安全策略复现实验

原创 于 2025-02-06 17:49:39 发布 · 826 阅读 · 16 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络

一、拓扑

二、需求

1、VLAN 2属于办公区iVLAN 3属于生产区
2、办公区PC在工作日时间(周一至周五,早8到晚6)可以正常访问OA Server,其他时间不允许
3、办公区Pc可以在任意时刻访问Web Server
4、生产区Pc可以在任意时刻访问OA Server,但是不能访问Web Server
5、特例:生产区PC3可以在每周一早10到早11访问Web Server,用来更新企业最新产品信息

三、需求分析

1.vlan2一个IPvlan3一个IP
2.对于办公区PC访问OA Server的时间限制(工作日早8到晚6),需要在ENSP中配置基于时间的ACL(访问控制列表)。具体来说,要定义一个时间范围,允许在该时间范围内从VLAN 2到OA Server的访问,而在其他时间则禁止访问。
3.对于生产区PC访问Web Server的限制(除PC3外不能访问),可以通过配置基于MAC地址的ACL来实现。先允许所有生产区PC访问Web Server,然后针对生产区PC3配置特殊的时间策略,允许其在每周一早10到早11访问Web Server。
4.访问控制列表(ACL)配置
办公区PC访问OA Server的ACL配置:
创建一个标准ACL,允许VLAN 2的主机访问OA Server的IP地址。
再创建一个时间范围,定义工作日早8到晚6为允许访问的时间。
将该ACL应用到连接办公区PC的接口上,并关联上述时间范围。
生产区PC访问Web Server的ACL配置:
创建一个扩展ACL,禁止生产区VLAN 3的所有主机访问Web Server的IP地址。
然后针对生产区PC3的MAC地址,创建一个允许访问Web Server的permit语句,并将其加入到上述ACL中。
最后,将该ACL应用到连接生产区PC的接口上。
5.路由配置
在三层交换机上配置不同VLAN的接口IP地址,并启用路由功能,以确保不同VLAN之间能够进行通信。同时,要为OA Server和Web Server配置相应的IP地址和网关,使它们能够在网络中被正确识别和访问。
通过以上ENSP需求分析和相应配置,可以实现满足你所描述规则的网络环境,确保办公区和生产区的PC对OA Server和Web Server的访问符合要求。

四、配置信息

配置vlan

[sw1]vlan 2
[sw1]vlan 3
[sw1]interface GigabitEthernet 0/0/1
[sw1-GigabitEthernet0/0/1]port link-type trunk
[sw1-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[sw1-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2
[sw1-GigabitEthernet0/0/2]port link-type access
[sw1-GigabitEthernet0/0/2]port default vlan 2
[sw1-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/3
[sw1-GigabitEthernet0/0/3]port link-type access
[sw1-GigabitEthernet0/0/3]port default vlan 3
[sw1-GigabitEthernet0/0/3]interface GigabitEthernet 0/0/4
[sw1-GigabitEthernet0/0/4]port link-type access
[sw1-GigabitEthernet0/0/4]port default vlan 3

开启web界面登录服务

[FW]int g0/0/0
[FW-GigabitEthernet0/0/0]ser    
[FW-GigabitEthernet0/0/0]service-ma    
[FW-GigabitEthernet0/0/0]service-manage all pe    
[FW-GigabitEthernet0/0/0]service-manage all permit 

新建子接口

[FW]interface GigabitEthernet 1/0/1.1
[FW-GigabitEthernet1/0/1.1]service-manage ping permit
[FW-GigabitEthernet1/0/1.1]interface GigabitEthernet 1/0/1.2
[FW-GigabitEthernet1/0/1.2]service-manage ping permit

配ip

配置策略

1 、地址
[FW]ip address-set BG --- 创建地址集,名称为 BG
[FW-object-address-set-BG]address 192.168.1.0 mask 25 --- 创建地址内容
2 、时间段
[FW]time-range working-time --- 创建时间段名称
[FW-time-range-working-time]period-range 08:00:00 to 18:00:00 working-day

3 、创建安全策略
[FW1]security-policy --- 进入安全策略配置视图
[FW1-policy-security]rule name policy_1
[FW1-policy-security-rule-policy_1]description BG_to_OA 
[FW1-policy-security-rule-policy_1]source-zone trust
[FW1-policy-security-rule-policy_1]destination-zone dmz
[FW1-policy-security-rule-policy_1]source-address address-set BG
[FW1-policy-security-rule-policy_1]destination-address address-set "OA Server"
[FW1-policy-security-rule-policy_1]time-range working-time
[FW1-policy-security-rule-policy_1]action permit 

