网络防御高级02-综合实验

web页面:

[FW]interface GigabitEthernet 0/0/0    
[FW-GigabitEthernet0/0/0]service-manage all permit 

 需求一,接口配置:

SW2:

[Huawei]sysname SW2

1.创建vlan
[sw2]vlan 10    
[sw2]vlan 20

2.接口配置
[sw2]interface GigabitEthernet 0/0/1
[sw2-GigabitEthernet0/0/1]port link-type trunk     
[SW2-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 

[sw2]interface GigabitEthernet 0/0/2
[sw2-GigabitEthernet0/0/2]port link-type access
[sw2-GigabitEthernet0/0/2]port default vlan 10
[sw2-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/3
[sw2-GigabitEthernet0/0/3]port link-type access    
[sw2-GigabitEthernet0/0/3]port default vlan 20

 fw:

[FW]interface GigabitEthernet 1/0/0
[FW-GigabitEthernet1/0/0]ip add    
[FW-GigabitEthernet1/0/0]ip address 10.0.0.254 24

[FW]interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2]ip address 100.1.1.10 24

[FW]interface GigabitEthernet 1/0/1.1
[FW-GigabitEthernet1/0/1.1]ip address 172.16.1.254 24    
[FW-GigabitEthernet1/0/1.1]vlan-type dot1q 10

 g1/0/1.2:web页面:

OA Server:

Web Server:

DNS Server:

百度服务器 :

Clinet1:dhcp

Clinet2:

Clinet3:dhcp

pc1:

pc2:dhcp

需求二,DHCP:

在FW上启动DHCP功能,并配置不同的全局地址池,为接入网络的终端设备分配IP地址。
Client1、Client3和PC2通过DHCP获取地址信息。Client2和PC1手工静态配置。
Client1必须通过DHCP获取172.16.1.90/24地址。

如果配置dhcp无法获取地址,可以给g1/0/1配置IP在删除就好*******
因为只有主接口处于工作状态是副接口才会正常股工作**8**

[FW]dhcp enable ----开启dhcp

在web界面配置dhcp是只支持接口方式,分配的地址范围必须是接口IP地址所
在的网段。并且--->需要手工在命令行界面开启dhcp功能才行。
[FW]interface GigabitEthernet 1/0/1.1---对应接口激活dhcp
[FW-GigabitEthernet1/0/1.1]dhcp select interface

[FW-GigabitEthernet1/0/1.1]interface GigabitEthernet 1/0/1.2
[FW-GigabitEthernet1/0/1.2]dhcp select interface 

 Client1必须通过DHCP获取172.16.1.90/24地址。(将1.90和client1的mac地址绑定)

web页面:(如果client1已经dhcp分配ip可以先改为静态等修改高级将ip和mac绑定后在改为dhcp)

clent1:IP:


[FW]display ip pool interface GigabitEthernet1/0/1.1---查看地址池g1/0/1.1

GigabitEthernet1/0/1.2(dhcp补全信息(网关和dns还有保留pc1的ip 2.100)):

 命令行(全局):例子

[FW]ip pool 1
[FW-ip-pool-1]network 1.1.1.0 mask 24
[FW-ip-pool-1]gateway-list 1.1.1.254    
[FW-ip-pool-1]dns-list 1.1.1.1
[FW-ip-pool-1]static-bind ip-address 1.1.1.100 mac-address mac地址

需求三,防火墙安全区域划分:

web页面:

Trust_A:

Trust_B:
[FW]firewall zone name Trust_B---创建区域    
[FW-zone-Trust_B]set priority 80---设置优先级
[FW-zone-Trust_B]add interface GigabitEthernet 1/0/1.2--划分接口

DMZ:
[FW]firewall zone dmz     
[FW-zone-dmz]add interface GigabitEthernet 1/0/0

Untrust:
[FW]firewall zone untrust 
[FW-zone-untrust]add interface GigabitEthernet 1/0/2

 需求四,防火墙地址组信息:

DMZ_Server:


Trust_A_address:


Trust_B_address:


OA Server:


Web Server:


DNS Server:


Client1(高管):


Client2(财务部):


Client3(运维部)172.16.1.0/24需要去除172.16.1.90和172.16.1.100。
:


PC1(技术部):


PC2(市场部)172.16.2.0/24需要去除172.16.2.100。
:


管理员:

需求五,管理员:

防火墙开启telnet:

对应接口开启telnet功能:
web:

 命令行:
[FW-GigabitEthernet1/0/1.1]service-manage telnet permit

 开启telnet服务:

web:

命令行:
[FW]telnet server enable

telnet配置:

[FW]user-interface vty 0 4    
[FW-ui-vty0-4]protocol inbound telnet ---这里只要把入服务改为telnet,其他的已经有了

在sw2上创建172.16.1.10来测试telnet

[SW2]interface Vlanif 10
[SW2-Vlanif10]ip address 172.16.1.10 24

结果:

