目录
一、实验题目要求
二、拓扑搭建,IP地址规划
三、二层配置
1.配置IP地址
2.VLAN配置
四、三层的配置(防火墙配置)
1.IP地址配置
2.云配置
3.在浏览器上使用https协议登陆防火墙
(1)配置对应dmz区的G1/0/0接口
(2)创建新的区域
(3)子接口创建
(4)查看路由表
(5)ping网关,测试网络连通性
4.服务器配置
5.配置安全策略
五、完成实验要求
1.实验要求一
(1)具体步骤解析
(2)结果验证
2.实验要求二
3.实验要求三
(1)先创建一个安全策略,使10.0.2.10不允许DMZ区的相关服务
(2)再创建一个安全策略,使10.0.2.10只能ping通10.0.3.10,再将该安全策略置顶,使其最先匹配
(3)测试
4.实验要求四、五
(1)创建认证域,在认证域中建立市场部和研发部,并新建用户组
(2)新建批量用户,用户名间以英文逗号隔开,密码为openlab123,有效时间为21号为止,允许多人登录取消,分别每个部门创建3个用户
(3)新建游客区账户,命名为Guest
(4)所有用户建立完成截图如下
(5)市场部需要用户绑定IP地址,访问DMZ区使用免认证
(6)做认证策略,使用匿名和免认证登录DMZ区
(7)测试
5.实验要求六
(1)创建一个自定义管理员,要求不能拥有系统管理的功能
(2)在管理员中添加一个管理员,角色是自定义管理员
一、实验题目要求
1.DMZ区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问.生产区不允许访问互联网,办公区和游客区允许访问互联网;
2.生产区不允许访问互联网,办公区和游客区允许访问互联网;
3.办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10;
4.办公区分为市场部和研发部,市场部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证;游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10;
5.生产区访问DMZ时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登陆需要修改密码,用户过期时间设定为10天,用户不允许多人使用;
6.创建一个自定义管理员,要求不能拥有系统管理的功能
二、拓扑搭建,IP地址规划
三、二层配置
1.配置IP地址
(1)首先配置生产区(vlan2)内的设备--PC2/Client1
(2)配置办公区(vlan3)内的设备--Clienr2/PC3
(3)配置DMZ区内地地址--Server2/Server3
2.VLAN配置
<Huawei>system-view
[Huawei]vlan batch 2 3
[Huawei]interface GigabitEthernet 0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access # 定义接口类型
[Huawei-GigabitEthernet0/0/2]port default vlan 2 # 定义所属valn
[Huawei-GigabitEthernet0/0/2]q[Huawei]interface GigabitEthernet 0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type access
[Huawei-GigabitEthernet0/0/3]port default vlan 3
[Huawei-GigabitEthernet0/0/3]q[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type trunk
[Huawei-GigabitEthernet0/0/l]port trunk allow-pass vlan 2 3 # 放通vlan 2 3 内的流量
[Huawei-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1 # 出于对网络安全的考虑,拒绝vlan1内的流量通过四、三层的配置(防火墙配置)
1.IP地址配置
Username:admin
Password: # 密码为Admin@123
The password needs to be changed. Change now? [Y/N]: y
Please enter old password: # 输入旧密码
Please enter new password: # 修改新密码
Please confirm new password: # 重复新密码
<USG6000V1>system-view
[USG6000V1]interface GigabitEthernet 0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip address 192.168.81.2 24 # 修改IP地址
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit # 开启服务 
2.云配置
3.在浏览器上使用https协议登陆防火墙
访问网址:https://192.168.81.2:8443
使用之前重置的密码进行登陆
进入网络模块
(1)配置对应dmz区的G1/0/0接口
(2)创建新的区域
创建SC(生产区)
创建BG(办公区)
(3)子接口创建
切换到接口模块,选择新建
创建连接生产区的(vlan2)的接口
创建连接生产区的(vlan3)的接口
(4)查看路由表
(5)ping网关,测试网络连通性
4.服务器配置
将台服务器分别配置为HTTP服务器和FTP服务器
5.配置安全策略
进入防火墙安全策略模块,按需求进行策略配置
五、完成实验要求
1.实验要求一
DMZ区存在两台服务器,现在要求生产区的设备仅能在办公时间(9:00 - 18:00)访问,办公区的设备全天都可以访问。
(1)具体步骤解析
生产区
办公区
(2)结果验证
此时该安全策略已经开始执行,但由于不在时间段内一次暂时不生效
可以通过修改时间段来测试其可使用性
验证实验结果正确
2.实验要求二
生产区不允许访问互联网,办公区和游客区允许访问互联网
3.实验要求三
办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10;
(1)先创建一个安全策略,使10.0.2.10不允许DMZ区的相关服务
(2)再创建一个安全策略,使10.0.2.10只能ping通10.0.3.10,再将该安全策略置顶,使其最先匹配
(3)测试
①10.0.2.10可以ping通10.0.3.10
②10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器
4.实验要求四、五
①办公区分为市场部和研发部,市场部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证;
②游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户网站地址10.0.3.10;
③生产区访问DMZ时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登陆需要修改密码,用户过期时间设定为10天,用户不允许多人使用;
(1)创建认证域,在认证域中建立市场部和研发部,并新建用户组
(2)新建批量用户,用户名间以英文逗号隔开,密码为openlab123,有效时间为21号为止,允许多人登录取消,分别每个部门创建3个用户
首先需要修改用户选项中的密码认证,否则改密码过于简单系统拒绝设置,首次登陆需要修改密码,用户过期时间设定为10天
(3)新建游客区账户,命名为Guest
(4)创建研发部账户,命名为R&D
(4)所有用户建立完成截图如下
(5)市场部需要用户绑定IP地址,访问DMZ区使用免认证
(6)做认证策略,使用匿名和免认证登录DMZ区
(7)测试
5.实验要求六
(1)创建一个自定义管理员,要求不能拥有系统管理的功能
(2)在管理员中添加一个管理员,角色是自定义管理员
