目录

一、实验拓扑图

二、要求

三、IP地址规划

四、实验配置

1🤣防火墙FW1web服务配置

2.网络配置

 要求1：DMZ区内的服务器，办公区仅能在办公时间内(9:00-18:00)可以访问，生产区的设备全天可以访问

 要求2：生产区不允许访问互联网，办公区和游客区允许访问互联网

http%E6%9C%8D%E5%8A%A1%E5%99%A8%EF%BC%8C%E4%BB%85%E8%83%BDping%E9%80%9A10.0.3.10-toc" style="margin-left:0px;">要求3：办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和http服务器，仅能ping通10.0.3.10

要求4：办公区分为市场部和研发部，研发部IP地址固定，访问DMZ区使用匿名认证，市场部需要用户绑定IP地址，访问DMZ区使用免认证；游客区人员不固定，不允许访问DMZ区和生产区，统一使用Guest用户登录，密码Admin@123，游客仅有访问公司门户网站和上网的权限，门户网站地址10.0.3.10

要求5：生产区访问DMZ区时，需要进行protal认证，设立生产区用户组织架构，至少包含三个部门，每个部门三个用户，用户统一密码openlab123，首次登录需要修改密码，用户过期时设定为10天，用户不允许多人使用

要求6：创建一个自定义管理员，要求不能拥有系统管理的功能

---

一、实验拓扑图

https://i-blog.csdnimg.cn/direct/c01167b70d66497e984f4197b3349c7d.png" width="849" />

二、要求

1，DMZ区内的服务器，办公区仅能在办公时间内(9:00-18:00)可以访问，生产区的设备全天可以访问。

2，生产区不允许访问互联网，办公区和游客区允许访问互联网

3，办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和http服务器，仅能ping通10.0.3.10，

4，办公区分为市场部和研发部，研发部IP地址固定，访问DMZ区使用匿名认证，市场部需要用户绑定IP地址，访问DMZ区使用免认证；

游客区人员不固定，不允许访问DMZ区和生产区，统一使用Guest用户登录，密码Admin@123，游客仅有访问公司门户网站和上网的权限，门户网站地址10.0.3.10

5，生产区访问DMZ区时，需要进行protal认证，设立生产区用户组织架构，至少包含三个部门，每个部门三个用户，用户统一密码openlab123，首次

登录需要修改密码，用户过期时设定为10天，用户不允许多人使用

6.创建一个自定义管理员，要求不能拥有系统管理的功能

（分公司的暂时不做）

三、IP地址规划

办公区：

划分在vlan2

IP地址：10.0.2.0/24网段

生产区：

划分在vlan3

IP地址：10.0.1.0/24网段

游客区：

IP地址：10.0.4.0/24

DMZ服务器区：

IP地址：10.0.3.0/24

外网专线：

联通：12.0.0.0/24

电信：21.0.0.0/24

环回模拟外网千千万万网段

1.1.1.1 32

防火墙管理：

IP地址：192.168.100.0/24

• 实验思路

1. 首先要确保总司这边的网络能够正常通信
2. 其次根据要求做相应的防火墙策略

四、实验配置

1😀交换机LSW3

[Huawei]vlan batch 2 3

#

interface GigabitEthernet0/0/3

 port link-type access

 port default vlan 2

#

interface GigabitEthernet0/0/2

 port link-type access

 port default vlan 3

#

interface GigabitEthernet0/0/1

 port link-type trunk

 port trunk allow-pass vlan 2 to 3

#

1🤣防火墙FW1web服务配置

1.启动防火墙之后华为默认登录账号admin，密码：Admin@123;初次登录需要修改密码

2.进入管理口配置web服务登录设置

[USG6000V1-GigabitEthernet0/0/0]service-manage all permit

3.防火墙默认管理端口g0/0/0，管理地址为192.168.0.1/24 我这里修改了管理地址，再将本地的环回口配置在同一网段即可通信

这里通过换回网卡连接将防火墙的管理端口连接到本地，通过web界面进行管理

https://i-blog.csdnimg.cn/direct/c784d0db0438427692b9d8d15f571264.png" width="831" />