管理员:

创建管理员:

web:

需求六,用户认证配置:

 认证域openlab:

用户组:

部门A:

部门B:

高级管理者:

运维部 :

财务部 :

技术部:

市场部:

用户信息:

高管用户:

运维部用户:

财务部用户:

技术部用户:

市场部用户:

认证策略:

policy_auth_01:

policy_auth_02:

policy_auth_03:

policy_auth_04:(客户端模拟的浏览器,所有的数据基于tcp建立连接访问,所以数据看作一条数据流,一条数据流认证过一次即可所以认证策略命中次数为1,而pc发的ping包每个报文之间没有关系所以命中很多次

policy_auth_05:

policy_auth_06:

policy_auth_07:(这里测试ping通是因为上一条是匿名认证通过了所以在用这个用户去ping其他人就不会二次认证,所以能通,建议调到po6上面

认证策略仅仅是让防火墙来判断那些用户可以正常访问网络资源,并且方便对所有用户进行管理。只要你是合法通过认证的用户,就可以访问网络资源。---认证策略并不能阻挡对网络资源的访问能力,该能力由安全策略来实现

测试时把默认安全策略改为:允许(测试完要改回拒绝)

认证策略界面:(默认改为pot认证,把po7调到po6上面因为认证规则不一样)

首次登录必须修改密码:

需求七,安全策略配置:

policy_01:

policy_02:

自定义服务:

policy_03:

policy_04:

policy_05:

policy_06:

no_worktime(工作日,0-8;18-23):

policy_07:

policy_08:

policy_09:

policy_010:

policy_011:

weekend(周六周日全天):

测试:(将所以的认证策略不启用,默认改为不认证,方便测试)

有telnet,dns,http,https,dhcp的不好测试

policy_01:

policy_02:

policy_03:

dns配置:

83

[FW]display firewall session table 

[FW]display firewall session table verbose----会话信息

81,82(包)

 

 

 

 

policy_04:

policy_05:

财务-OA

79

policy_06:将时间改为any方便测试:

policy_07:

policy_08:

policy_09:

服务器随便选一个文件夹启动就好(OA)

技术-OA

78,77

 

policy_010:

policy_011:

web安全策略界面,安全策略命中次数:

有telnet,dns,http,https,dhcp的不好测试

补测http和https(po3,po5和po9)

80

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/15086.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Arbess基础教程-创建流水线

Arbess(谐音阿尔卑斯) 是一款开源免费的 CI/CD 工具,本文将介绍如何使用 Arbess 配置你的第一条流水线,以快速入门上手。 1. 创建流水线 根据不同需求来创建不同的流水线。 1.1 配置基本信息 配置流水线的基本信息,如分组,环境&…

MySQL下载过程

MySQL Enterprise Edition Downloads | Oracle mysql官方下载网址(9.2版本) 下面的示例是5.7的包,过程是一样的 port:3308(默认的是3306,笔者下了一个占用了该端口) root:123456 问题…

StochSync:可在任意空间中生成360°全景图和3D网格纹理

StochSync方法可以用于在任意空间中生成图像,尤其是360全景图和3D网格纹理。该方法利用了预训练的图像扩散模型,以实现零-shot生成,消除了对新数据收集和单独训练生成模型的需求。StochSync 结合了 Diffusion Synchronization(DS&…

Windows逆向工程入门之汇编环境搭建

公开视频 -> 链接点击跳转公开课程博客首页 -> ​​​链接点击跳转博客主页 Visual Studio逆向工程配置 基础环境搭建 Visual Studio 官方下载地址安装配置选项(后期可随时通过VS调整) 使用C的桌面开发 拓展可选选项 MASM汇编框架 配置MASM汇编项目 创建新项目 选择空…

【多模态大模型】系列1:CLIP【多模态领域开山之作】

目录 1 模型结构2 伪代码3 Loss计算方法 官方网站:https://openai.com/index/clip/ 论文:Learning Transferable Visual Models From Natural Language Supervision GitHub:https://github.com/openai/CLIP Colab:https://colab.r…

SSA-TCN麻雀算法优化时间卷积神经网络时间序列预测未来Matlab实现

SSA-TCN麻雀算法优化时间卷积神经网络时间序列预测未来Matlab实现 目录 SSA-TCN麻雀算法优化时间卷积神经网络时间序列预测未来Matlab实现预测效果基本介绍程序设计参考资料 预测效果 基本介绍 1.Matlab实现SSA-TCN麻雀算法优化时间卷积神经网络时间序列预测未来(优…

idea整合deepseek实现AI辅助编程

1.File->Settings 2.安装插件codegpt 3.注册deepseek开发者账号,DeepSeek开放平台 4.按下图指示创建API KEY 5.回到idea配置api信息,File->Settings->Tools->CodeGPT->Providers->Custom OpenAI API key填写deepseek的api key Chat…

k8s部署elasticsearch

前置环境:已部署k8s集群,ip地址为 192.168.10.1~192.168.10.5,总共5台机器。 1. 创建provisioner制备器(如果已存在,则不需要) 制备器的具体部署方式,参考我之前的文章:k8s部署rab…

