防火墙安全综合实验
一、拓扑信息
二、需求及配置
实验步骤
需求一:根据下表,完成相关配置
| 设备 | 接口 | VLAN | 接口类型 |
|---|---|---|---|
| SW2 | GE0/0/2 | VLAN 10 | Access |
| GE0/0/3 | VLAN 20 | Access | |
| GE0/0/1 | VLAN List:10 20 | Trunk |
1、创建vlan10和vlan20
2、将接口划分到对应的vlan中
| 设备 | 接口 | VLAN | ip |
|---|---|---|---|
| FW | GE1/0/1.1 | 10 | 172.16.1.254/24 |
| GE1/0/1.2 | 20 | 172.16.2.254/24 | |
| GE1/0/0 | / | 10.0.0.254/24 | |
| GE1/0/2 | / | 100.1.1.10/24 | |
| OA Server | Ethernet0/0/0 | 10.0.0.10/24 | |
| Web Server | Ethernet0/0/0 | 10.0.0.20/24 | |
| DNS Server | Ethernet0/0/0 | 10.0.0.30/24` |
[FW]interface GigabitEthernet 1/0/1.1
[FW-GigabitEthernet1/0/1.1]ip address 172.16.1.254 24
[FW-GigabitEthernet1/0/1.1]vlan-type dot1q 10
[FW]interface GigabitEthernet 1/0/1.2
[FW-GigabitEthernet1/0/1.1]ip address 172.16.2.254 24
[FW-GigabitEthernet1/0/1.2]ip address 172.16.2.254 24
[FW-GigabitEthernet1/0/1.2]vlan-type dot1q 20
[FW]int g1/0/0
[FW-GigabitEthernet1/0/0]ip address 10.0.0.254 24
[FW-GigabitEthernet1/0/0]int g1/0/2
[FW-GigabitEthernet1/0/2]ip address 100.1.1.10 24
| 百度服务器 | Ethernet0/0/0 | vlan | 100.1.1.1/24 |
|---|---|---|---|
| Clinet1 | Ethernet0/0/0 | DHCP获取(172.16.1.90/24) | |
| Clinet2 | Ethernet0/0/0 | 172.16.1.100/24 | |
| Clinet3 | Ethernet0/0/0 | DHCP获取 | |
| PC1 | Ethernet0/0/1 | 172.16.2.100/24 | |
| PC2 | Ethernet0/0/1 | DHCP获取 |
[FW]dhcp enable
[FW]int g 1/0/1.1
[FW-GigabitEthernet1/0/1.1]dhcp select interface
[FW]int g 1/0/1.2
[FW-GigabitEthernet1/0/1.2]dhcp select interface
172.16.1.90与Client1主机ip/mac绑定
需求二:配置DHCP协议,具体要求如下
1. 在FW上启动DHCP功能,并配置不同的全局地址池,为接入网络的终端设备分配IP地址。
2. Client1、Client3和PC2通过DHCP获取地址信息。Client2和PC1手工静态配置。
3. Client1必须通过DHCP获取172.16.1.90/24地址。
| **地址池名称** | **网段/掩码** | **网关** | **DNS** |
| -------------- | ------------- | ------------ | --------- |
| dhcp-a | 172.16.1.0/24 | 172.16.1.254 | 10.0.0.30 |
| dhcp-b | 172.16.2.0/24 | 172.16.2.254 | 10.0.0.30 |
需求三:防火墙安全区域配置
| 设备 | 接口 | 安全区域 | 优先级 |
|---|---|---|---|
| FW | GE1/0/1.1 | Trust_A | 70 |
| GE1/0/1.2 | Trust_B | 80 | |
| GE1/0/0 | DMZ | 默认 | |
| GE1/0/2 | Untrust | 默认 |
需求四:防火墙地址组信息
| 设备 | 地址 | 地址族 | |
|---|---|---|---|
| OA Server | 10.0.0.10/32 | DMZ_Server | |
| Web Server | 10.0.0.20/32 | DMZ_Server |
| 设备 | 地址 | 地址族 | 描述信息 |
|---|---|---|---|
| DNS Server | 10.0.0.30/32 | DMZ_Server | DMZ区域的DNS服务器 |
| Client1(高管) | 172.16.1.90/32 | Trust_A_address | 高管 |
| Client2(财务) | 172.16.1.100/32 | Trust_A_address | 财务部 |
| Client3(运维部) | 172.16.1.0/24需要除去172.16.1.90和172.16.1.100 | Trust_A_address | 运维部 |
| pc1(技术部) | 172.16.2.100/32 | Trust_B_address | 技术部 |
| pc2(市场部) | 172.16.2.0/24需要除去172.16.2.100 | Trust_B_address | 市场部 |
| 管理员 | 172.16.1.10/32 | Trust_A_address |
创建地址以OA Server为例子
创建地址组,以DMZ区域为例子
需求五:管理员
为FW配置一个配置管理员。要求管理员可以通过Telnet登录到CLI界面对FW进行管理和维护。FW对管理员进行本地认证。
| 项目 | 数据 | 说明 | |
|---|---|---|---|
| 管理员账号密码 | 账号:vtyadmin | ||
| 密码:admin@123 | |||
| 管理员PC的IP地址 | 172.16.1.10/24 | ||
| 角色 | service-admin | 拥有业务配置和设备监控权限。 | |
| 管理员信任主机 | 172.16.1.0/24 | 登录设备的主机IP地址范围 | |
| 认证类型 | 本地认证 |
管理员角色信息
| 名称 | 权限控制项 |
|---|---|
| service-admin | 策略、对象、网络:读写操作 |
| 面板、监控、系统:无 |
开启telnet服务
[FW]telnet server enable
[FW]user-interface vty 0 4
[FW-ui-vty0-4]protocol inbound telnet
需求六:用户认证配置
1、部门A分为运维部、高层管理、财务部;其中,财务部IP地址为静态IP。高管地址DHCP固定分配。
2、部门B分为研发部和市场部;研发部IP地址为静态IP
3、新建一个认证域,所有用户属于认证域下组织架构
4、根据下表信息,创建企业组织架构
5、用户密码统一为admin@123
6、首次登录必须修改密码
1、高级管理者访问任何区域时,需要使用免认证。
2、运维部访问DMZ区域时,需要进行Portal认证。
3、技术部和市场部访问DMZ区域时,需要使用匿名认证。
4、财务部访问DMZ区域时,使用不认证。
5、运维部和市场部访问外网时,使用Portal认证。
6、财务部和技术部不能访问外网环境。故不需要认证策略 
七:安全策略配置
1、配置Telnet策略
2、配置DHCP策略
3、配置DNS策略
4、部门A中分为三个部门,运维部、高管、财务。
- a.运维部允许随时随地访问DMZ区域,并对设备进行管理;
- b.高管和财务部仅允许访问DMZ区域的OA和Web服务器,并且只有HTTP和HTTPS权限。
- c.运维部允许在非工作时间访问互联网环境
- d.高管允许随时访问互联网环境
- e.财务部任何时间都不允许访问互联网环境
5、部门B分为两个部门,技术部和市场部
- a.技术部允许访问DMZ区域中的web服务器,并进行管理
- b.技术部和市场部允许访问DMZ区域中的OA服务器,并且只有HTTP和HTTPS权限。
- c.市场部允许访问互联网环境
6、每周末公司服务器需要检修维护,允许运维部访问;即,每周末拒绝除运维部以外的流量访问DMZ区 域。
7、部门A和部门B不允许存在直接访问流量,如果需要传输文件信息,则需要通过OA服务器完成。—依 靠默认规则拒绝
