网络安全防御【防火墙安全策略用户认证综合实验】

目录

一、实验拓扑图

二、实验要求

三、实验思路

四、实验步骤

1、打开ensp防火墙的web服务(带内管理的工作模式)

2、在FW1的web网页中网络相关配置

3、交换机LSW6(总公司)的相关配置:

4、路由器相关接口配置:

5、相关安全策略配置:

(1)DMZ区的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区设备全天都是可以访问。

(2)生产区不允许访问互联网,办公区和游客区允许访问互联网:

(3)办公区设备10.0.2.20不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10。

6、相关认证策略配置:

(1)办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权利,门户网站地址10.0.3.10。

(2)生产区访问DMZ区时,需要进行protal认证,设立生产区用户架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab@123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用

7、创建一个自定义管理员,要求不能拥有系统管理的功能


一、实验拓扑图

二、实验要求

1、DMZ区的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区设备全天都是可以访问的

2、生产区不允许访问互联网,办公区和游客区允许访问互联网

3、办公区设备10.0.2.20不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10

4、办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;

游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权利,门户网站地址10.0.3.10

5、生产区访问DMZ区时,需要进行protal认证,设立生产区用户架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab@123,

首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用

6、创建一个自定义管理员,要求不能拥有系统管理的功能

三、实验思路

  1. 首先拓扑图中各个设备的IP地址划分合理
  2. 会使用FW的web服务操作
  3. 要注意在这个拓扑图中FW的组网方式是路由模式
  4. FW与总公司连接的生产区和办公区的接口,需要使用到子接口
  5. 各个交换机接口配置要注意是access口还是trunk口
  6. 根据实验要求做出相关的安全策略和认证策略
  7. 创建管理员,并给它指定相关功能

四、实验步骤

1、打开ensp防火墙的web服务(带内管理的工作模式)

Clound1(云)的操作:

要增加一条UDP的信息和一张虚拟网卡(不要使用电脑中的真实网卡,可以自己添加一张虚拟环回网卡)的信息,要形成双向通道在端口映射表中显现出来

FW的基本操作:

开启防火墙后需要登录用户名和密码,第一次默认的用户名:admin,密码:Admin@123;

登录成功之后需要修改你的密码才能进入防火墙的用户视图。

防火墙的g0/0/0口默认的IP地址为192.168.0.1/24;但是我们需要在浏览器中打开FW的web服务就需要将g0/0/0接口的IP地址修改为与我们Clound中虚拟网卡通一个网段才行。

列如:我的虚拟网卡的IP为:192.168.142.1/24,那么我们就修改防火墙g0/0/0接口的IP为:192.168.142.10/24。保证在同一个网站,那么我们的浏览器就可以访问。

在防火墙中g0/0/0口中开启所有的服务:

[USG6000V1-GigabitEthernet0/0/0]service-manage all permit

如果你的浏览器搜索防火墙g0/0/0的IP地址的web网页打不开有以下几种解决方案

  1. 首先检查你的FW和Clound中虚拟网卡的配置是否正确
  2. 将Ncap、火绒、完美竞技平台等等与ensp不兼容的程序卸载
  3. 关闭你的杀毒软件和系统的防火墙
  4. 换几个浏览器试一试或者写一个小众的IP地址(如172.156.142.1)

PC、server、client的相关基本配置:

PC1:

PC2:

PC5:

Server1:

Server2:

Client1:

Client2:

Client3:

2、在FW1的web网页中网络相关配置

添加安全区域(SC,BG,YK)

 

G1/0/0:

G1/0/1:

G1/0/2:

G1/0/3:配置对应的子接口

G1/0/3.1:

G1/0/3.2

G1/0/4:

总的接口列表:

启动访问管理选项将ping勾选了,便于后续测试

3、交换机LSW6(总公司)的相关配置:

生产区:[Huawei]int g0/0/2[Huawei-GigabitEthernet0/0/2]port link-type access[Huawei-GigabitEthernet0/0/2]port default vlan 2办公区:[Huawei-GigabitEthernet0/0/2]int g0/0/3[Huawei-GigabitEthernet0/0/3]p l a[Huawei-GigabitEthernet0/0/3]p d v 3与防火墙相连:[Huawei-GigabitEthernet0/0/3]int g0/0/1[Huawei-GigabitEthernet0/0/1]p l t[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3[Huawei-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1

4、路由器相关接口配置:

[Huawei]sysname ISP电信接口端:[ISP]int g0/0/0[ISP-GigabitEthernet0/0/0]ip add 12.0.0.2 24移动接口端:[ISP-GigabitEthernet0/0/0]int g0/0/1[ISP-GigabitEthernet0/0/1]ip add 21.0.0.2 24分公司接口端:[ISP-GigabitEthernet0/0/1]int g0/0/2[ISP-GigabitEthernet0/0/2]ip add 23.0.0.2 24[ISP-GigabitEthernet0/0/2]q环回口(用于测试):[ISP]int LoopBack 0[ISP-LoopBack0]ip add 1.1.1.1 24[ISP-LoopBack0]q[ISP]dis ip int bri

5、相关安全策略配置:

(1)DMZ区的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区设备全天都是可以访问。

办公区访问DMZ服务器的安全策略:

生产区访问DMZ服务器的安全策略:

测试一下:

使用生产区的PC去ping DMZ区的server1:

在DMZ区server1中开启http服务,在生产区client1中获取相关地址的http文件:

测试成功!!!