(done) openMP学习 (Day13: 线程私有数据和如何支持库(Pi again),蒙特卡洛计算 Pi,线性同余法)

url: https://dazuozcy.github.io/posts/introdution-to-openmp-intel/#23-%E5%8F%AF%E6%80%95%E7%9A%84%E4%B8%9C%E8%A5%BF%E5%86%85%E5%AD%98%E6%A8%A1%E5%9E%8Batomicsflushpairwise%E5%90%8C%E6%AD%A5%20 视频:https://www.bilibili.com/video/BV1SW411s7ST?s…

借助AI,轻松读好书

读书笔记 AI可以帮助我们写读书笔记,通过智能化的分类和标注技术,将我们的笔记进行分类整理,使其更加清晰易懂,帮助我们高效,准确,深入的总结和掌握书中的知识,实现更好的学习和成长。 《异类》…

【AIGC】语言模型的发展历程:从统计方法到大规模预训练模型的演化

博客主页: [小ᶻ☡꙳ᵃⁱᵍᶜ꙳] 本文专栏: AIGC | ChatGPT 文章目录 💯前言💯语言模型的发展历程:从统计方法到大规模预训练模型的演化1 统计语言模型(Statistical Language Model, SLM):统…

活动预告 |【Part1】Microsoft Azure 在线技术公开课:基础知识

课程介绍 参加“Azure 在线技术公开课:基础知识”活动,培养有助于创造新的技术可能性的技能并探索基础云概念。参加我们举办的本次免费培训活动,扩充自身的云模型和云服务类型知识。你还可以查看以计算、网络和存储为核心的 Azure 服务。 活…

python 语音识别方案对比

目录 一、语音识别 二、代码实践 2.1 使用vosk三方库 2.2 使用SpeechRecognition 2.3 使用Whisper 一、语音识别 今天识别了别人做的这个app,觉得虽然是个日记app 但是用来学英语也挺好的,能进行语音识别,然后矫正语法,自己说的时候 ,实在不知道怎么说可以先乱说,然…

C# OpenCvSharp 部署MOWA:多合一图像扭曲模型

目录 说明 效果 项目 代码 下载 参考 C# OpenCvSharp 部署MOWA:多合一图像扭曲模型 说明 算法模型的paper名称是《MOWA: Multiple-in-One Image Warping Model》 ariv链接 https://arxiv.org/pdf/2404.10716 效果 Stitched Image 翻译成中文意思是&…

【Java】线上故障排查实战

引言 JVM命令详细可以看前一篇文章,本篇文章基于之前的命令做一次简单的线上故障排查分析 JVM常见命令 实战 1. 一般显示都是Linux系统,我们排查winodows系统想知道CPU和内存使用情况,打开任务管理器就可以出现图形化界面,而L…

编译spring 6.2.2

如何编译Spring 6.2.2 下载spring 6.2.2 首先,下载spring 6.2.2,地址:下载 解压到你的目录下。 下载gradle 下载gradle,这是spring项目的依赖管理工具,本文下载的是8.12.1 gradle下载 下载合适的JDK 本文下载的是…

深度求索(DeepSeek)的AI革命:NLP、CV与智能应用的技术跃迁

Deepseek官网:DeepSeek 引言:AI技术浪潮中的深度求索 近年来,人工智能技术以指数级速度重塑全球产业格局。在这场技术革命中,深度求索(DeepSeek)凭借其前沿的算法研究、高效的工程化能力以及对垂直场景的…

Android Studio超级详细讲解下载、安装配置教程(建议收藏)

博主介绍:✌专注于前后端、机器学习、人工智能应用领域开发的优质创作者、秉着互联网精神开源贡献精神,答疑解惑、坚持优质作品共享。本人是掘金/腾讯云/阿里云等平台优质作者、擅长前后端项目开发和毕业项目实战,深受全网粉丝喜爱与支持✌有…

计算机毕业设计Python+Vue.js游戏推荐系统 Steam游戏推荐系统 Django Flask 游 戏可视化 游戏数据分析 游戏大数据 爬虫

温馨提示:文末有 CSDN 平台官方提供的学长联系方式的名片! 温馨提示:文末有 CSDN 平台官方提供的学长联系方式的名片! 温馨提示:文末有 CSDN 平台官方提供的学长联系方式的名片! 作者简介:Java领…

版本更新|OpenCSG AutoHub v0.2.8

AutoHub v0.2.8现已发布! AutoHub v0.2.8本次更新致力于提升用户体验、增强系统的兼容性和流畅性。通过优化单页应用的支持、提示语推荐功能以及新增页面跳转支持,用户在执行工作流时能够更加高效、便捷。同时,针对界面的多项优化&#xff0…