华为USG6000V防火墙v1

目录

一、实验拓扑图

二、要求

三、IP地址规划

四、实验配置

1🤣防火墙FW1web服务配置

2.网络配置

 要求1:DMZ区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问

 要求2:生产区不允许访问互联网,办公区和游客区允许访问互联网

要求3:办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和http服务器,仅能ping通10.0.3.10

要求4:办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证;游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10

要求5:生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时设定为10天,用户不允许多人使用

要求6:创建一个自定义管理员,要求不能拥有系统管理的功能


一、实验拓扑图

二、要求

1,DMZ区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问。

2,生产区不允许访问互联网,办公区和游客区允许访问互联网

3,办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和http服务器,仅能ping通10.0.3.10,

4,办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证;

游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10

5,生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次

登录需要修改密码,用户过期时设定为10天,用户不允许多人使用

6.创建一个自定义管理员,要求不能拥有系统管理的功能

(分公司的暂时不做)

三、IP地址规划

办公区:

划分在vlan2

IP地址:10.0.2.0/24网段

生产区:

划分在vlan3

IP地址:10.0.1.0/24网段

游客区:

IP地址:10.0.4.0/24

DMZ服务器区:

IP地址:10.0.3.0/24

外网专线:

联通:12.0.0.0/24

电信:21.0.0.0/24

环回模拟外网千千万万网段

1.1.1.1 32

防火墙管理:

IP地址:192.168.100.0/24

  • 实验思路
  1. 首先要确保总司这边的网络能够正常通信
  2. 其次根据要求做相应的防火墙策略

四、实验配置

1😀交换机LSW3

[Huawei]vlan batch 2 3

#

interface GigabitEthernet0/0/3

 port link-type access

 port default vlan 2

#

interface GigabitEthernet0/0/2

 port link-type access

 port default vlan 3

#

interface GigabitEthernet0/0/1

 port link-type trunk

 port trunk allow-pass vlan 2 to 3

#

1🤣防火墙FW1web服务配置

1.启动防火墙之后华为默认登录账号admin,密码:Admin@123;初次登录需要修改密码

2.进入管理口配置web服务登录设置

[USG6000V1-GigabitEthernet0/0/0]service-manage all permit

3.防火墙默认管理端口g0/0/0,管理地址为192.168.0.1/24 我这里修改了管理地址,再将本地的环回口配置在同一网段即可通信

这里通过换回网卡连接将防火墙的管理端口连接到本地,通过web界面进行管理

4.在浏览器界面地址栏位置输入防火墙的管理地址即可登录

输入192.168.100.3

用户名使用admin

密码为修改之后的密码

登录之后进行设置界面

2.网络配置

在网络-->接口-->安全区域首先划分出安全区域

默认有四个区域

我们还需要划分出三个区域,分别是生产区、办公区、游客区(以办公区为例)

划分之后的区域

接口-->进行IP地址的设置

以DMZ区为例:

DMZ区连接防火墙的G1/0/0,所以点GE1/0/0接口进行设置

这里最好先将启动访问管理里的ping勾选,方便测试,后期为了安全可以取消勾选 

而生产区和办公区要在不同的vlan,这里充当网关,所以我们可以使用子接口

新建-->

其他几个区域也是类似的配置方法,配完之后的

 要求1:DMZ区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问

(1)要求1说让办公区在工作时间能够访问DMZ区,那就新建安全策略

策略-->安全策略-->新建安全策略

注意:源安全区域选之前建好的办公区,目的区选DMZ区,源地址写办公区的IP地址

源地址-->新建-->新建地址

目的地址可以直接填写DMZ区的IP地址,也可以新建地址都行,用户这里先不写,后面在进行修改,服务这里因为是服务器区,所以我们要勾选我们需要的服务,不需要的我们就不勾选,默认这边就访问了其他的服务,时间段这里新建时间段,选我们工作期间的时间,动作选允许,之后选确定。

我们现在可以区服务器上开启http服务,(服务器要配置IP地址及网关)

在办公区访问DMZ区(同样这里也要配置IP地址和网关)

我要到的一个问题:

再配置玩策略之后,策略显示

这是我设置的是上班时间为09:00-18:00,但是这里的系统时间忘记设置,系统时间现在不在上班时间,所以这个策略就没有生效。这里需要设置一下系统时间

系统-->配置-->时钟配置-->配置方法

选从本地系统同步时间,点击应用,这时策略才会生效,我们才能正常访问服务器

(2)生产区全天都能访问DMZ 区

这里我的思路和之前一样,只是在新建策略时将时间段改为any,就能正常访问。

 要求2:生产区不允许访问互联网,办公区和游客区允许访问互联网

(1)生产区不允许访问互联网,而华为防火墙这里默认都是拒绝访问,而办公区和游客区允许访问互联网,那我们只需要放通办公区和游客区就行。

这里我选用NAT技术

这是连接联通专线的接口,安全区域选择untrust区,默认网关指向ISP,路由表中会产生有一条缺省指向联通专线,

策略

策略-->NAT策略-->新建

策略-->安全策略-->新建安全策略

这样我们就可以正常访问外网,而生产区访问不了

要求3:办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和http服务器,仅能ping通10.0.3.10

