防火墙安全策略课堂实验

最新推荐文章于 2025-03-07 17:23:41 发布
原创 最新推荐文章于 2025-03-07 17:23:41 发布 · 480 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#防火墙

一、实验拓扑,实验要求

在这里插入图片描述

二、需求分析

  1. 创建
    VLAN 2:办公区
    VLAN 3:生产区

  2. 访问控制列表 (ACL):
    办公区PC访问OA Server:
    允许VLAN 2在周一至周五的8:00至18:00访问OA Server。
    拒绝VLAN 2在其他时间访问OA Server。
    办公区PC访问Web Server:
    允许VLAN 2在任何时间访问Web Server。
    生产区PC访问OA Server:
    允许VLAN 3在任何时间访问OA Server。
    生产区PC访问Web Server:
    拒绝VLAN 3访问Web Server,除了PC3在每周一的10:00至11:00。

三、实验配置

1.配置vlan与access、truck接口

[sw1]vlan 2
[sw1]vlan 3
[sw1]interface GigabitEthernet 0/0/1
[sw1-GigabitEthernet0/0/1]port link-type trunk
[sw1-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[sw1-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2
[sw1-GigabitEthernet0/0/2]port link-type access
[sw1-GigabitEthernet0/0/2]port default vlan 2
[sw1-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/3
[sw1-GigabitEthernet0/0/3]port link-type access
[sw1-GigabitEthernet0/0/3]port default vlan 3
[sw1-GigabitEthernet0/0/3]interface GigabitEthernet 0/0/4
[sw1-GigabitEthernet0/0/4]port link-type access
[sw1-GigabitEthernet0/0/4]port default vlan 3

2.web
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

[FW]interface GigabitEthernet 1/0/1.1
[FW-GigabitEthernet1/0/1.1]service-manage ping permit
[FW-GigabitEthernet1/0/1.1]interface GigabitEthernet 1/0/1.2
[FW-GigabitEthernet1/0/1.2]service-manage ping permit

3.安全策略
办公区PC在工作日时间可以正常访问OA区其他时间不允许
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
办公区pc可以任意时刻访问Web区
在这里插入图片描述
在这里插入图片描述
生产区pc可以任意时刻访问oa,但是不能访问web
在这里插入图片描述
在这里插入图片描述
生产区pc可以在每周一早10-11访问Web,用来更新企业最新产品信息
在这里插入图片描述
在这里插入图片描述
使用ensp完成的方法

接口配置

[FW]interface GigabitEthernet 1/0/0
[FW-GigabitEthernet1/0/0]ip address 10.0.0.254 24
[FW]interface GigabitEthernet 1/0/1.1
[FW-GigabitEthernet1/0/1.1]ip address 192.168.1.126 25
[FW-GigabitEthernet1/0/1.1]vlan-type dot1q 2
[FW-GigabitEthernet1/0/1.1]interface GigabitEthernet 1/0/1.2
[FW-GigabitEthernet1/0/1.2]ip address 192.168.1.254 25
[FW-GigabitEthernet1/0/1.2]vlan-type dot1q 3
[FW]firewall zone dmz
[FW-zone-dmz]add interface GigabitEthernet 1/0/0
[FW]firewall zone trust
[FW-zone-trust]add interface GigabitEthernet 1/0/1.1
[FW-zone-trust]add interface GigabitEthernet 1/0/1.2
[FW]display zone
[FW]interface GigabitEthernet 1/0/1.1
[FW-GigabitEthernet1/0/1.1]service-manage ping permit
[FW-GigabitEthernet1/0/1.1]interface GigabitEthernet 1/0/1.2
[FW-GigabitEthernet1/0/1.2]service-manage ping permit

安全策略配置

[FW]ip address-set BGQ
[FW-object-address-set-BGQ]address 192.168.1.0 mask 25
[FW]ip address-set OAS
[FW-object-address-set-OAS]address 10.0.0.1 mask 32

[FW]time-range work
[FW-time-range-work]period-range 08:00:00 to 18:00:00 working-day
[FW]security-policy
[FW-policy-security]rule name polic1
[FW-policy-security-rule-polic1]description BGQ_to_OAS
[FW-policy-security-rule-polic1]source-zone trust
[FW-policy-security-rule-polic1]destination-zone dmz
[FW-policy-security-rule-polic1]source-address address-set BGQ
[FW-policy-security-rule-polic1]destination-address address-set OAS
[FW-policy-security-rule-polic1]time-range work
[FW-policy-security-rule-polic1]action permit

办公区pc可以任意时刻访问web区
[FW]ip address-set Web
[FW-object-address-set-Web]address 10.0.0.2 mask 32
[FW]security-policy
[FW-policy-security]rule name polic2
[FW-policy-security-rule-polic2]description BGQ_to_Web
[FW-policy-security-rule-polic2]source-zone trust
[FW-policy-security-rule-polic2]destination-zone dmz
[FW-policy-security-rule-polic2]source-address address-set BGQ
[FW-policy-security-rule-polic2]destination-address address-set Web
[FW-policy-security-rule-polic2]action permit

