eNSP防火墙安全策略用户认证综合实验

已于 2024-07-13 20:25:07 修改
阅读量1.6k 收藏 42
点赞数 28
分类专栏: 防御 文章标签: 网络 网络协议 服务器 安全 网络安全
于 2024-07-10 21:31:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_67441173/article/details/140298116
版权

目录

一、实验拓扑图

二、实验要求

三、实验步骤

1、更改防火墙相关配置

2、交换机相关配置

3、DMZ区内的服务器,生产区仅能在办公时间内(9:00-18:00)可以访问,办公区的设备全天可以访问

4、生产区不允许访问互联网,办公区和游客区允许访问互联网

​编辑 5、办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10

 6、办公区分为市场部和研发部,研发部ip地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定ip地址,访问DMZ区使用免认证。游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网权限,门户网站地10.0.3.10

6.1创建办公区部门

6.2研发部门的IP地址固定就是双向绑定

6.3市场部的用户只需要绑定一个相应的IP,即使单向绑定

6.44游客区

6.4.1人员不固定,不绑定IP地址

6.3.2创建Guest用户,游客统一使用此账号进行登录互联网和DMZ区域

6.3.3游客区仅能访问互联网和公司网站10.0.3.10,其他都不能访问

6.4测试游客可以访问公司网站10.0.3.10,不能访问生产区

6.5测试游客区Guest用户可以访问生产区和DMZ区

7、生产区访问DMZ区时,需要进行protal认证,建立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用

7.1设置到DMZ的认证策略,认证方式是Portal

7.2建立用户架构,三个部门是研发部、销售部、宣传部,每个部门有三个用户

 8、创建一个自定义管理员,要求不能拥有系统管理的功能

一、实验拓扑图

二、实验要求

实验要求:
1、DMZ区内的服务器,生产区仅能在办公时间内(9:00-18:00)可以访问,办公区的设备全天可以访问
2、生产区不允许访问互联网,办公区和游客区允许访问互联网
3、办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4、办公区分为市场部和研发部,研发部ip地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定ip地址,访问DMZ区使用免认证。
       游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网权限,门户网站地址10.0.3.10
5、生产区访问DMZ区时,需要进行protal认证,建立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
6、创建一个自定义管理员,要求不能拥有系统管理的功能

三、实验步骤

1、更改防火墙相关配置

[USG6000V1-GigabitEthernet0/0/0]ip address 192.168.110.5 24
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit//暂时允许通过所有协议

2、交换机相关配置

//创建vlan 10 20
[Huawei]vlan batch 10 20
[Huawei]int g0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 10
[Huawei-GigabitEthernet0/0/3]port link-type access
[Huawei-GigabitEthernet0/0/3]port default vlan 10
[Huawei-GigabitEthernet0/0/1]port link-type trunk
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 //与防火墙直连的接口设置为trunk干道

3、DMZ区内的服务器,生产区仅能在办公时间内(9:00-18:00)可以访问,办公区的设备全天可以访问

接口IP相应配置

安全策略配置

生产区到DMZ区域

办公区到DMZ区域

测试生产区和办公区的PC和Client是否能成功访问DMZ区域的服务器

4、生产区不允许访问互联网,办公区和游客区允许访问互联网

生产区不允许访问互联网的安全策略:互联网即使ISP的区域和分公司区,将他们都划进untrust区域

办公区和游客区允许访问互联网就将其允许即可

 5、办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10

10.0.2.10不能访问DMZ的两个服务器,即将10.0.2.10作为源地址,两个服务器的地址作为目标地址,然后将其HTTP和FTP相关协议拒绝即可,

但10.0.2.10仅能ping通10.0.3.10,即做一条策略将到目标地址的ping协议放过即可

注意:因为前面做了一个BG到DMZ的策略是将http、https、ftp、tftp、icmp协议都放过了,所以我们要对办公区的策略顺序进行调整,将到DMZ禁止访问服务器的策略放在第一,仅能ping的策略放在第二,匹配规则是逐一向下匹配,前面匹配了上了的协议就不会再往下匹配,这样就不受其他策略所影响了

测试Client能不能访问服务器,和是否能够ping通10.0.3.10

 6、办公区分为市场部和研发部,研发部ip地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定ip地址,访问DMZ区使用免认证。游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网权限,门户网站地10.0.3.10

