安全防御---防火墙实验1

安全防御—防火墙实验1

111

一、实验拓扑与要求

image-20240709165624323

要求:

1、DMZ区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问
2、生产区不允许访问互联网,办公区和游客区允许访问互联网
3、办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4、办公区分为市场部和研发部,研发部ip地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定ip地址,访问DMZ区使用免认证。
(游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网权限,门户网站地址10.0.3.10)
5、生产区访问DMZ区时,需要进行protal认证,建立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
6、创建一个自定义管理员,要求不能拥有系统管理的功能

二、实验步骤

0.实验准备

image-20240709194520480

image-20240709195539467

image-20240709195607686

image-20240709195650493

image-20240709195737217

1.要求1

(1)在交换机LSW2:配置VLAN并划分VLAN
[LSW2]vlan batch 10 20
[LSW2]int g0/0/2 
[LSW2-GigabitEthernet0/0/2]port link-type access
[LSW2-GigabitEthernet0/0/2]port default vlan 10
[LSW2]int g0/0/3 
[LSW2-GigabitEthernet0/0/3]port link-type access
[LSW2-GigabitEthernet0/0/3]port default vlan 20
[LSW2]int g0/0/1 
[LSW2-GigabitEthernet0/0/1]port link-type  trunk 
[LSW2-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20
[LSW2-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1

在这里插入图片描述

image-20240709194609911

image-20240709194657493

image-20240709194748880

image-20240709195810175

image-20240709195851341

(2)在FW1上g0/0/0端口配置IP地址并打开web服务
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip add 172.172.1.2 24
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit 
(3)使用web服务页面操作防火墙FW1

配置GE1/0/1接口IP地址

image-20240709174918929

image-20240709175029162

配置GE1/0/2接口IP地址

image-20240709175414737

image-20240709175508218

配置GE1/0/3接口IP地址

image-20240709175738687

image-20240709175836692

配置GE1/0/0接口IP地址

  • 创建新的安全区域
    • ​ 创建办公区

image-20240709180332295

  • 创建生产区

image-20240709180622213

image-20240709180704772

  • 创建办公区的虚拟子接口

image-20240709181207640

image-20240709181259194

  • 创建生产区的虚拟子接口

image-20240709181435531

image-20240709181448696

(4)书写防火墙FW1的办公区安全策略

image-20240709190944774

image-20240709191029440

image-20240709185526875

image-20240709191752808

image-20240709192405609

image-20240709192649829

image-20240709193130006

image-20240709193106827

image-20240709195332004

(5)书写防火墙FW1的生产区安全策略

image-20240709193727321

image-20240709194154171

image-20240709194206056

image-20240709194346009

至此实验要求1完成!!

2.要求2

(1)防火墙FW1端口g1/0/1 IP地址在web管理页面已经配置完成

image-20240710132242525

image-20240710132305764

image-20240710122953049(2)在路由器AR1上进配置
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 12.0.0.2 24
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 21.0.0.2 24
[Huawei-GigabitEthernet0/0/1]int g0/0/2
[Huawei-GigabitEthernet0/0/2]ip add 23.0.0.1 24
[Huawei]rip 1
[Huawei-rip-1]version 2
[Huawei-rip-1]network 12.0.0.0 
[Huawei-rip-1]network 21.0.0.0
[Huawei-rip-1]network 23.0.0.0
(3)禁止生产区访问互联网

image-20240710125036089

image-20240710125111223

image-20240710125004309

(4)允许办公区上网策略

image-20240710125832354

(5)允许游客区上网策略

image-20240710130527994

3.要求3

因为前面我开启ICMP,所以这里直接写需要拒绝的服务

image-20240710133832815

4.要求4

(1)创建认证域bg

image-20240710135623764

(2)在bg认证域中建立市场部和研发部

image-20240710135557264

(3)做认证策略,使研发部10.0.1.20使用匿名认证登录DMZ区

image-20240710140217202

(4)使市场部10.0.1.10使用免认证登录DMZ区;

