网站运维合同,wordpress宠物,全球做的最好的公司网站,学历提升培训机构防火墙安全综合实验
一、拓扑信息 二、需求及配置
实验步骤
需求一#xff1a;根据下表#xff0c;完成相关配置
设备接口VLAN接口类型SW2GE0/0/2VLAN 10AccessGE0/0/3VLAN 20AccessGE0/0/1VLAN List#xff1a;10 20Trunk
1、创建vlan10和vlan20
2、将接口划分到对应…防火墙安全综合实验
一、拓扑信息 二、需求及配置
实验步骤
需求一根据下表完成相关配置
设备接口VLAN接口类型SW2GE0/0/2VLAN 10AccessGE0/0/3VLAN 20AccessGE0/0/1VLAN List10 20Trunk
1、创建vlan10和vlan20
2、将接口划分到对应的vlan中
设备接口VLANipFWGE1/0/1.110172.16.1.254/24GE1/0/1.220172.16.2.254/24GE1/0/0/10.0.0.254/24GE1/0/2/100.1.1.10/24OA ServerEthernet0/0/010.0.0.10/24Web ServerEthernet0/0/010.0.0.20/24DNS ServerEthernet0/0/010.0.0.30/24
[FW]interface GigabitEthernet 1/0/1.1
[FW-GigabitEthernet1/0/1.1]ip address 172.16.1.254 24
[FW-GigabitEthernet1/0/1.1]vlan-type dot1q 10
[FW]interface GigabitEthernet 1/0/1.2
[FW-GigabitEthernet1/0/1.1]ip address 172.16.2.254 24
[FW-GigabitEthernet1/0/1.2]ip address 172.16.2.254 24
[FW-GigabitEthernet1/0/1.2]vlan-type dot1q 20
[FW]int g1/0/0
[FW-GigabitEthernet1/0/0]ip address 10.0.0.254 24
[FW-GigabitEthernet1/0/0]int g1/0/2
[FW-GigabitEthernet1/0/2]ip address 100.1.1.10 24百度服务器Ethernet0/0/0vlan100.1.1.1/24Clinet1Ethernet0/0/0DHCP获取(172.16.1.90/24)Clinet2Ethernet0/0/0172.16.1.100/24Clinet3Ethernet0/0/0DHCP获取PC1Ethernet0/0/1172.16.2.100/24PC2Ethernet0/0/1DHCP获取
[FW]dhcp enable
[FW]int g 1/0/1.1
[FW-GigabitEthernet1/0/1.1]dhcp select interface
[FW]int g 1/0/1.2
[FW-GigabitEthernet1/0/1.2]dhcp select interface 172.16.1.90与Client1主机ip/mac绑定 需求二配置DHCP协议具体要求如下
1. 在FW上启动DHCP功能并配置不同的全局地址池为接入网络的终端设备分配IP地址。
2. Client1、Client3和PC2通过DHCP获取地址信息。Client2和PC1手工静态配置。
3. Client1必须通过DHCP获取172.16.1.90/24地址。
| **地址池名称** | **网段/掩码** | **网关** | **DNS** |
| -------------- | ------------- | ------------ | --------- |
| dhcp-a | 172.16.1.0/24 | 172.16.1.254 | 10.0.0.30 |
| dhcp-b | 172.16.2.0/24 | 172.16.2.254 | 10.0.0.30 |需求三防火墙安全区域配置
设备接口安全区域优先级FWGE1/0/1.1Trust_A70GE1/0/1.2Trust_B80GE1/0/0DMZ默认GE1/0/2Untrust默认 需求四防火墙地址组信息
设备地址地址族OA Server10.0.0.10/32DMZ_ServerWeb Server10.0.0.20/32DMZ_Server
设备地址地址族描述信息DNS Server10.0.0.30/32DMZ_ServerDMZ区域的DNS服务器Client1(高管)172.16.1.90/32Trust_A_address高管Client2(财务)172.16.1.100/32Trust_A_address财务部Client3(运维部)172.16.1.0/24需要除去172.16.1.90和172.16.1.100Trust_A_address运维部pc1(技术部)172.16.2.100/32Trust_B_address技术部pc2(市场部)172.16.2.0/24需要除去172.16.2.100Trust_B_address市场部管理员172.16.1.10/32Trust_A_address 创建地址以OA Server为例子 创建地址组以DMZ区域为例子
需求五管理员
为FW配置一个配置管理员。要求管理员可以通过Telnet登录到CLI界面对FW进行管理和维护。FW对管理员进行本地认证。
项目数据说明管理员账号密码账号vtyadmin密码admin123管理员PC的IP地址172.16.1.10/24角色service-admin拥有业务配置和设备监控权限。管理员信任主机172.16.1.0/24登录设备的主机IP地址范围认证类型本地认证
管理员角色信息
名称权限控制项service-admin策略、对象、网络读写操作面板、监控、系统无 开启telnet服务
[FW]telnet server enable
[FW]user-interface vty 0 4
[FW-ui-vty0-4]protocol inbound telnet 需求六用户认证配置
1、部门A分为运维部、高层管理、财务部其中财务部IP地址为静态IP。高管地址DHCP固定分配。
2、部门B分为研发部和市场部研发部IP地址为静态IP
3、新建一个认证域所有用户属于认证域下组织架构
4、根据下表信息创建企业组织架构
5、用户密码统一为admin123
6、首次登录必须修改密码 1、高级管理者访问任何区域时需要使用免认证。
2、运维部访问DMZ区域时需要进行Portal认证。
3、技术部和市场部访问DMZ区域时需要使用匿名认证。
4、财务部访问DMZ区域时使用不认证。
5、运维部和市场部访问外网时使用Portal认证。
6、财务部和技术部不能访问外网环境。故不需要认证策略 七安全策略配置
1、配置Telnet策略 2、配置DHCP策略 3、配置DNS策略 4、部门A中分为三个部门运维部、高管、财务。
a.运维部允许随时随地访问DMZ区域并对设备进行管理b.高管和财务部仅允许访问DMZ区域的OA和Web服务器并且只有HTTP和HTTPS权限。c.运维部允许在非工作时间访问互联网环境d.高管允许随时访问互联网环境e.财务部任何时间都不允许访问互联网环境
5、部门B分为两个部门技术部和市场部
a.技术部允许访问DMZ区域中的web服务器并进行管理b.技术部和市场部允许访问DMZ区域中的OA服务器并且只有HTTP和HTTPS权限。c.市场部允许访问互联网环境
6、每周末公司服务器需要检修维护允许运维部访问即每周末拒绝除运维部以外的流量访问DMZ区 域。 7、部门A和部门B不允许存在直接访问流量如果需要传输文件信息则需要通过OA服务器完成。—依 靠默认规则拒绝