五、测试

Feb_June
关注
防火墙安全策略管理实验
悦分享
05-08 62
(4) 在“添加安全策略”界面中填写详细信息,在“名称”中输入“采购二部访问亚马逊”,在“描述”中输入“采购二部采购图书需要访问亚马逊”,勾选“启用”复选框,“动作”选中“允许”单选按钮,“源安全域”设置为trust,“目的安全域”设置为untrust,“源地址/地区”设置为“中国”,“目的地址/地区”设置为“中国”,“服务”设置为HTTP,HTTPS,“应用”设置为“亚马逊”,在VLAN中输入“1-10”,“流量日志”勾选“会话开始”复选框,其他保持默认配置,如下图所示。
防火墙详解(三)华为防火墙基础安全策略配置(命令行配置)
Richardlygo的博客
09-23 1万+
原文链接:https://blog.youkuaiyun.com/qq_46254436/article/details/105397534。注意防火墙默认不允许所有流量通过所以未配置安全策略时都不能通信。Trust区域可以主动访问Untrust区域,但是反之不行。PC2 与 服务器 查看是否能通,发现可以,证明配置成功。untrust区域和trust区域都可以访问DMZ区域。内网用户可以访问外网用户,但是外网用户不能访问内网用户。外网用户和内网用户都可以访问公司服务器。配置完成之后可以通过。查看接口IP等信息。
ENSP 安全策略配置
wr200514的博客
01-21 1228
一,需求:1、VLAN 2属于办公区iVLAN 3属于生产区2、办公区PC在工作日时间(周一至周五,早8到晚6)可以正常访问OA Server,其他时间不允许3、办公区Pc可以在任意时刻访问Web Server4、生产区Pc可以在任意时刻访问OA Server,但是不能访问Web Server5、特例:生产区PC3可以在每周一早10到早11访问Web Server,用来更新企业最新产品信息二,需求分析:1.vlan2一个IPvlan3一个IP。
配置基本安全策略
weixin_40018205的博客
07-16 873
[root@localhost ~]# vim /etc/ssh/sshd_config PermitRootLogin no   //禁止用root用户登录   87  systemctl restart sshd   88  systemctl status sshd[root@localhost ~]# !87systemctl restart sshd[root@rootroom9pc01...
网站上线前的5个安全配置策略
粗浅的入门功夫
03-03 584
网站上线前的五个安全配置策略: 1.选择一个可靠的主机。 在万维网的早期,个人和公司将在本地化的数据中心或办公室中获取和维护自己的服务器。在 云计算运动 从根本上转变这种模式,大多数的网站现在都是通过第三方提供商托管。 云计算降低了网站所有者的管理成本和责任,但它带来了一些安全问题。从本质上讲,您必须信任外部组织,其中包含您网站上的数据以及整体稳定性和可靠性。 如果您选择了错误的云托管提供商,则可能会使您的网站暴露于一系列不同的漏洞。提供商可能遭受数据泄露或整个数据中心可能出现故障,在这种情况下,您的网站可
Linux网络安全配置
教Linux的李老师
09-01 2387
Linux网络安全配置 系统加固
漏洞复现实验报告
qq_45721890的博客
10-30 4094
漏洞复现实验报告 一、 概述 1.1项目背景 织梦内容管理系统(DedeCms) 以简单、实用、开源而闻名,是国内最知名的 PHP 开源网站管理系统,也是使用用户最多的 PHP 类 CMS 系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步,DedeCms 免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用该系统。 2018 年 1 月 10 日,锦行信息安全公众号公开了一个关于 DeDeCMS前台任意用户密码修
操作系统-Linux-小白也能复现实验-实验报告.rar
01-08
报告包含了详尽的步骤,确保即使没有经验的人也能成功复现实验过程。 实验报告可能涵盖了以下几个关键知识点: 1. **Linux安装与基本操作**:介绍了如何下载Linux发行版,如Ubuntu或CentOS,并通过虚拟机软件(如...
Collabtive系统浏览器同源策略探索实验-内含源码以及设计说明书(可以自己运行复现).zip
05-08
3. **复现实验**:按照说明执行代码,观察跨域请求的行为,注意观察浏览器的网络面板,理解同源策略是如何限制请求的。 4. **测试与调试**:尝试修改源码,测试不同的跨域策略,如添加CORS支持,观察其效果。 通过...
智能反射面(IRS)在无线通信安全领域应用的论文复现-随N变化部分
12-29
通过对实验数据的详细分析,学生能够总结出N值与通信安全性之间的关系,并提出相应的优化策略。 综上所述,智能反射面技术在无线通信安全领域的应用研究是一个涉及多个学科知识的综合性课题。学生通过复现和分析...
安全策略配置
最新发布
simp_le的博客
02-06 955
网络分段通过VLAN技术将网络划分为不同的逻辑段,以提高安全性和管理效率,同时确保不同VLAN之间的通信通过防火墙进行控制。IP地址管理要求为每个设备和接口分配唯一的IP地址,避免IP冲突,并使用子网划分技术确保IP地址的有效利用。安全策略配置要求确保管理员账户和密码的安全性,网络分段需要通过VLAN和不同区域(如DN2区域和Trust区域)实现,IP地址管理要求合理分配和管理IP地址,防火墙配置要求确保不同区域之间的安全通信,设备连接要求确保所有设备通过正确的接口连接并进行必要的配置。