(2)生产区不允许访问互联网,办公区和游客区允许访问互联网:

生产区:

办公区and游客区:

测试一下:但是由于我们暂时还没有在防火墙上面做NAT公私网地址转换,所以都ping不通,只有通过ping之后查看安全策略的流量变化。

未做操作时的流量情况(观察命中次数)

生产区pc1 ping ISP 的环回地址:

可以观察到自动匹配到了生产区不能访问互联网这条安全策略(该策略命中次数增加)

办公区PC2 ping ISP 的环回地址:

 

可以观察到自动匹配到了办公区和游客区能访问互联网这条安全策略(该策略命中次数增加)

测试成功!!!

(3)办公区设备10.0.2.20不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10。

Client2:10.0.2.:20不允许访问DMZ区的FTP服务器和HTTP服务器

Client2:10.0.2.:20仅能ping通DMZ区的10.0.3.10。

添加我们需要的client2和sever1的地址

我们需要更改一下安全策略的顺序(匹配顺序是自上到下),使我们刚刚创建的这两个策略放在最顶上,因为要求1中策略的范围过大,会影响我们实验测试效果。

测试一下:

10.0.2.20  ping 10.0.3.10:

10.0.2.20  ping 10.0.3.20:

Server1 开启http服务,使用client2去访问:

访问失败!!!

Server2 开启ftp服务,使用client2去访问:

 

访问失败!!!

测试成功!!!

6、相关认证策略配置:

(1)办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权利,门户网站地址10.0.3.10。

创建一个办公区(放在默认组的下一级):

创建一个游客区(放在默认组的下一级):

在办公区里面创建市场部和研发部:

在游客区中创建一个公共用户:(统一使用Guest用户登录,密码Admin@123)

做相关的认证策略,研发部IP地址(10.0.1.20)固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;

做安全策略使游客区人员不固定,不允许访问DMZ区和生产区,游客仅有访问公司门户网站和上网的权利,门户网站地址10.0.3.10。

注意要将游客区人员匹配门户网址这条策略放在游客区人员允许访问DMZ区和生产区这条策略之前才有效果。

测试一下:

使用游客区的client3 去访问门户网址10.0.3.10(http服务):

门户网址(server1)开启http服务:

使用游客区client3去访问门户网址:

获取成功!

测试成功!!!

(2)生产区访问DMZ区时,需要进行protal认证,设立生产区用户架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab@123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用

做认证策略使生产区访问DMZ区时,需要进行protal认证:

创建生产区(在default组下一级):

在生产组下创建三个部门:

在每个部门下创建三个用户:

批量创建用户过程演示(要取消勾选多人同时使用该账号,用户过期时间设定为10天)

 

7、创建一个自定义管理员,要求不能拥有系统管理的功能

先新建一个管理员角色(网络安全管理员):

再新建一个管理员(用户名密码自拟):

至此本实验全部结束!!!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/378044.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

connect by prior 递归查询

connect by prior 以公司组织架构举例,共四个层级,总公司,分公司,中心支公司,支公司 总公司level_code为1 下一层级的parent_id为上一层级的id,建立关联关系 SELECT id, name, LEVEL FROM org_info a STA…

海事无人机解决方案

海事巡察 海事巡察现状 巡查效率低下,存在视野盲区,耗时长,人力成本高。 海事的职能 统一管理水上交通安全和防治船舶污染。 管理通航秩序、通航环境。负责水域的划定和监督管理,维护水 上交通秩序;核定船舶靠泊安…

使用自制Qt工具配合mitmproxy进行网络调试

在软件开发和网络调试过程中,抓包工具是不可或缺的。传统的抓包工具如Fiddler或Charles Proxy通常需要设置系统代理,这会抓到其他应用程序的网络连接,需要设置繁琐的过滤,导致不必要的干扰。为了解决这个问题,我们可以…

linux中关于环境变量的常用的设置方法

一. linux中设置环境变量的方式 1.使用/etc/environment, 是一个全局的环境变量设置文件,它会影响到所有用户和所有进程。当你需要设置一个全局的环境变量时,应该使用这个文件。这个文件的格式是 KEYvalue,每行一个环境变量。 2. 使用/etc/…

【unity笔记】常见问题收集

一 . Unity Build GI data 卡住问题 解决: 参考官方文档,GI(Global Illumination) data 指的是全局照明信息。 在Unity的Edit->Preference中,可以编辑GI缓存路径和分配GI缓存大小。 调出Window->Rendering->Lighting窗口,取消勾选…

