防御保护课程综合实验

一、实验拓扑

由实验拓扑可知，防火墙不是本地的，所以将其改为本地防火墙，配置IP：

在浏览器页面访问https://172.25.254.3:8443/防火墙进行登录：

二、实验要求和分析：

1、对设备IP进行配置

①对二层交换机sw1进行vlan配置：

②对其余服务器以及电脑按要求配置

OA server ：

Web server ：

DNS server ：

百度服务器：

企业部门B ：

企业部门A ：

③云配置

更换防火墙时已经完成云配置：

④FW1防火墙配置

2、配置DHCP协议

要求：在FW上启动DHCP功能，并配置不同的全局地址池，为接入网络的终端设备分配IP地址。 Client1、Client3和PC2通过DHCP获取地址信息。Client2和PC1手工静态配置。Client1必须通过DHCP获取172.16.1.90/24地址

3、配置防火墙安全区域

4、防火墙地址组信息

5、管理员

要求：为FW配置一个配置管理员。要求管理员可以通过Telnet登录到CLI界面对FW进行管理和维护。FW对管理 员进行本地认证。

在GE1/0/1.1进行修改：开启功能

开启Telnet服务

登录用户：

6、用户认证配置

要求：

1 、部门 A 分为运维部、高层管理、财务部；其中，财务部 IP 地址为静态 IP 。高管地址 DHCP 固定分配。

2 、部门 B 分为研发部和市场部；研发部 IP 地址为静态 IP

3 、新建一个认证域，所有用户属于认证域下组织架构

4 、根据下表信息，创建企业组织架构

5 、用户密码统一为 admin@123

6 、首次登录必须修改密码

认证要求：

1 、高级管理者访问任何区域时，需要使用免认证。

2 、运维部访问 DMZ 区域时，需要进行 Portal 认证。

3 、技术部和市场部访问 DMZ 区域时，需要使用匿名认证。

4 、财务部访问 DMZ 区域时，使用不认证。

5 、运维部和市场部访问外网时，使用 Portal 认证。

6 、财务部和技术部不能访问外网环境。故不需要认证策略

7、安全策略配置

要求：

1 、配置 Telnet 策略

2 、配置 DHCP 策略

3 、配置 DNS 策略

4 、部门 A 中分为三个部门，运维部、高管、财务。

a.运维部允许随时随地访问 DMZ 区域，并对设备进行管理；

b.高管和财务部仅允许访问 DMZ 区域的 OA 和 Web 服务器，并且只有 HTTP 和 HTTPS 权限。 c.运维部允许在非工作时间访问互联网环境

d.高管允许随时访问互联网环境 e.财务部任何时间都不允许访问互联网环境

5 、部门 B 分为两个部门，技术部和市场部

a.技术部允许访问 DMZ 区域中的 web 服务器，并进行管理

b.技术部和市场部允许访问 DMZ 区域中的 OA 服务器，并且只有 HTTP 和 HTTPS 权限。

c.市场部允许访问互联网环境

6 、每周末公司服务器需要检修维护，允许运维部访问；即，每周末拒绝除运维部以外的流量访问 DMZ 区域。

7 、部门 A 和部门 B 不允许存在直接访问流量，如果需要传输文件信息，则需要通过 OA 服务器完成。 --- 依靠默认规则拒绝

按照实验要求进行编写安全策略：

End...