image-20240710140655202

image-20240710140750390

(5)创建游客(tourist)认证域,建立Guest用户,密码为Admin@123,允许多人同时登陆

image-20240710141405439

image-20240710141426775

(6)写安全策略,使游客区不允许访问DMZ区和生产区

image-20240710142105360

(7)创建安全策略,使游客区允许访问外网NAT区

image-20240710142558962

(8)创建安全策略,使游客允许访问10.0.3.10的http服务,并将此策略移动到游客区允许访问外网NAT区策略之前

image-20240710143044460

image-20240710143225702

5.要求5

(1)创建生产区访问DMZ区认证域

image-20240710144815498

(2)点击sctodmz创建用户组,分别创建维修部、科研部、质检部

image-20240710144712439

image-20240710144923956

image-20240710145121939

(3)新建批量用户,用户名间以英文逗号隔开,密码为openlab123

有效时间为20号为止,允许多人登录取消,分别每个部门创建3个用户。

image-20240710145701599

image-20240710145932775

image-20240710150044982

(4)找到认证选项,勾选首次登录必须修改密码

image-20240710150240285

6.要求6

(1)创建一个管理员角色,要求不能拥有系统管理功能

image-20240710150715416

(2)在管理员中添加一个管理员,角色是自定义管理员

image-20240710150926507

至此所有实验要求已完成!!!!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/375510.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

华为手机联系人不见了怎么恢复?3个解决方案

华为手机联系人列表就像是我们精心编织的社交网络之网。然而,有时,这张网可能会因为各种原因而意外破损,联系人信息消失得无影无踪,让我们陷入“人脉孤岛”的困境。华为手机联系人不见了怎么恢复?别担心,我…

计算机网络——数据链路层(以太网)

目录 局域网的数据链路层 局域网可按照网络拓扑分类 局域网与共享信道 以太网的两个主要标准 适配器与mac地址 适配器的组成与运作 MAC地址 MAC地址的详细介绍 局域网的mac地址格式 mac地址的发送顺序 单播、多播,广播mac地址 mac帧 如何取用…

【面试八股总结】线程基本概念,线程、进程和协程区别,线程实现

一、什么是线程? 线程是“轻量级进程”,是进程中的⼀个实体,是程序执⾏的最小单元,也是被系统独立调度和分配的基本单位。 线程是进程当中的⼀条执行流程,同⼀个进程内多个线程之间可以共享代码段、数据段、打开的文件…

解决:Flink向kafka写数据使用Producer精准一次(EXACTLY_ONCE)异常

在使用flink向kafka写入数据报错:Caused by: org.apache.kafka.common.KafkaException: Unexpected error in InitProducerIdResponse; The transaction timeout is larger than the maximum value allowed by the broker (as configured by transaction.max.timeou…

【C++】哈希表的模拟实现及 unordered_set 和 unorderded_map 的封装

目录 前言一、哈希表的模拟实现1.1 哈希表的改造1.1.1 模板参数列表的改造1.1.2 增加迭代器操作 1.2 哈希表的模拟实现1.2.1 哈希表中仿函数的实现1.2.2 哈希表中节点类的实现1.2.3 哈希表中迭代器类的实现1.2.4 哈希表中构造函数、析构函数和 Clear() 函数的实现1.2.5 哈希表中…

[笔试训练](三十六)106:提取不重复的整数107:哈夫曼编码108:abb

目录 106:提取不重复的整数 107:哈夫曼编码 108:abb 106:提取不重复的整数 题目链接:提取不重复的整数_牛客题霸_牛客网 (nowcoder.com) 题目: ​ 题解: #include <iostream> #include <string> using namespace std; int n0; int cnt[10]; int ret0; int mai…

【pytorch18】Logistic Regression

回忆线性回归 for continuous:y xwbfor probability output:yσ(xwb) σ:sigmoid or logistic 线性回归是简单的线性模型&#xff0c;输入是x&#xff0c;网络参数是w和b&#xff0c;输出是连续的y的值 如何把它转化为分类问题?加了sigmoid函数&#xff0c;输出的值不再是…

Python精神病算法和自我认知异类数学模型

&#x1f3af;要点 &#x1f3af;空间不确定性和动态相互作用自我认知异类模型 | &#x1f3af;精神病神经元算法推理 | &#x1f3af;集体信念催化个人行动力数学模型 | &#x1f3af;物种基因进化关系网络算法 | &#x1f3af;电路噪声低功耗容错解码算法 &#x1f4dc;和-…

动手学深度学习(Pytorch版)代码实践 -循环神经网络-55循环神经网络的从零开始实现和简洁实现

55循环神经网络的实现 1.从零开始实现 import math import torch from torch import nn from torch.nn import functional as F from d2l import torch as d2l import matplotlib.pyplot as plt import liliPytorch as lp# 读取H.G.Wells的时光机器数据集 batch_size, num_ste…