这里单拎出来做了策略

放第一位,因为这个策略是自上向下匹配,我将ftp、http服务和其他服务器的访问都禁止掉,仅ping10.0.3.10再做一个策略

要求4:办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证;游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10

要求5:生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时设定为10天,用户不允许多人使用

这里要对用户登录进行认证,那就创建用户,先创认证域,再加入用户

对象-->用户-->认证域-->新建

创建完之后这里会出现一个认证域

进去我们创建用户

Open-->新建

先创用户组,再创各个部门,再创用户同时将用户加入对应的用户组这样方便以后的管理

这里用到了新建用户组,批量新建用户,新建用户。

题中要求研发部IP地址固定,这里选单向绑定;市场部需要用户绑定IP地址,这里选双向绑定,该IP地址只能该用户登录,其他用户想用这台主机是不行的,即为固定IP

这里有个小点是:要求密码设为openlan123,但是默认设置要求大小写加数字,我们将密码这里设为中级,使用小写加数字就可以设置

配置认证策略,题中说研发部去访问DMZ区使用匿名登录,而市场部使用免认证,生产部访问进行protal认证,如图配置

账号国企时间在创建用户时设置,在用户属性选项中,要求设置为10天,不允许多人使用,

这些要求都在这里进行设置即可。

游客账号设置

同时允许多人登录这个账号

游客仅有访问公司门户和上网的权限,这里游客不能访问DMZ和生产区,那我们就只放通办公区和门户网站

这样其他的服务就通不了咯,同时他们还能访问外网

验证:

要求6:创建一个自定义管理员,要求不能拥有系统管理的功能

系统-->管理员-->管理员角色创建

新建管理员

管理员登录

权限发生变化

实验到这里就全部做完了,不完美的就是这里的用户验证不完全,不知道做的配置和策略能不能完全成功。其他的思路只要清晰,这个配置起来不难吧!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/377419.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

使用Python和MediaPipe实现手势控制音量(Win/Mac)

1. 依赖库介绍 OpenCV OpenCV(Open Source Computer Vision Library)是一个开源的计算机视觉和机器学习软件库。它包含了数百个计算机视觉算法。 MediaPipe MediaPipe是一个跨平台的机器学习解决方案库,可以用于实时人类姿势估计、手势识…

Flask 用 Redis 缓存键值对-实例

Flask 使用起 Redis 来简直就是手到擒来,比 MySQL 简单多了,不需要那么多配置,实际代码就这么多,直接复制就能用。除了提供简单实用的实例以外,本文后面还会简单介绍一下 Redis 的安装与使用,初学者也能一看…

Nginx部署Vite打包的带前缀的项目

之前有篇文章,需要参考一下:https://zhangdapeng.blog.csdn.net/article/details/140388105 在这篇文章的基础之上,我测试了Vite打包的项目。 首先,我在vite配置文件里面添加了前缀: import {defineConfig} from v…

生物素-十一聚乙二醇-沙利度胺;Biotin-PEG11-Thalidomide

Biotin-PEG11-Thalidomide,即生物素-十一聚乙二醇-沙利度胺,是一种结合了生物素、十一聚乙二醇(PEG11)和沙利度胺的复杂化合物。以下是对该化合物的详细分析: 一、组成成分及特性 生物素(Biotin&#xff09…

访问 Postman OAuth 2.0 授权的最佳实践

OAuth 2.0 代表了 web 安全协议的发展,便于在多个平台上进行授权服务,同时避免暴露用户凭据。它提供了一种安全的方式,让用户可以授权应用程序访问服务。 在 Postman 中开始使用 OAuth 2.0 Postman 是一个流行的API客户端,支持 …

2024-07-14 Unity插件 Odin Inspector1 —— 插件介绍

文章目录 1 介绍2 模块3 学习目的 1 介绍 ​ Odin Inspector 是 Unity 的一个插件,拥有强大、自定义和用户友好的编辑器,而无需编写任何自定义编辑器代码,使得编程过程中的数据可视化更容易实现。 ​ 具体功能包括: 更舒适美观…

