一，实验拓扑

二，实验需求：

1.DMZ区内的服务器，办公区仅能在办公时间内（9：00 - 18：00）可以访问，生产区的设备全天可以访问
2.生产区不允许访问互联网，办公区和游客允许访问互联网
3.办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器，仅能ping通10.0.3.10
4.办公区分为市场部和研发部，研发部IP地址固定，访问DMZ区使用匿名认证，市场部需要用户绑定IP地址，访问DMZ区使用免认证；
游客区人员不固定，不允许访问DMZ区和生产区，统一使用Guest用户登录，密码Admin@123,游客仅有访问公司门户网站和上网的权限，门户网站地址10.0.3.10；
5.生产区访问DMZ区时，需要进行protal认证，设立生产区用户组织架构，至少包含三个部门，每个部门三个用户，用户统一密码openlab123，首次登录需要修
改密码，用户过期时间设定为10天，用户不允许多人使用
6.创建一个自定义管理员，要求不能拥有系统管理的功能

三，配置思路

1.先实现“全网互通”（把防火墙只当作路由器时能实现全网通，实际上因为防火墙的原因必须写上相应的策略才可通），配置ip，以及二层配置如在LSW1上配置vlan，防火墙设备G1/0/1设置子接口分别作为vlan2，vlan3的网关子接口。

2，通过web界面对防火墙进行一些策略的配置（包括安全策略，认证策略），先建接口，划分区域。

四，实验过程：

（1）配置各设备的ip地址（略），配置二层设备vlan：

LSW1:

[LSW1]inter g0/0/2
[LSW1-GigabitEthernet0/0/2]port link-type access 
[LSW1-GigabitEthernet0/0/2]port default vlan 2
[LSW1]inter g0/0/3
[LSW1-GigabitEthernet0/0/3]port link-type access 
[LSW1-GigabitEthernet0/0/3]port default vlan 3
[LSW1]inter g0/0/1
[LSW1-GigabitEthernet0/0/1]port link-type trunk 
[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3

FW2:
G0/0/0接口配置IP地址，这里通过ENSP接入的云到本机的IP地址为192.168.100.2，所以给防火墙这里配置的是192.168.100.1

G1/0/0接口：

G1/0/1创建子接口，及安全区域（以办公区为例，还要创建个生产区的子接口）

安全区域，这里选中刚刚创建的子接口，会将其下的网段划分到这个安全区域中

生产区的子接口（已创好的配置）：

G1/0/4(游客区)

G1/0/2(互联网):

G1/0/3(互联网备份)：

(2)安全策略：
1.DMZ区内的服务器，办公区仅能在办公时间内（9：00 - 18：00）可以访问，生产区的设备全天可以访问

2.生产区不允许访问互联网，办公区和游客允许访问互联网

生产区不可访问

办公区和游客区可以访问：

3.办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器，仅能ping通10.0.3.10

测试：

4.办公区分为市场部和研发部，研发部IP地址固定，访问DMZ区使用匿名认证，市场部需要用户绑定IP地址，访问DMZ区使用免认证；
游客区人员不固定，不允许访问DMZ区和生产区，统一使用Guest用户登录，密码Admin@123,游客仅有访问公司门户网站和上网的权限，门户网站地址10.0.3.10；

研发部认证策略：免认证

市场部认证策略：匿名认证

游客访问DMZ10.0.3.10(游客访问DZM和生产区默认拒绝)：

5.生产区访问DMZ区时，需要进行protal认证，设立生产区用户组织架构，至少包含三个部门，每个部门三个用户，用户统一密码openlab@123，首次登录需要修
改密码，用户过期时间设定为10天，用户不允许多人使用

6.创建一个自定义管理员，要求不能拥有系统管理的功能