步骤一:了解前提:
1.1 题目要求:
需求一:DMZ区存在两台服务器,现在要求生产区的设备仅能在办公时间(9:00 - 18:00)访问,办公区的设备全天都可以访问。
需求二:办公区可以全天访问dmz区
1.2 拓扑搭建,IP地址规划。
步骤二:二层配置
2.1 配置IP地址
首先配置生产区(vlan2)内的设备,例如:PC2
配置办公区(vlan3)内的设备:例如:Clienr2
配置DMZ区内地地址:例如:Server2
2.2 valn配置
<Huawei>sys
[Huawei]vlan batch 2 3
[Huawei]int g 0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access # 定义接口类型[Huawei-GigabitEthernet0/0/2]port default vlan 2 # 定义所属valn
[Huawei]int g 0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type access
[Huawei-GigabitEthernet0/0/3]port default vlan 3
[Huawei-GigabitEthernet0/0/3]int g 0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type trunk
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3 # 放通vlan 2 3 内的流量[Huawei-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1 # 出于对网络安全的考虑,拒绝vlan1内的流量通过
步骤三:三层的配置(防火墙配置)
3.1 IP地址配置
Username:admin
Password: # 密码为Admin@123
The password needs to be changed. Change now? [Y/N]: y
Please enter old password:
Please enter new password: # 修改新密码为Admin@321
Please confirm new password:Info: Your password has been changed. Save the change to survive a reboot.
*************************************************************************
* Copyright (C) 2014-2018 Huawei Technologies Co., Ltd. *
* All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
*************************************************************************
<USG6000V1>sys[USG6000V1]int g 0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.100.1 24 # 修改IP地址[USG6000V1-GigabitEthernet0/0/0] service-manage all permit # 开启服务
3.2 云配置
3.3 在浏览器上使用https协议登陆防火墙,并操作
访问网址:https://192.168.100.1:8443
使用之前重置的密码进行登陆
进入网络模块
第一步:配置对应dmz区的G1/0/0接口
第二步:创建新的区域
选择新建
创建SC(生产区)
创建BG(办公区)
第三步:子接口创建
切换到接口模块,选择新建:
创建连接生产区的(vlan2)的接口:
创建连接生产区的(vlan3)的接口:创建方式与G1/0/3.1相同
第四步:查看路由表
第五步:ping网关,测试网络连通性。
步骤四:服务器配置
将台服务器分别配置为HTTP服务器和FTP服务器
HTTP服务器:
FTP服务器:
步骤五:配置安全策略
进入防火墙安全策略模块,按需求进行策略配置
默认存在的该条安全策略,只可以修改动作“允许,禁止”
完成需求一:
DMZ区存在两台服务器,现在要求生产区的设备仅能在办公时间(9:00 - 18:00)访问,办公区的设备全天都可以访问。
第一部分:具体解析
源地址/地区
目的地址/地区
针对应用--基本属性
针对应用--基本规则
第二部分:检测
此时该安全策略已经开始执行,但由于不在时间段内一次暂时不生效
因此我们可以修改时间段来测试其可使用性:(暂时修改未any)
![[HTML]Web前端开发技术12(HTML5、CSS3、JavaScript )——喵喵画网页](https://img-blog.csdnimg.cn/direct/3459348837da4004922ca6eba73cbfcf.png)