【Caffeine】⭐️SpringBoot 项目整合 Caffeine 实现本地缓存

目录 🍸前言 🍻一、Caffeine 🍺二、项目实践 2.1 环境准备 2.2 项目搭建 2.3 接口测试 ​💞️三、章末 🍸前言 小伙伴们大家好,缓存是提升系统性能的一个不可或缺的工具,通过缓存可以避免大…

基于SpringBoot+VueJS+微信小程序技术的图书森林共享小程序设计与实现:7000字论文+源代码参考

博主介绍:硕士研究生,专注于信息化技术领域开发与管理,会使用java、标准c/c等开发语言,以及毕业项目实战✌ 从事基于java BS架构、CS架构、c/c 编程工作近16年,拥有近12年的管理工作经验,拥有较丰富的技术架…

Java面试八股之Redis哨兵机制

Redis哨兵机制 Redis Sentinel(哨兵)模式是一种高可用解决方案,用于监控和自动故障转移Redis主从集群。以下是对哨兵模式详细过程的描述: 1. 初始化与配置 部署哨兵节点:在不同的服务器上部署一个或多个Redis Sentin…

leetcode 周赛(406)全AC留念

纪念第一次 leetcode 周赛(406)全AC 1.(100352. 交换后字典序最小的字符串) 题目描述: 给你一个仅由数字组成的字符串 s,在最多交换一次 相邻 且具有相同 奇偶性 的数字后,返回可以得到的 字典序最小的字符串 。 如…

ubantu22.04安装OceanBase 数据库

1、管理员启动cmd,运行 sudo bash -c "$(curl -s https://obbusiness-private.oss-cn-shanghai.aliyuncs.com/download-center/opensource/service/installer.sh)" 2、提示如下代表安装完成 3、修改数据库配置文件的密码 sudo vim /etc/oceanbase.cnf 然后保存退…

初学SpringMVC之 JSON 篇

JSON(JavaScript Object Notation,JS 对象标记)是一种轻量级的数据交换格式 采用完全独立于编程语言的文本格式来存储和表示数据 JSON 键值对是用来保存 JavaScript 对象的一种方式 比如:{"name": "张三"}…

Redis实战—附近商铺、用户签到、UV统计

本博客为个人学习笔记,学习网站与详细见:黑马程序员Redis入门到实战 P88 - P95 目录 附近商铺 数据导入 功能实现 用户签到 签到功能 连续签到统计 UV统计 附近商铺 利用Redis中的GEO数据结构实现附近商铺功能,常见命令如下图所示。…

牛客TOP101:合并两个排序的链表

文章目录 1. 题目描述2. 解题思路3. 代码实现 1. 题目描述 2. 解题思路 与正常的合并两个有序数组思路一样,这里可以定义一个头节点(虚拟节点),可以方便我们一开始进行连接。用两个指针标记两个链表的结点,进行循环比较…

5.4 软件工程-系统设计

系统设计 - 概述 设计软件系统总体结构 数据结构及数据库设计 编写概要设计文档、评审 详细设计的基本任务 真题

FPGA 项目菜单功能比较

为了帮助您更好地理解每个FPGA功能模块的实用场合、区别和特点,以下是详细的比较: 功能模块实用场合区别特点FPGA I/O自动控制系统、数据采集系统直接与FPGA板卡上的物理端口交互,配置和使用外部I/O设备灵活配置输入输出端口,支持…

[Spring] Spring Web MVC案例实战

🌸个人主页:https://blog.csdn.net/2301_80050796?spm1000.2115.3001.5343 🏵️热门专栏: 🧊 Java基本语法(97平均质量分)https://blog.csdn.net/2301_80050796/category_12615970.html?spm1001.2014.3001.5482 🍕 Collection与…

「Pytorch」roLabelImg 图像异常旋转 bug

在进行Yolo-obb 模型训练的时候需要标注旋转框,roLabelImg 是比较推荐的一款旋转框标注工具,既可以标注正常的矩形框,还可以标注旋转框 roLabelImg Github 地址:https://github.com/HumanSignal/labelImg 但是在使用过程中遇到了…

数据库管理-第218期 服务器内存(20240711)

数据库管理218期 2024-07-11 数据库管理-第218期 服务器内存(20240711)1 内存2 ECC内存3 原理3.1 多副本传输3.2 纠错码3.3 汉明码 总结 数据库管理-第218期 服务器内存(20240711) 作者:胖头鱼的鱼缸(尹海文…

利用OSMnx进行城市路网数据的速度与通行时间推算及分析

本文还是以广州市路网为例,通过osmmx调用ox.add_edge_speeds(G)时,该函数会遍历图G 中的每条边(即每条街道),并基于一些预设的规则或街道属性(如街道类型、是否为主要道路、是否有速度限制等)来…

Logistic回归算法原理详解及应用

目录 引言 基本原理 损失函数 参数估计 优缺点 应用 Logistic回归优化算法 具体案例 引言 逻辑回归(Logistic Regression)是一种广泛用于分类问题的统计方法,尤其是二分类问题。尽管名字中有“回归”二字,但它实际上是一…