生产区pc可以任意时刻访问oa,但是不能访问web
[FW]ip address-set SCQ
[FW-object-address-set-sc]address 192.168.1.128 mask 25
[FW]security-policy
[FW-policy-security]rule name polic3
[FW-policy-security-rule-polic3]description SCQ_to_OAS
[FW-policy-security-rule-polic3]source-zone trust
[FW-policy-security-rule-polic3]destination-zone dmz
[FW-policy-security-rule-polic3]source-address address-set SCQ
[FW-policy-security-rule-polic3]destination-address address-set OAS
10.0.0.1 32)
[FW-policy-security-rule-polic3]action permit

生产区pc可以在每周一早10-11访问web,用来更新企业最新产品信息
[FW]time-range update
[FW-time-range-update]period-range 10:00:00 to 11:00:00 Mon
[FW]security-policy
[FW-policy-security]rule name polic4
[FW-policy-security-rule-polic4]description SCQ_to_Web
[FW-policy-security-rule-polic4]source-zone trust
[FW-policy-security-rule-polic4]destination-zone dmz
[FW-policy-security-rule-polic4]source-address address-set SCQ
[FW-policy-security-rule-polic4]destination-address address-set Web
[FW-policy-security-rule-polic4]time-range update
[FW-policy-security-rule-polic4]action permit

四、结果测试

1.办公区PC访问OA Server
工作时间:成功
在这里插入图片描述
其他时间:失败
在这里插入图片描述
2.办公区PC访问Web Server
任意时间:成功
在这里插入图片描述
3.生产区PC访问OA Server
任意时间:成功
在这里插入图片描述
在这里插入图片描述
4.生产区PC访问Web Server
周一早10-11:成功
在这里插入图片描述
在这里插入图片描述
其他时间:失败
在这里插入图片描述
在这里插入图片描述
查看会话表和server-map表
在这里插入图片描述
在这里插入图片描述

