防御保护防火墙的NET使用

要求如下

防御保护防火墙的NET使用_第1张图片

下图为实验图:根据四条要求分析,,图中的分公司与本实验无关,直接无视掉。

防御保护防火墙的NET使用_第2张图片

要求一:生产区在工作时间内可以访问服务器区(DMZ),仅可以访问http服务器;

要求二:办公区全天可以访问服务器区,其中10.0.2.20可以访问TP服务器和HTTP服务器,10.0.2.10仅可以ping通10.0.3.10;

要求三:办公区在访问服务器区时采用匿名认证的方式进行上网行为管理;

要求四:办公区设备可以访问公网;

首先先把常规配置配置好;

防火墙先配置好可以进入web界面操作;

防御保护防火墙的NET使用_第3张图片

之后进入web界面登录

防御保护防火墙的NET使用_第4张图片

进行IP和vlan的配置

AR1:

[isp]int l0
[isp-LoopBack0]ip add 1.1.1.1 24
[isp-LoopBack0]int g0/0/0
[isp-GigabitEthernet0/0/0]ip add 12.0.0.2 24
[isp-GigabitEthernet0/0/0]int g0/0/2
[isp-GigabitEthernet0/0/2]ip add 21.0.0.2 24
 

LSW2:

[Huawei]vlan batch 10 20
[Huawei]int g0/0/2
[Huawei-GigabitEthernet0/0/2]p l a
[Huawei-GigabitEthernet0/0/2]p d v 10
[Huawei-GigabitEthernet0/0/2]int g0/0/3
[Huawei-GigabitEthernet0/0/3]p l a 
[Huawei-GigabitEthernet0/0/3]p d v 20
[Huawei-GigabitEthernet0/0/3]int g0/0/1
[Huawei-GigabitEthernet0/0/1]p l t
[Huawei-GigabitEthernet0/0/1]p t a v 10 20

创建两个安全区域,办公区和生产区,下图为办公区的创建,生产区同理,在下界面中找到安全区域新建,只需输入名称和描述再点击确认即可

防御保护防火墙的NET使用_第5张图片

防御保护防火墙的NET使用_第6张图片

web网页内在此页面创建两个新的子接口办公区和生产区,办公区和生产区创建子接口同理(注意:里面的VLAN TAG和配置VLAN号要一样)防御保护防火墙的NET使用_第7张图片
防御保护防火墙的NET使用_第8张图片

防御保护防火墙的NET使用_第9张图片

防御保护防火墙的NET使用_第10张图片

然后规划DMZ区域接口

防御保护防火墙的NET使用_第11张图片

公网接口

防御保护防火墙的NET使用_第12张图片

防御保护防火墙的NET使用_第13张图片

接着配置安全策略

先创建地址,在对象里面的地址中新建。IP地址处输入该区域的网段

防御保护防火墙的NET使用_第14张图片

防御保护防火墙的NET使用_第15张图片

防御保护防火墙的NET使用_第16张图片

因为需求一和二有HTTP等对不同服务的需求,所以对地址的创建根据需求进行进一步的细分创建(方便后续的操作),因此对DMZ中的FTP和HTTP,以及办公区的客户端和PC进行进一步的单独创建。

防御保护防火墙的NET使用_第17张图片

防御保护防火墙的NET使用_第18张图片

防御保护防火墙的NET使用_第19张图片

防御保护防火墙的NET使用_第20张图片

接下来就可以根据需求进行配置安全策略:

要求一:生产区在工作时间内可以访问服务器区(DMZ),仅可以访问http服务器;

在安全策略中配置源区域和目标区域以及时间段即可

防御保护防火墙的NET使用_第21张图片

测试:

ping不了

防御保护防火墙的NET使用_第22张图片

FTP服务失败

防御保护防火墙的NET使用_第23张图片

只有HTTP成功

防御保护防火墙的NET使用_第24张图片

要求二:办公区全天可以访问服务器区,其中10.0.2.20可以访问TP服务器和HTTP服务器,10.0.2.10仅可以ping通10.0.3.10;

10.0.2.20的全天访问FTP和HTTP服务

防御保护防火墙的NET使用_第25张图片

办公区成功访问与登录HTTP和FTP

防御保护防火墙的NET使用_第26张图片

防御保护防火墙的NET使用_第27张图片

10.0.2.10只能ping10.0.3.10防御保护防火墙的NET使用_第28张图片

成功ping

防御保护防火墙的NET使用_第29张图片

要求三:办公区在访问服务器区时采用匿名认证的方式进行上网行为管理;

在对象的用户中点击认证策略进行新建认证策略认证动作为匿名认证

防御保护防火墙的NET使用_第30张图片

认证方式为匿名

要求四:办公区设备可以访问公网;

办公区属于内网,想要访问外网则必须做NAT地址转换。

在策略中新建NAT策略(注:图中地址池中的地址为动态NAT或多对多的NAPT,出接口地址为easy ip)

防御保护防火墙的NET使用_第31张图片

防御保护防火墙的NET使用_第32张图片

防御保护防火墙的NET使用_第33张图片

ping通公网

转换成功

防御保护防火墙的NET使用_第34张图片

加上静态路由下一跳保证PC流量可以出去

防御保护防火墙的NET使用_第35张图片

你可能感兴趣的:(网络,安全)