防御保护防火墙的NET使用

要求如下

下图为实验图：根据四条要求分析，，图中的分公司与本实验无关，直接无视掉。

要求一：生产区在工作时间内可以访问服务器区（DMZ），仅可以访问http服务器；

要求二：办公区全天可以访问服务器区，其中10.0.2.20可以访问TP服务器和HTTP服务器，10.0.2.10仅可以ping通10.0.3.10；

要求三：办公区在访问服务器区时采用匿名认证的方式进行上网行为管理；

要求四：办公区设备可以访问公网；

首先先把常规配置配置好；

防火墙先配置好可以进入web界面操作；

之后进入web界面登录

进行IP和vlan的配置

AR1:

[isp]int l0
[isp-LoopBack0]ip add 1.1.1.1 24
[isp-LoopBack0]int g0/0/0
[isp-GigabitEthernet0/0/0]ip add 12.0.0.2 24
[isp-GigabitEthernet0/0/0]int g0/0/2
[isp-GigabitEthernet0/0/2]ip add 21.0.0.2 24
 

LSW2:

[Huawei]vlan batch 10 20
[Huawei]int g0/0/2
[Huawei-GigabitEthernet0/0/2]p l a
[Huawei-GigabitEthernet0/0/2]p d v 10
[Huawei-GigabitEthernet0/0/2]int g0/0/3
[Huawei-GigabitEthernet0/0/3]p l a 
[Huawei-GigabitEthernet0/0/3]p d v 20
[Huawei-GigabitEthernet0/0/3]int g0/0/1
[Huawei-GigabitEthernet0/0/1]p l t
[Huawei-GigabitEthernet0/0/1]p t a v 10 20

创建两个安全区域，办公区和生产区，下图为办公区的创建，生产区同理，在下界面中找到安全区域新建，只需输入名称和描述再点击确认即可

web网页内在此页面创建两个新的子接口办公区和生产区，办公区和生产区创建子接口同理（注意：里面的VLAN TAG和配置VLAN号要一样）

然后规划DMZ区域接口

公网接口

接着配置安全策略

先创建地址，在对象里面的地址中新建。IP地址处输入该区域的网段

因为需求一和二有HTTP等对不同服务的需求，所以对地址的创建根据需求进行进一步的细分创建（方便后续的操作），因此对DMZ中的FTP和HTTP，以及办公区的客户端和PC进行进一步的单独创建。

接下来就可以根据需求进行配置安全策略：

要求一：生产区在工作时间内可以访问服务器区（DMZ），仅可以访问http服务器；

在安全策略中配置源区域和目标区域以及时间段即可

测试：

ping不了

FTP服务失败

只有HTTP成功

要求二：办公区全天可以访问服务器区，其中10.0.2.20可以访问TP服务器和HTTP服务器，10.0.2.10仅可以ping通10.0.3.10；

10.0.2.20的全天访问FTP和HTTP服务

办公区成功访问与登录HTTP和FTP

10.0.2.10只能ping10.0.3.10

成功ping

要求三：办公区在访问服务器区时采用匿名认证的方式进行上网行为管理；

在对象的用户中点击认证策略进行新建认证策略认证动作为匿名认证

认证方式为匿名

要求四：办公区设备可以访问公网；

办公区属于内网，想要访问外网则必须做NAT地址转换。

在策略中新建NAT策略（注：图中地址池中的地址为动态NAT或多对多的NAPT，出接口地址为easy ip）

ping通公网

转换成功

加上静态路由下一跳保证PC流量可以出去