2024-07-12 Unity AI状态机1 —— 框架介绍

文章目录 1 有限状态机2 状态机实现框架2.1 StateMachine2.2 BaseState2.3 ...State2.4 IAIObject 3 框架类图 本文章参考 B 站唐老狮 2023 年直播内容。点击前往唐老狮 B 站主页。 1 有限状态机 ​ 有限状态机(Finite - State Machine,FSM&#xff09…

Docker安装RabbitMQ(带web管理端)

1.拉取带web管理的镜像 可以拉取rabbitmq对应版本的web管理端,比如:rabbitmq:3.9.11-management,也可以直接拉取带web管理端的最新版本 rabbitmq:management. docker pull rabbitmq:3.9.11-management 注意:如果docker pull ra…

websockt初始化,创建一个webSocket示例

写文思路: 以下主要从几个方面着手写websocket相关,包括以下:什么是webSocket,webSocket的优点和劣势,webSocket工作原理,webSocket握手示例,如何使用webSocket(使用webSocket的一个示例)&#…

Chapter 1:数据结构前言

在数字化的世界里,我们每天都在与数据打交道。然而,你是否曾想过,这些数据是如何被组织、存储和处理的?这就是数据结构的魅力所在。 数据结构,简单来说,就是数据的组织方式。它决定了我们如何高效地访问和操…

object-C 解答算法:合并两个有序数组(leetCode-88)

合并两个有序数组(leetCode-88) 题目如下图:(也可以到leetCode上看完整题目,题号88) 首先搞懂,什么叫“非递减顺序” 非递减顺序,是指一个序列中的元素从前往后(或从左到右)保持不减少或相等。 这意味着序列中的元素可以保持相同的值,但不会…

外包干了1个月,技术明显退步。。。

有一种打工人的羡慕,叫做“大厂”。 真是年少不知大厂香,错把青春插稻秧。 但是,在深圳有一群比大厂员工更庞大的群体,他们顶着大厂的“名”,做着大厂的工作,还可以享受大厂的伙食,却没有大厂…

Rust 使用 panic! 还是不用 panic!

使用 panic! 还是不用 panic! 那么,该如何决定何时应该 panic! 以及何时应该返回 Result 呢?如果代码 panic,就没有恢复的可能。你可以选择对任何错误场景都调用 panic!,不管是否有可能恢复,不过这样就是你代替调用者…

智能合约和分布式应用管理系统:技术革新与未来展望

引言 随着区块链技术的不断发展,智能合约和分布式应用(DApps)逐渐成为数字经济中的重要组成部分。智能合约是一种自执行的协议,能够在预设条件满足时自动执行代码,而无需人工干预或中介机构。这种自动化和信任机制极大…

DP V2.1a标准学习(二)

三、线材&连接器要求 1.线材分类 线材按照支持速率的不同,划分为不同规格,具体如下: DP和USB线材混用矩阵,也就是不同规格的线材对应的支持传输速率和传输类型,如下: 2.线材和连接器组件分类 线材+连接器组件分类与DP V1.4类似,不过型号更多了,如下: 也支持2种…

Vue3 使用 Vue Router 时,prams 传参失效和报错问题

Discarded invalid param(s) “id“, “name“, “age“ when navigating 我尝试使用 prams 传递数据 <script setup> import { useRouter } from vue-routerconst router useRouter() const params { id: 1, name: ly, phone: 13246566476, age: 23 } const toDetail…

基于conda包的环境创建、激活、管理与删除

Anaconda是一个免费、易于安装的包管理器、环境管理器和 Python 发行版&#xff0c;支持平台包括Windows、macOS 和 Linux。下载安装地址&#xff1a;Download Anaconda Distribution | Anaconda 很多不同的项目可能需要使用不同的环境。例如某个项目需要使用pytorch1.6&#x…

从 Icelake 到 Iceberg Rust

本文作者丁皓是Databend 研发工程师&#xff0c;也是 ASF Member&#xff0c; Apache OpenDAL PMC Chair &#xff0c;主要研究领域包括存储、自动化与开源。 太长不看 Icelake 已经停止更新&#xff0c;请改用 iceberg-rust。 Iceberg-rust 是一个由社区驱动的项目&#xff0…

kotlin数据类型

人不走空 &#x1f308;个人主页&#xff1a;人不走空 &#x1f496;系列专栏&#xff1a;算法专题 ⏰诗词歌赋&#xff1a;斯是陋室&#xff0c;惟吾德馨 Kotlin基本数值类型 基本数据类型包括 Byte、Short、Int、Long、Float、Double 整数类型 类型位宽最小值最大…

内存函数(C语言)

内存函数 以下函数的头文件&#xff1a;string.h 针对内存块进行处理的函数 memcpy 函数原型&#xff1a; void* memcpy(void* destination, const void* source, size_t num);目标空间地址 源空间地址num&#xff0c;被拷贝的字节个数 返回目标空间的起始地…