一、实验拓扑图
二、实验要求
1、DMZ区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,
生产区的设备全天可以访问。
2、生产区不允许访问互联网,办公区和游客区允许访问互联网。
3、办公区设备10.0.2.10不允许访问DMZ区的FTP和http服务器,仅能ping通10.0.3.10。
4、办公区分为市场部和研发部,研发部IP地址固定,访问DMA区时使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证;游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10。
5、生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用。
6、创建一个自定义管理员,要求不能拥有系统管理的功能。
三、实验步骤
Ⅰ、DMZ区内的服务器,生产区仅能在办公时间内(9:00-18:00)可以访问,
办公区的设备全天可以访问。
1、交换机配置
将连接办公区与生产区的交换机划分vlan
[SW]vlan batch 2 3
[SW]int g0/0/2
[SW-GigabitEthernet0/0/2]port link-type access
[SW-GigabitEthernet0/0/2]port default vlan 2
[SW]int g0/0/3
[SW-GigabitEthernet0/0/3]port link-type access
[SW-GigabitEthernet0/0/3]port default vlan 3
[SW]int g0/0/1
[SW-GigabitEthernet0/0/1]port link-type trunk
[SW-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
[SW-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1
2、防火墙配置
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit -开启管理服务
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.100.1 24 - 配置IP地址
GE1/0/3接口管理两个区,建立两个子接口
3、安全策略
生产区访问dmz
办公区访问dmz
Ⅱ、生产区不允许访问互联网,办公区和游客区允许访问互联网。
Ⅲ、办公区设备10.0.2.10不允许访问DMZ区的FTP服务器,仅能ping通10.0.3.10。
Ⅳ、办公区分为市场部和研发部,研发部IP地址固定,访问DMA区时使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证;
创建部门及用户:
研发部访问dmz匿名认证
市场部访问dmz免认证
Ⅴ、游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10。
创建游客用户,统一使用Guest用户登录,密码Admin@123,
不允许访问DMZ区和生产区
游客仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10。
Ⅵ、生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用。
1、创建部门(后勤部,管理部,员工部),及用户
2、首次登录需要修改密码
3、生产区访问DMZ区时,需要进行protal认证