ensp——防火墙安全策略配置实验
ChenD的学习笔记
11-08 2万+
ensp——防火墙配置初体验
eNSP之安全策略的配置
qq_53365842的博客
04-26 1万+
命令行模式 [FW]firewall zone trust //进入trust区域 [FW-zone-trust]add int g1/0/0 //把g1/0/0加入trust区域 undo add int g1/0/0 取消加入 [FW]firewall zone untrust [FW-zone-untrust]add int g1/0/1 //查看安全区域内容 [FW]dis zone local priority is 100 interface of the zone is (0.
华为ensp模拟校园网/企业网实例(精品拓扑图)
热门推荐
征途是星辰大海
12-25 10万+
本文首先规划一个公司的网络,采用接入层、核心层、汇聚层三层网络。所有交换机运行MSTP和VRRP协议,做冗余备份,保护链路安全。运行ospf动态路由协议,方便路由维护。使用dhcp动态分配地址,便于ip地址管理。出口采用防火墙设备,保护网络安全。同时在防火墙上做SNAT,可以让公司内网访问外网。在防火墙上做DNAT,可以让外部网络访问公司服务器。
ENSP实验四:搭建VPN(GRE,配置安全策略
Carohuan的博客
07-19 4224
将流量送至FW1后,根据外层头二次查表,送至下一个路由AR1【202.1.1.1->202.1.3.1|GRE|192.168.1.1->192.168.2.1 icmp】收到AR2传来的流量【202.1.1.1->202.1.3.1|GRE|192.168.1.1->192.168.2.1 icmp】ping流量【192.168.1.1->192.168.2.1 icmp】从PC1流至FW1。**将Tunnel1逻辑接口配到dmz区域中。配置好后可实现PC1与PC2之间的ping。
配置华为防火墙安全策略
杨奇的博客
06-24 7239
Web配置防火墙安全策略: 命令配置防火墙安全策略: [FW1]security-policy //配置安全策略 [FW1-policy-security]rule name trust_dmz //安全策略名称 [FW1-policy-security-rule-trust_dmz]source-zone trust //配置源区域为trust [FW1-policy-security-rule-trust_dmz]destination-zone dmz //
Vue进阶(三十三)Content-Security-Policy(CSP)详解
IT全栈 华强工作室
09-05 1万+
跨域脚本攻击(XSS)是最常见、危害最大的网页安全漏洞。XSS 攻击利用了浏览器对于从服务器所获取的内容的信任。恶意脚本在受害者的浏览器中得以运行,因为浏览器信任其内容来源,即使有的时候这些脚本并非来自于它本该来的地方。为了防止它,要采取很多编程措施(比如大多数人都知道的转义、过滤HTML)。很多人提出,能不能根本上解决问题,即浏览器自动禁止外部注入恶意脚本?这就是"内容安全策略"(,缩写CSP)的由来。CSP。
安全防御——二、ENSP防火墙实验学习
钟言的博客
11-04 1万+
本篇为安全防御——二、防火墙的基本概念以及配置,Web界面的配置,使用,详细内容包含了:防火墙接口以及模式配置 1、untrust区域 2、trust区域 3、DMZ区域 4、接口对演示 防火墙的策略 1、定义与原理 2、防火墙策略配置 2.1 安全策略工作流程 2.2 查询和创建会话3.实验策略配置 3.1 trust-to-untrust 3.2 trust-to-dmz 3.3 untrust-to-dmz 、防火墙的区域等等
安全防御——ENSP实现防火墙区域策略与用户管理
m0_75096479的博客
07-12 1295
1、DMZ区内的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区的设备全天可以访问2、生产区不允许访问互联网,办公区和游客区允许访问互联网3、办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.104、办公区分为市场部和研发部,研发部ip地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定ip地址,访问DMZ区使用免认证。
做漏洞复现实验可有什么好处
05-17
做漏洞复现实验的好处有以下几点: 1. 掌握漏洞的真实情况:通过漏洞复现实验,可以深入了解漏洞的发生原因、影响范围、利用方式等真实情况,有助于更好地理解漏洞的本质。 2. 验证漏洞是否存在:通过漏洞复现实验,可以验证漏洞是否真实存在,避免误报或误判。 3. 评估漏洞的威胁程度:通过漏洞复现实验,可以评估漏洞的威胁程度,有助于制定相应的安全策略和措施。 4. 提高安全意识和技能:通过漏洞复现实验,可以提高安全意识和技能,增强对安全问题的敏感性,提高安全防御和应对能力。 总之,做漏洞复现实验可以帮助我们更好地了解漏洞、验证漏洞、评估漏洞威胁、提高安全意识和技能,是非常有益的安全实践活动。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值