防火墙安全策略

时间:2024-07-12 07:20:36

一、实验拓扑

二、实验要求

1、DMZ区域内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问
2、生产区不允许访问互联网,办公区和游客区允许访问互联网
3、办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4、办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证
   游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网权限,门户网站地址为10.0.3.10
5、生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123
   首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
6、创建一个自定义管理员,要求不能拥有系统管理功能

三、实验步骤

按照实验将环境搭建(分公司的暂时不做)

生产区:

划分在vlan2

IP地址:10.0.1.0/24网段

办公区:

划分在vlan3

IP地址:10.0.2.0/24网段

DMZ服务器区:

IP地址:10.0.3.0/24

游客区:

IP地址:10.0.4.0/24

外网专线:

联通:12.0.0.0/24

电信:21.0.0.0/24

防火墙管理:

IP地址:192.168.100.0/24

改vlan类型和默认vlan:

生产区:

办公区:

总公司:

防火墙:

1.启动防火墙之后华为默认登录账号admin,密码:Admin@123;初次登录需要修改密码

2.进入管理口配置web登录设置

[USG6000V1-GigabitEthernet0/0/0]service-manage all permit

3.防火墙默认管理端口g0/0/0,管理地址为192.168.0.1/24 我这里修改了管理地址,再将本地的环回口配置在同一网段即可通信

这里通过换回网卡连接将防火墙的管理端口连接到本地,通过web界面进行管理

4.在浏览器界面地址栏位置输入防火墙的管理地址即可登录

输入172.172.0.1

用户名:admin

密码:Chenkai123(这里是我更改的密码)

(1)网络设置:

创建安全按区域列表

创捷接口列表

以to DMZ为例,填写安全区域和IP地址

注意:

办公区和生产区是虚拟子接口需要写vlan tag

这样接口配完,我们全网通了,下来我们就做策略吧!

(2)策略设置:

1、DMZ区域内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问

策略-->安全策略-->新建安全策略

办公区:

生产区:

去DMZ区的服务器上开启http服务做验证:

验证:

生产区:

办公区(我在18点后做):

访问失败:

下班后安全策略表就会变灰色:

2、生产区不允许访问互联网,办公区和游客区允许访问互联网

我们只要做办公区域和游客区域允许访问互联网,生产区不用做,因为默认拒绝:

去外网是不安全选untrust

去外网就要私网和公网转换,这里我们要做NAT策略

验证:去ping外网的环回1.1.1.1

生产区:(失败)

办公区:(成功)

游客区:(成功)

3、办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10

10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器

仅能ping通10.0.3.10(拒绝10.0.3.20)

允许:

验证:

仅能ping通10.0.3.10

办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器

4、办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证
   游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网权限,门户网站地址为10.0.3.10

  对象-->用户-->认证域-->新建

创建完之后这里会出现一个认证域

进去我们创建用户

Open-->新建

先创用户组,再创各个部门,再创用户同时将用户加入对应的用户组这样方便以后的管理

题中要求研发部IP地址固定,这里选单向绑定;市场部需要用户绑定IP地址,这里选双向绑定,该IP地址只能该用户登录,其他用户想用这台主机是不行的,即为固定IP

市场部需要用户绑定IP地址

研发部IP地址固定

访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证

游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网权限,门户网站地址为10.0.3.10

游客区人员不固定:

游客仅有访问公司门户和上网的权限,这里游客不能访问DMZ和生产区,那我们就只放通办公区和门户网站

这样其他的服务就通不了咯,同时他们还要访问外网

 验证:

5、生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123
   首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用


6、创建一个自定义管理员,要求不能拥有系统管理功能

系统-->管理员-->管理员角色创建

新建管理员

验证:

不能拥有系统管理功能

权限发生变化

可以看到对系统无法进行更改操作