4.在浏览器界面地址栏位置输入防火墙的管理地址即可登录

https://i-blog.csdnimg.cn/direct/611ed6407c504180b1164b5b20eebdd6.png" width="744" />

输入192.168.100.3

用户名使用admin

密码为修改之后的密码

登录之后进行设置界面

2.网络配置

在网络-->接口-->安全区域首先划分出安全区域

默认有四个区域

https://i-blog.csdnimg.cn/direct/5fcd79796e184018be218167db380d0b.png" width="831" />

我们还需要划分出三个区域，分别是生产区、办公区、游客区（以办公区为例）

https://i-blog.csdnimg.cn/direct/aab648188d1c4f1fbc0a027da2ab18a1.png" width="830" />

划分之后的区域

https://i-blog.csdnimg.cn/direct/0f0a915b016947ae949b8c6c330445c8.png" width="830" />

接口-->进行IP地址的设置

以DMZ区为例：

DMZ区连接防火墙的G1/0/0，所以点GE1/0/0接口进行设置

https://i-blog.csdnimg.cn/direct/c7a42f6c9a684e47a5e548dc001c54d1.png" width="830" />

这里最好先将启动访问管理里的ping勾选，方便测试，后期为了安全可以取消勾选 

https://i-blog.csdnimg.cn/direct/354adbae811d4ae0820848bf206c0ca6.png" width="831" />

而生产区和办公区要在不同的vlan，这里充当网关，所以我们可以使用子接口

新建-->

https://i-blog.csdnimg.cn/direct/1f24c53892f4461c80a403d567116629.png" width="830" />

其他几个区域也是类似的配置方法，配完之后的

https://i-blog.csdnimg.cn/direct/2475962746d24c7a9ee05d4dc68b8c71.png" width="831" />

 要求1：DMZ区内的服务器，办公区仅能在办公时间内(9:00-18:00)可以访问，生产区的设备全天可以访问

（1）要求1说让办公区在工作时间能够访问DMZ区，那就新建安全策略

策略-->安全策略-->新建安全策略

https://i-blog.csdnimg.cn/direct/493dff17ad674e5080936be70f48c4bd.png" width="831" />

注意：源安全区域选之前建好的办公区，目的区选DMZ区，源地址写办公区的IP地址

源地址-->新建-->新建地址

https://i-blog.csdnimg.cn/direct/9e7e01df188f485da7b1b2e892d23cb6.png" width="403" />

目的地址可以直接填写DMZ区的IP地址，也可以新建地址都行，用户这里先不写，后面在进行修改，服务这里因为是服务器区，所以我们要勾选我们需要的服务，不需要的我们就不勾选，默认这边就访问了其他的服务，时间段这里新建时间段，选我们工作期间的时间，动作选允许，之后选确定。

我们现在可以区服务器上开启http服务，(服务器要配置IP地址及网关)

https://i-blog.csdnimg.cn/direct/66576d18f162432e9d6d854cb91c704a.png" width="831" />在办公区访问DMZ区（同样这里也要配置IP地址和网关）

https://i-blog.csdnimg.cn/direct/c11248e3ebb54bb093a014b1c4a1856c.png" width="831" />

我要到的一个问题：

再配置玩策略之后，策略显示

https://i-blog.csdnimg.cn/direct/ed3afa4e1a7044739f038e459da39b27.png" width="831" />

这是我设置的是上班时间为09：00-18：00，但是这里的系统时间忘记设置，系统时间现在不在上班时间，所以这个策略就没有生效。这里需要设置一下系统时间

系统-->配置-->时钟配置-->配置方法

选从本地系统同步时间，点击应用，这时策略才会生效，我们才能正常访问服务器

（2）生产区全天都能访问DMZ 区

这里我的思路和之前一样，只是在新建策略时将时间段改为any，就能正常访问。

https://i-blog.csdnimg.cn/direct/e4381ff7409f4ce1a587c950ad839fd4.png" width="830" />

