防火墙综合实验
一、拓扑信息
二、需求及配置
实验步骤
需求一:VLAN配置
根据下表完成相关配置:
| 设备 | 接口 | VLAN | 接口类型 |
|---|---|---|---|
| SW2 | GE0/0/2 | VLAN 10 | Access |
| GE0/0/3 | VLAN 20 | Access | |
| GE0/0/1 | VLAN List:10 20 | Trunk |
-
创建VLAN 10和VLAN 20。
-
将接口划分到对应的VLAN中。
需求二:DHCP配置
| 设备 | 接口 | VLAN | IP |
|---|---|---|---|
| FW | GE1/0/1.1 | 10 | 172.16.1.254/24 |
| GE1/0/1.2 | 20 | 172.16.2.254/24 | |
| GE1/0/0 | / | 10.0.0.254/24 | |
| GE1/0/2 | / | 100.1.1.10/24 | |
| OA Server | Ethernet0/0/0 | 10.0.0.10/24 | |
| Web Server | Ethernet0/0/0 | 10.0.0.20/24 | |
| DNS Server | Ethernet0/0/0 | 10.0.0.30/24 |
配置命令示例:
[FW]interface GigabitEthernet 1/0/1.1
[FW-GigabitEthernet1/0/1.1]ip address 172.16.1.254 24
[FW-GigabitEthernet1/0/1.1]vlan-type dot1q 10
[FW]interface GigabitEthernet 1/0/1.2
[FW-GigabitEthernet1/0/1.2]ip address 172.16.2.254 24
[FW-GigabitEthernet1/0/1.2]vlan-type dot1q 20
配置命令示例:
[FW]dhcp enable
[FW]int g 1/0/1.1
[FW-GigabitEthernet1/0/1.1]dhcp select interface
[FW]int g 1/0/1.2
[FW-GigabitEthernet1/0/1.2]dhcp select interface
需求二:DHCP配置
-
在FW上启用DHCP功能,并为接入网络的终端设备分配IP地址。
-
Client1、Client3和PC2通过DHCP获取地址信息,Client2和PC1采用手工静态配置。
-
Client1必须通过DHCP获取172.16.1.90/24地址。
地址池配置如下:
| 地址池名称 | 网段/掩码 | 网关 | DNS |
|---|---|---|---|
| dhcp-a | 172.16.1.0/24 | 172.16.1.254 | 10.0.0.30 |
| dhcp-b | 172.16.2.0/24 | 172.16.2.254 | 10.0.0.30 |
需求三:防火墙安全区域配置
| 设备 | 接口 | 安全区域 | 优先级 |
|---|---|---|---|
| FW | GE1/0/1.1 | Trust_A | 70 |
| GE1/0/1.2 | Trust_B | 80 | |
| GE1/0/0 | DMZ | 默认 | |
| GE1/0/2 | Untrust | 默认 |
需求四:防火墙地址组配置
| 设备 | 地址 | 地址族 |
|---|---|---|
| OA Server | 10.0.0.10/32 | DMZ_Server |
| Web Server | 10.0.0.20/32 | DMZ_Server |
| DNS Server | 10.0.0.30/32 | DMZ_Server |
| 设备 | 地址 | 地址族 | 描述信息 |
|---|---|---|---|
| Client1(高管) | 172.16.1.90/32 | Trust_A_address | 高管 |
| Client2(财务) | 172.16.1.100/32 | Trust_A_address | 财务部 |
| Client3(运维部) | 172.16.1.0/24(排除172.16.1.90和172.16.1.100) | Trust_A_address | 运维部 |
| PC1(技术部) | 172.16.2.100/32 | Trust_B_address | 技术部 |
| PC2(市场部) | 172.16.2.0/24(排除172.16.2.100) | Trust_B_address | 市场部 |
| 管理员 | 172.16.1.10/32 | Trust_A_addre |
创建地址:
创建地址组:
需求六:管理员配置
为FW配置一个管理员账号,允许通过Telnet登录进行管理。管理员账号信息如下:
-
账号:vtyadmin
-
密码:admin@123
-
角色:service-admin(具有业务配置和设备监控权限)
-
信任主机范围:172.16.1.0/24
-
认证方式:本地认证
配置命令示例:
[FW]telnet server enable
[FW]user-interface vty 0 4
[FW-ui-vty0-4]protocol inbound telnet
需求六:用户认证配置
-
部门A:运维部、高管、财务部。
-
财务部IP地址为静态配置。
-
高管地址通过DHCP固定分配。
-
-
部门B:研发部和市场部。
-
研发部IP地址为静态配置。
-
-
新建一个认证域,所有用户均属于该认证域下的组织架构。
-
用户密码统一为admin@123,首次登录时必须修改密码。
需求七:安全策略配置
-
配置Telnet策略。
-
配置DHCP策略。
-
配置DNS策略。
-
部门A:
-
运维部:允许随时随地访问DMZ区域,并对设备进行管理。
-
高管:允许随时访问DMZ区域的OA和Web服务器(仅限HTTP和HTTPS)。
-
财务部:仅允许访问DMZ区域的OA和Web服务器(仅限HTTP和HTTPS),不允许访问互联网。
-
运维部:允许在非工作时间访问互联网。
-
高管:允许随时访问互联网。
-
财务部:任何时间均不允许访问互联网。
-
-
部门B:
-
技术部:允许访问DMZ区域中的Web服务器,并进行管理。
-
技术部和市场部:允许访问DMZ区域中的OA服务器(仅限HTTP和HTTPS)。
-
市场部:允许访问互联网。
-
-
每周末公司服务器需要检修维护,仅允许运维部访问DMZ区域,拒绝其他部门的流量。
-
部门A和部门B之间不允许直接访问,文件传输需通过OA服务器完成(依赖默认规则拒绝)。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