C语言中的数组:掌握数据的有序集合【一维数组,二维数组,字符串数组,直方图打印,计算全排列,字符数组常用函数】

目录 C语言中的数组&#xff1a;掌握数据的有序集合【一维数组&#xff0c;二维数组&#xff0c;字符串数组】一维数组一维数组的创建数组的七种初始化完全初始化&#xff1a;部分初始化&#xff1a;字符数组的初始化&#xff1a;自动初始化为0&#xff1a;使用memset函数初始化…

『大模型笔记』GraphRAG:用于复杂数据发现的新工具现已在GitHub上发布

GraphRAG:用于复杂数据发现的新工具现已在GitHub上发布 文章目录 一. GraphRAG:用于复杂数据发现的新工具现已在GitHub上发布1. 评估和结果2. 研究见解和未来方向二. 参考文献一. GraphRAG:用于复杂数据发现的新工具现已在GitHub上发布 下载 GraphRAG今年早些时候,我们介绍…

博客建站3 - 购买域名

1. 本网站的系统架构2. 选择域名 2.1. 确定域名关键词2.2. 保持简洁易记2.3. 检查域名可用性 3. 域名注册商 3.1. 海外的提供商 3.1.1. GoDaddy3.1.2. Namecheap3.1.3. Google Domains 3.2. 国内的提供商 3.2.1. 阿里云&#xff08;Alibaba Cloud&#xff09;3.2.2. 腾讯云&…

0502STM32EXTI中断项目代码实现

STM32EXTI中断函数代码实现 对射式红外传感器&旋转编码器计次配置外部中断的步骤&#xff1a;AFIO相关函数&GPIO的一个函数EXTI相关函数代码NVIC中断函数启动文件里的中断函数名字中断编程的建议&#xff1a; 对射式红外传感器&旋转编码器计次 一般一个模块要写的…

SpringBoot:SpringBoot中如何实现对Http接口进行监控

一、前言 Spring Boot Actuator是Spring Boot提供的一个模块&#xff0c;用于监控和管理Spring Boot应用程序的运行时信息。它提供了一组监控端点&#xff08;endpoints&#xff09;&#xff0c;用于获取应用程序的健康状态、性能指标、配置信息等&#xff0c;并支持通过 HTTP …

windows下使用编译opencv在qt中使用

记录一下&#xff1a;在windows下qt使用opencv 1、涉及需要下载的软件 CMake 下载地址opecnv下载地址mingw(需要配置环境变量) 这个在下载qt的时候可以直接安装一般在qt的安装路径下的tool里比如我的安装路径 (C:\zz\ProgramFiles\QT5.12\Tools\mingw730_64) 2、在安装好CMake…

ChatGPT对话:Scratch编程中一个单词,如balloon,每个字母行为一致,如何优化编程

【编者按】balloon 7个字母具有相同的行为&#xff0c;根据ChatGPT提供的方法&#xff0c;优化了代码&#xff0c;方便代码维护与复用。初学者可以使用7个字母精灵&#xff0c;复制代码到不同精灵&#xff0c;也能完成这个功能&#xff0c;但不是优化方法&#xff0c;也没有提高…

ENSP软件中DHCP的相关配置以及终端通过域名访问服务器

新建拓扑 配置路由器网关IP 设备配置命令&#xff1a;<Huawei> Huawei部分为设备名 <>代表当下所在的模式&#xff0c;不同模式下具有不同的配置权限<Huawei> 第一级模式&#xff0c;最低级模式 查看所有参数<Huawei>system-view 键入系统视图…

Python中的null是什么?

在知乎上遇到一个问题&#xff0c;说&#xff1a;计算机中的「null」怎么读&#xff1f; null正确的发音是/n^l/&#xff0c;有点类似四声‘纳儿’&#xff0c;在计算机中null是一种类型&#xff0c;代表空字符&#xff0c;没有与任何一个值绑定并且存储空间也没有存储值。 P…

STM32的独立看门狗详解

目录 1.独立看门狗是什么&#xff1f; 2.独立看门狗的作用 3.独立看门狗的实现原理 4.独立看门狗用到的寄存器 4.1 IWDG_KR &#xff08;关键字计时器&#xff09; 4.2 IWDG_PR&#xff08;预分频寄存器&#xff09; 4.3 IWDG_RLR&#xff08;重装载寄存器&#xff09…

程序的控制结构——if-else语句(双分支结构)【互三互三】

目录 &#x1f341; 引言 &#x1f341;if-else语句&#xff08;双分支结构&#xff09; &#x1f449;格式1&#xff1a; &#x1f449;功能&#xff1a; &#x1f449;程序设计风格提示&#xff1a; &#x1f449;例题 &#x1f449;格式2&#xff1a; &#x1f449;…