第18张图片

创建连接生产区的(vlan3)的接口:创建方式与G1/0/3.1相同

防御实验:(部分)_第19张图片

第四步:查看路由表

防御实验:(部分)_第20张图片

第五步:ping网关,测试网络连通性。

防御实验:(部分)_第21张图片

防御实验:(部分)_第22张图片

防御实验:(部分)_第23张图片

步骤四:服务器配置

将台服务器分别配置为HTTP服务器和FTP服务器

HTTP服务器:

防御实验:(部分)_第24张图片

FTP服务器: 

防御实验:(部分)_第25张图片

步骤五:配置安全策略

进入防火墙安全策略模块,按需求进行策略配置

默认存在的该条安全策略,只可以修改动作“允许,禁止”

防御实验:(部分)_第26张图片

完成需求一:

DMZ区存在两台服务器,现在要求生产区的设备仅能在办公时间(9:00 - 18:00)访问,办公区的设备全天都可以访问。

防御实验:(部分)_第27张图片

防御实验:(部分)_第28张图片

第一部分:具体解析

源地址/地区

防御实验:(部分)_第29张图片

目的地址/地区

防御实验:(部分)_第30张图片

针对应用--基本属性

防御实验:(部分)_第31张图片

针对应用--基本规则

防御实验:(部分)_第32张图片

防御实验:(部分)_第33张图片

第二部分:检测

此时该安全策略已经开始执行,但由于不在时间段内一次暂时不生效

防御实验:(部分)_第34张图片

因此我们可以修改时间段来测试其可使用性:(暂时修改未any)

防御实验:(部分)_第35张图片

结果表明:实验结果正确

防御实验:(部分)_第36张图片

防御实验:(部分)_第37张图片

你可能感兴趣的:(网络安全防御,网络,安全)