 要求2：生产区不允许访问互联网，办公区和游客区允许访问互联网

（1）生产区不允许访问互联网，而华为防火墙这里默认都是拒绝访问，而办公区和游客区允许访问互联网，那我们只需要放通办公区和游客区就行。

这里我选用NAT技术

https://i-blog.csdnimg.cn/direct/2a77cb77b1b748b9bd24f9c0b13dd3a2.png" width="830" />

这是连接联通专线的接口，安全区域选择untrust区，默认网关指向ISP，路由表中会产生有一条缺省指向联通专线，

https://i-blog.csdnimg.cn/direct/5fb0a13e149e4b7ba70ff6be05c0a2ef.png" width="831" />

策略

策略-->NAT策略-->新建

https://i-blog.csdnimg.cn/direct/b818308252f349758f8ecede0d23cfb5.png" width="830" />

策略-->安全策略-->新建安全策略

https://i-blog.csdnimg.cn/direct/fec12f99b1e14daf87e955fa95272e75.png" width="830" />

这样我们就可以正常访问外网，而生产区访问不了

https://i-blog.csdnimg.cn/direct/8cfa70f939094038b3f77f4d41a7fae8.png" width="830" />

https://i-blog.csdnimg.cn/direct/584080ea91824a8bbbb6b5530f9fd6fe.png" width="696" />

http%E6%9C%8D%E5%8A%A1%E5%99%A8%EF%BC%8C%E4%BB%85%E8%83%BDping%E9%80%9A10.0.3.10" style="text-align:left;">要求3：办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和http服务器，仅能ping通10.0.3.10

这里单拎出来做了策略

放第一位，因为这个策略是自上向下匹配，我将ftp、http服务和其他服务器的访问都禁止掉，仅ping10.0.3.10再做一个策略

https://i-blog.csdnimg.cn/direct/e5a6638b22944843a4d6b622c5e52459.png" width="830" />

https://i-blog.csdnimg.cn/direct/4693395115b14a43b92b114900ba893d.png" width="831" />

https://i-blog.csdnimg.cn/direct/d688b636c64d427880e6dfcf2e378360.png" width="831" />

https://i-blog.csdnimg.cn/direct/2782152490324ee883323871fdc29f38.png" width="830" />

https://i-blog.csdnimg.cn/direct/14f32bc747d24f739e56eb8c9e417d3d.png" width="831" />

https://i-blog.csdnimg.cn/direct/cdeb2d7f80284249a4e0ab87a4614f29.png" width="831" />https://i-blog.csdnimg.cn/direct/c506dde0eb4c40f49dec2f6332813b00.png" width="831" />

https://i-blog.csdnimg.cn/direct/5418153eeac04aa6b8dceec7c4393c48.png" width="831" />

要求4：办公区分为市场部和研发部，研发部IP地址固定，访问DMZ区使用匿名认证，市场部需要用户绑定IP地址，访问DMZ区使用免认证；游客区人员不固定，不允许访问DMZ区和生产区，统一使用Guest用户登录，密码Admin@123，游客仅有访问公司门户网站和上网的权限，门户网站地址10.0.3.10

要求5：生产区访问DMZ区时，需要进行protal认证，设立生产区用户组织架构，至少包含三个部门，每个部门三个用户，用户统一密码openlab123，首次登录需要修改密码，用户过期时设定为10天，用户不允许多人使用

这里要对用户登录进行认证，那就创建用户，先创认证域，再加入用户

对象-->用户-->认证域-->新建

https://i-blog.csdnimg.cn/direct/52db3df4791c4e72872678887e03b5b0.png" width="298" />

https://i-blog.csdnimg.cn/direct/471ecf03e36c469aa11bf652f3abca64.png" width="810" />