Creeper_exe
关注
防御保护第一次实验安全策略配置
SLYRN9的博客
01-29 636
防火墙安全策略实验
计算机网络期末大作业:以防火墙作为出口设备的小型企业园区网络架构设计与实现
m0_74169440的博客
01-18 2783
计算机网络毕业设计(期末大作业):以防火墙作为出口设备的小型企业园区网络架构设计与实现
防火墙期末设计大作业(ensp)
08-09
企业网可通过IPsec VPN在公网上为三个甚至三个异地私有网络提供安全通信通道,通过加密通道保证连接的安全性,此时内部的服务器仅对认可的用户开放服务,大大的提高了网络的扩展性、便捷性与安全性。 北京总部部署web服务器向外界提供web服务,使得外网用户也能访问内网中的服务器资源。 使用点到点的IPSec VPN,实现总部和各分部,分部和分部安全数据传输。
防火墙作业
weixin_30318645的博客
05-20 410
自反ACL实验配置 拓扑图 R4为外网,R2和R3为内网。 地址表 Device Interface IPaddress R1 F 0/0 10.1.17.1 F 0/1 14.1.17.1 R2 F 0/0 10.1.17.2 ...
防火墙虚拟系统实验
最新发布
wudhej的博客
03-07 633
安全策略要求:1、只存在一个公网IP地址,公司内网所有部门都需要借用同一个接口访问外网2、财务部禁止访问Internet,研发部门只有部分员工可以访问Internet,行政部门全部可以访问互联网3、为三个部门的虚拟系统分配相同的资源需求分析1、由根系统管理员创建虚拟系统abc并且为其分配资源以及配置管理员2、根系统管理员为内网用户创建安全策略和NAT策略3、由abc三个虚拟系统各自完成IP、路由、安全策略配置。
网络安全课程设计:防火墙实现与实验报告详解
网络安全课程设计中的防火墙实现是一个综合性极强的实践项目,旨在帮助学生深入理解网络安全的基本原理,尤其是防火墙技术的核心作用和实际应用。本课程设计的核心目标是让学生通过动手实践,掌握防火墙的基本工作...
网络安全管理实验实例:防火墙与网络工程师必备材料
在网络安全管理实验中,工程师和教师可以针对各种不同的网络威胁场景进行模拟,比如对DDoS攻击(分布式拒绝服务攻击)、钓鱼攻击、中间人攻击等进行分析和防御策略的制定。通过这些实验,参与者能够学习到识别攻击者...
山东大学信息安全导论实验+复习资料
02-22
网络安全的最新研究报告则可以让学生了解到当前的安全威胁和防御策略。 总的来说,这份“山东大学信息安全导论实验+复习资料”是一份全面的学习资源,它不仅包含了理论学习的要点,还注重实践操作的训练,旨在培养...
CIW网络安全基础与防火墙详解:保护与防范策略
第三部分,"网络安全的要素"详细解析了安全策略、加密技术、身份验证、访问控制等关键概念,讨论了各种安全机制的优缺点,使读者能够理解并实施有效的安全措施。 第4单元"应用加密"深入探讨了加密技术的必要性,...
行业分类-设备装置-物联网安全教学科研实验装置系统.zip
09-02
6. **模拟攻击与防御**:实验可能涉及到模拟黑客攻击,如中间人攻击、拒绝服务攻击等,以及相应的防御策略,如加密通信、防火墙设置、入侵检测系统等。 7. **教学资源**:除了实验手册,可能还提供了教学视频、PPT...
防火墙作业1
iLoyalty的博客
07-11 492
结束.
大作业13-防火墙设置firewall
xiaoyuerp的博客
11-14 351
    # MySQL端口: [root@localhost ~]# sh ./cmd.sh "/root/DBServerIP.txt" "root" "lri35krJF;ba" "firewall-add-port=3306/tcp --permanent" # web端口: [root@localhost ~]# sh ./cmd.sh "/root/WebServerIP.txt"...
ensp防火墙综合实验作业+实验报告
m0_73996670的博客
07-12 1064
实验目的要求及拓扑图:我的拓扑:更改防火墙和交换机: 防火墙配置子接口:防火墙策略建立:nat策略可以上网的关键:用户和组的创建最终
大作业12-防火墙设置-iptables
xiaoyuerp的博客
11-12 400
1 firewalld和netfilter 1. 临时关闭selinux(防火墙) : setenforce 0 [root@localhost ~]# setenforce 0 [root@localhost ~]# getenforce 2. 永久关闭selinux(防火墙),编辑...config配置文件 :(好多服务,受限于selinux,关闭selinux也不会有太大的安全问题...
gns3 大作业
m0_46623421的博客
06-27 808
gns3 pix防火墙大作业 目录gns3 pix防火墙大作业实验要求实验拓扑图实验配置虚拟pc(服务器)inside部分主机C1C2C3C4C5路由器R1R2R3PIXadmincon1最后进行限速 实验要求 作为一个大型企业信息中心部门的安全管理员,公司对现有网络进行安全加固,要求对本公司内部增加边界防火墙,公司内部有多个部门,包括技术部、财务部和售后部等。由安全管理员实施防火墙的网络拓扑结构设计,通过为公司添加网络设备防火墙、路由器等设备,从而实现可分离可监控可追溯的网络流量管理,公司各个部门之间可以
华为防火墙 配置命令总结
彪哥.TOP的博客
11-21 2034
配置NAT-Server策略,将服务器的ftp、http服务通过将内部IP192.168.2.2.转换成10.10.10.3,给外网访问!防火墙上配置安全策略(允许untrust(外网)区域访问DMZ(服务器)区域的FTP、HTTP服务)DMZ区域:允许源untrust、trust区域访问目的dmz区域。NAT-Server(仅用于服务器地址转换)配置NAPT地址池(可以设置一个或者多个)无需配置地址池,直接配置NAT策略。进接口,开启相关服务。
防火墙详解(三)华为防火墙基础安全策略配置(命令行配置)
热门推荐
Richardlygo的博客
09-23 2万+
原文链接:https://blog.youkuaiyun.com/qq_46254436/article/details/105397534。注意防火墙默认不允许所有流量通过所以未配置安全策略时都不能通信。Trust区域可以主动访问Untrust区域,但是反之不行。PC2 与 服务器 查看是否能通,发现可以,证明配置成功。untrust区域和trust区域都可以访问DMZ区域。内网用户可以访问外网用户,但是外网用户不能访问内网用户。外网用户和内网用户都可以访问公司服务器。配置完成之后可以通过。查看接口IP等信息。
ENSP 安全策略配置
wr200514的博客
01-21 1378
一,需求:1、VLAN 2属于办公区iVLAN 3属于生产区2、办公区PC在工作日时间(周一至周五,早8到晚6)可以正常访问OA Server,其他时间不允许3、办公区Pc可以在任意时刻访问Web Server4、生产区Pc可以在任意时刻访问OA Server,但是不能访问Web Server5、特例:生产区PC3可以在每周一早10到早11访问Web Server,用来更新企业最新产品信息二,需求分析:1.vlan2一个IPvlan3一个IP。
安全策略配置
simp_le的博客
02-06 1010
网络分段通过VLAN技术将网络划分为不同的逻辑段,以提高安全性和管理效率,同时确保不同VLAN之间的通信通过防火墙进行控制。IP地址管理要求为每个设备和接口分配唯一的IP地址,避免IP冲突,并使用子网划分技术确保IP地址的有效利用。安全策略配置要求确保管理员账户和密码的安全性,网络分段需要通过VLAN和不同区域(如DN2区域和Trust区域)实现,IP地址管理要求合理分配和管理IP地址,防火墙配置要求确保不同区域之间的安全通信,设备连接要求确保所有设备通过正确的接口连接并进行必要的配置。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值