防火墙（ensp USG6000v）---安全策略 + 用户认证综合实验

一. 题目

1） 拓扑  

2）要求

1. DMZ区内的服务器，办公区仅能在办公时间内(9:00 -- 18: 00)可以访问，生产区的设备全天可以访问

2.生产区不允许访问互联网，办公区和游客区允许访问互联网

3.办公区设备10.0.2.10不充许访问DMZ区的FTP服务器和HTTP服务器，仅能ping通10.0.3.10

4.办公区分为市场部和研发部，研发部IP地址固定，访问DMZ区使用匿名认证，市场部需要用户绑定IP地址，访问DMZ区使用免认证;

5.生成区访问DMZ区时，需要进行protal认证，设立生产区用户组织架构，至少包含三个部门，统一密码openlab123，首次登录需要修改密码，用户过期时间设定为10天，用户不允许多人使用

6.创建一个自定义管理员，要求不能拥有系统管理的功能

二. 思路

（大体思路，具体请看"实验实现"）

1)  基础配置  ： 配置客户端的ip地址，交换机的vlan划分，防火墙和路由器的相关配置

2）通过防火墙的web登录方式登录到防火墙里面（带内管理）

3）按照要求配置相关的配置

三. 实验实现

1）基础配置

配置IP和划分vlan很简单，这里省略，唯一说一说防火墙的初始配置

防火墙的初始配置

1. 防火墙的初始密码： 账号：admin   密码：Admin@123

2.注意g0/0/0口的初始ip为192.168.0.1/24

3.需要创建两个子接口给生产区和办公区当网关-- 可以在后面的可视界面配置

4.启动web登录的服务--在g0/0/0接口下

[USG6000V1-GigabitEthernet0/0/0]service-manage all permit 

2） 登录到防火墙

因为这里使用ensp模拟现实场景，所以要用到Cloud设备

通过这个设备将现实中的电脑和ensp的防火墙相连接，具体如下

1.cloud配置

需要准备一张虚拟网卡

注意：因为我的虚拟网卡的ip是192.168.100.0/24网段，所以需要更改防火墙g0/0/0的ip

如下：

2.登录

使用浏览器访问192.168.100.1这个ip，端口号为8443

输入初始账号和密码，登录成功

3）配置安全策略和用户认证（重点）

开始之前展示一下接口配置

DMZ区内的服务器，办公区仅能在办公时间内(9:00 -- 18: 00)可以访问，生产区的设备全天可以访问

1.点击策略，再点击新建安全策略

2 . 按要求配置，如下：

生产区访问dmz

办公区访问dmz区

结果

测试（现在时间 24:00）

生产区访问dmz

办公区访问dmz

生产区不允许访问互联网，办公区和游客区允许访问互联网

互联网为untrust区

1. 配置安全策略

sc：

bg，游客：

办公区设备10.0.2.10不充许访问DMZ区的FTP服务器和HTTP服务器，仅能ping通10.0.3.10

做策略(通过原地址)，同一条策略下不同要求是与的关系

匹配顺序是从上往下匹配所以要注意顺序，把更具体的放在前面

禁止访问http和ftp

只允许ping通10.0.3.10

办公区分为市场部和研发部，研发部IP地址固定，访问DMZ区使用匿名认证，市场部需要用户绑定IP地址，访问DMZ区使用免认证

用户认证

1.创建认证域

2.创建用户组

3.创建用户

4.认证策略

5.在bg to dmz安全策略加上用户认证

测试

生成区访问DMZ区时，需要进行protal认证，设立生产区用户组织架构，至少包含三个部门，统一密码openlab123，首次登录需要修改密码，用户过期时间设定为10天，用户不允许多人使用

1.创建生产区用户组织架构

2.批量创建用户并设置

其中一个部门

3.进行protal认证

认证策略

4.在sc to dmz 的安全策略中选择sc用户

创建一个自定义管理员，要求不能拥有系统管理的功能

这个简单直接看图

搞定！