创建完之后这里会出现一个认证域

进去我们创建用户

Open-->新建

先创用户组，再创各个部门，再创用户同时将用户加入对应的用户组这样方便以后的管理

这里用到了新建用户组，批量新建用户，新建用户。

https://i-blog.csdnimg.cn/direct/f72e7db0135b49b782804372b2014478.png" width="830" />

题中要求研发部IP地址固定，这里选单向绑定；市场部需要用户绑定IP地址，这里选双向绑定，该IP地址只能该用户登录，其他用户想用这台主机是不行的，即为固定IP

https://i-blog.csdnimg.cn/direct/30033668ed2847fd948108fc04b10f33.png" width="831" />

https://i-blog.csdnimg.cn/direct/73de4ddb8640467da2b8c2b3e2f5bc76.png" width="830" />

这里有个小点是：要求密码设为openlan123,但是默认设置要求大小写加数字，我们将密码这里设为中级，使用小写加数字就可以设置

https://i-blog.csdnimg.cn/direct/ed8bbde9c8d148d48956ce25e1ddfc35.png" width="830" />

配置认证策略，题中说研发部去访问DMZ区使用匿名登录，而市场部使用免认证，生产部访问进行protal认证，如图配置

https://i-blog.csdnimg.cn/direct/6a12ecfbcc4b45c1ad08f9a16dc423c5.png" width="732" />

https://i-blog.csdnimg.cn/direct/d4f445b911cf4cefa5f8d3676649a0ed.png" width="763" />

https://i-blog.csdnimg.cn/direct/9aa38910614f4676bdafe5eb77b07a63.png" width="827" />

https://i-blog.csdnimg.cn/direct/637de597fe7248f28a15b0ed523c53ab.png" width="830" />

账号国企时间在创建用户时设置，在用户属性选项中，要求设置为10天，不允许多人使用，

这些要求都在这里进行设置即可。

游客账号设置

https://i-blog.csdnimg.cn/direct/e7452184b3ca4d3f8187fd4602f1781a.png" width="829" />

同时允许多人登录这个账号

游客仅有访问公司门户和上网的权限，这里游客不能访问DMZ和生产区，那我们就只放通办公区和门户网站

https://i-blog.csdnimg.cn/direct/134b5f0aced94349935c4e93c308b809.png" width="831" />

这样其他的服务就通不了咯，同时他们还能访问外网

https://i-blog.csdnimg.cn/direct/9e630ae43c4f4df68056fac354b25b39.png" width="830" />

验证：

https://i-blog.csdnimg.cn/direct/bf6baa3a873044528e09c36314bed9dd.png" width="830" />

要求6：创建一个自定义管理员，要求不能拥有系统管理的功能

系统-->管理员-->管理员角色创建

https://i-blog.csdnimg.cn/direct/8b219a24949248dc8d2785cc26acdbf9.png" width="831" />

https://i-blog.csdnimg.cn/direct/0b991dd0121b432daff63553bb17a32f.png" width="831" />

新建管理员

https://i-blog.csdnimg.cn/direct/2cb164d9be964500ade22365ab5575a5.png" width="831" />管理员登录

https://i-blog.csdnimg.cn/direct/9a2d116146654205a18d0e0e217a12a0.png" width="826" />

权限发生变化

https://i-blog.csdnimg.cn/direct/d5c8ab7566a64e1cbace2511e9fd8d92.png" width="829" />

https://i-blog.csdnimg.cn/direct/c6d2eeaced51428691f068a5894af457.png" width="829" />

实验到这里就全部做完了，不完美的就是这里的用户验证不完全，不知道做的配置和策略能不能完全成功。其他的思路只要清晰，这个配置起来不难吧！https://i-blog.csdnimg.cn/direct/4e013db31d2344f08c1ffbbe63b61fec.gif" width="300" />