6.1创建办公区部门

6.2研发部门的IP地址固定就是双向绑定

研发部到DMZ访问方式匿名认证,这里源IP是我们创建研发部用户的IP地址

测试研发部的匿名认证

6.3市场部的用户只需要绑定一个相应的IP,即使单向绑定

市场部访问DMZ区是免认证方式,这里的源IP地址是市场部用户的IP地址

 测试市场部的免认证方式

6.44游客区

6.4.1人员不固定,不绑定IP地址

6.3.2创建Guest用户,游客统一使用此账号进行登录互联网和DMZ区域

6.3.3游客区仅能访问互联网和公司网站10.0.3.10,其他都不能访问

6.4测试游客可以访问公司网站10.0.3.10,不能访问生产区

6.5测试游客区Guest用户可以访问生产区和DMZ区

7、生产区访问DMZ区时,需要进行protal认证,建立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用

7.1设置到DMZ的认证策略,认证方式是Portal

7.2建立用户架构,三个部门是研发部、销售部、宣传部,每个部门有三个用户

首次登录必须修改密码

 8、创建一个自定义管理员,要求不能拥有系统管理的功能

ensp防火墙综合实验lab
enterprise2333的博客
12-20 1万+
实验要求: 1.完成防火墙组网基础配置(IP,安全域,路由(可配置动态路由,只可宣告防火墙untrust所在网段)ISP路由器不能存在防火墙非untrust区域内路由),校本部和南校区防火墙管理地址分别为192.168.0.1/24,192.168.0.2/24 2.校本部防火墙1/0/1设置为二层接口,在防火墙上配置SVI分别为vlan 10和vlan 20的网关,两SVI安全域均为trust 3.PC2可以使用防火墙出接口地址上网访问到百度服务器(可ping通6.6.6.6即可) 4.使用校本部防火墙
ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略
JohnnyG2000的博客
05-18 1万+
防火墙综合实验一、实验要求1. 总部需要通过VPN与分支和合作伙伴进行通信2. 分支机构(Branch)员工使用NGFW接入总部。要求实现分支机构安全访问IPSec保护的总部内网服务器。3. 合作伙伴(Partner)使用NGFW接入总部。要求实训合作伙伴通过GRE隧道与总部进行通信。4. 所有的客户端可以通过公网IP地址来访问WEB服务器二、实验拓补三、实验配置1. 防火墙安全区域划分(包括Tunnel接口)2. 静态路由3. GRE配置4. IPSec VPN配置5. Easy-ip配置6. NAT S
ENSP综合实验
热门推荐
Shass的博客
09-21 3万+
最终TOPO 本文章不叙述详细的配置过程,只做需求配置演示 1、IP地址规划 FW1 AR 1 AR 2 AR 3 LSW1 LSW2 LSW3 LSW4 LSW5 LSW6 DHCP_Server FTP DNS www.test.com Clinet 2、所有主机通过DHCP获取地址(包括DNS地址)。 DHCP配置信息 DHCP中继配置 需要在LSW1、2上的vlanif10 20 30 40 100 101 102上配置中继服务。 3、STP配置 LSW1 LS
eNSP实验——防火墙 IPSec 配置
最新发布
记录
05-01 1691
IPsec(Internet Protocol Security)​​ 是一种网络安全协议,用于在公共网络(如互联网)上建立安全的端到端加密通信通道(VPN)。它通过对IP数据包进行加密和认证,确保数据的​​机密性​​、​​完整性​​和​​身份验证​​,广泛应用于企业分支机构互联、远程办公等场景。
华为模拟器eNSP防火墙综合实验
末初 · mochu7
05-19 3万+
实验配置目标: trust区域可以访问DMZ区域 trust区域可以访问unstrust区域 unstrust区域可以访问DMZ区域 首先把三个区域的接口地址给配置上: Trust: R1: sys un in en sysname Trust_R1 int e0/0/0 ip address 192.168.1.7 24 dis this Unstrust: R2: sys un in en sysname Unstrust_R2 int e0/0/0 ip address 177.7.7.7 .
eNSP防火墙综合实验
2301_77114936的博客
02-21 197
1、防火墙ip和安全区域配置。
ensp防火墙安全策略用户认证综合实验
2202_75522293的博客
07-12 602
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权利,门户网站地址10.0.3.10。游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权利,门户网站地址10.0.3.10。5、生产区访问DMZ区时,需要进行protal认证,设立生产区用户架构,至少包含三个部门,每个部门三个用户用户统一密码openlab@123,一:实验拓扑图及要求。
防火墙ensp USG6000v)---安全策略 + 用户认证综合实验
m0_73994306的博客
07-11 1504
搞定!
ensp防火墙实验
CvtNhso的博客
07-11 2588
目的地址可以直接填写DMZ区的IP地址,也可以新建地址都行,用户这里先不写,后面在进行修改,服务这里因为是服务器区,所以我们要勾选我们需要的服务,不需要的我们就不勾选,默认这边就访问了其他的服务,时间段这里新建时间段,选我们工作期间的时间,动作选允许,之后选确定。5,生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户用户统一密码openlab123,首次。账号国企时间在创建用户时设置,在用户属性选项中,要求设置为10天,不允许多人使用,
防火墙安全策略认证策略综合练习实验
C13136398183的博客
02-10 199
防火墙安全策略认证策略综合练习实验
防火墙的双机热备+带宽管理
m0_67441173的博客
07-16 690
12,对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1。13,办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M。16,外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。15,移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分。
安全防御——二、ENSP防火墙实验学习
钟言的博客
11-04 1万+
本篇为安全防御——二、防火墙的基本概念以及配置,Web界面的配置,使用,详细内容包含了:防火墙接口以及模式配置 1、untrust区域 2、trust区域 3、DMZ区域 4、接口对演示 防火墙的策略 1、定义与原理 2、防火墙策略配置 2.1 安全策略工作流程 2.2 查询和创建会话3.实验策略配置 3.1 trust-to-untrust 3.2 trust-to-dmz 3.3 untrust-to-dmz 、防火墙的区域等等
ensp综合实验
qq_62356210的博客
11-02 1914
所有路由器:AR2240汇聚层交换机:S5700接入层交换机:S3700AC:AC6605AP:AP6050。
HCIA综合实验
weixin_65313476的博客
11-04 2213
HCIA综合实验
ENSP综合实验
qq_57775566的博客
06-11 6897
实验拓扑图如下: 一、首先配置IP R7只配置了IP地址,PC1手动配置静态即可 [R7]interface g0/0/0 [R7-GigabitEthernet0/0/0]ip address 11.1.1.124 [R7-GigabitEthernet0/0/0]qu [R7]interface g0/0/1 [R7-GigabitEthernet0/0/1]ip address 10.1.1.224 [R7-GigabitEthernet0/0/1]qu [R6]interf..
eNSP综合实验
daydreamer36的博客
01-24 2638
要求 配置IP地址 pc1可以访问client,client拒绝pc2的访问 client可以访问server的telnet服务 server需配置telnet,用户名和密码均为admin 合理配置路由 私网上不允许有公网路由,公网上不允许有私网路由 AR3和AR4之间配置MP-group,并且配置chap认证 思路 做基础配置 做chap验证,做mp-group 做telnet,napt地址转换 做acl 这里需要注意,做要求2的时候,由于AR2和AR3之间地址已经发生转换,并且是做的NAPT,所
ensp防火墙安全策略命令行
03-31
### ENSP防火墙安全策略配置 在ENSP环境中,可以通过命令行完成防火墙安全策略配置。以下是具体的配置方法及相关命令: #### 查看当前防火墙策略 为了了解现有的防火墙规则,可以使用以下命令来显示所有已定义的iptables规则集: ```bash iptables -L ``` 此命令能够帮助管理员确认当前生效的规则列表[^2]。 #### 清除已有规则 如果需要清空所有的现存规则以便重新设置新的规则,则可执行下面这条指令: ```bash iptables -F ``` 这一步骤对于初始化环境或者排除冲突性的旧有条目非常有用。 #### 设置基本访问控制规则 ##### 允许SSH连接 确保远程管理服务正常运行至关重要,因此通常会优先开放SSH端口(默认为22)。对应的添加允许规则操作如下所示: ```bash iptables -A INPUT -p tcp --dport 22 -j ACCEPT ``` ##### 拒绝未知来源的数据包进入服务器 除了明确指定放行的服务之外,默认情况下应该拒绝任何未被特别许可类型的通信请求。实现这一目标可通过增加一条DROP动作记录达成目的: ```bash iptables -A INPUT -m state --state NEW,INVALID -j DROP ``` 以上两条语句共同构成了一个简单却有效的防护框架基础结构。 #### 主备模式下的HRP协议启用 当涉及到高可用性场景时,在两台设备间建立心跳机制并保持状态一致性显得尤为重要。这里给出基于华为技术标准下如何激活HRP功能的例子: **主节点(FW1):** ```bash sys hrp enable hrp interface GigabitEthernet1/0/6 remote 172.16.1.253 ``` **备用节点(FW2):** ```bash sys hrp enable hrp standby-device hrp interface GigabitEthernet1/0/6 remote 172.16.1.254 ``` 上述配置实现了双机热备份的功能需求[^3]。 #### 注意事项 - 在实际部署前,请务必测试每项新增加的过滤条件是否符合预期效果。 - 对于复杂的业务逻辑可能还需要考虑更多维度的因素比如时间范围、源地址组等等。 - 如果是在虚拟化平台上做实验记得按照官方文档准备必要的依赖组件如WinPCap等工具[^4]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值