防火墙安全综合实验
防火墙安全综合实验
一、拓扑信息
二、需求及配置
实验步骤
需求一:根据下表,完成相关配置
| 设备 | 接口 | VLAN | 接口类型 |
|---|---|---|---|
| SW2 | GE0/0/2 | VLAN 10 | Access |
| GE0/0/3 | VLAN 20 | Access | |
| GE0/0/1 | VLAN List:10 20 | Trunk |
1、创建vlan10和vlan20
2、将接口划分到对应的vlan中
| 设备 | 接口 | VLAN | ip |
|---|---|---|---|
| FW | GE1/0/1.1 | 10 | 172.16.1.254/24 |
| GE1/0/1.2 | 20 | 172.16.2.254/24 | |
| GE1/0/0 | / | 10.0.0.254/24 | |
| GE1/0/2 | / | 100.1.1.10/24 | |
| OA Server | Ethernet0/0/0 | 10.0.0.10/24 | |
| Web Server | Ethernet0/0/0 | 10.0.0.20/24 | |
| DNS Server | Ethernet0/0/0 | 10.0.0.30/24` |
[FW]interface GigabitEthernet 1/0/1.1
[FW-GigabitEthernet1/0/1.1]ip address 172.16.1.254 24
[FW-GigabitEthernet1/0/1.1]vlan-type dot1q 10
[FW]interface GigabitEthernet 1/0/1.2
[FW-GigabitEthernet1/0/1.1]ip address 172.16.2.254 24
[FW-GigabitEthernet1/0/1.2]ip address 172.16.2.254 24
[FW-GigabitEthernet1/0/1.2]vlan-type dot1q 20
[FW]int g1/0/0
[FW-GigabitEthernet1/0/0]ip address 10.0.0.254 24
[FW-GigabitEthernet1/0/0]int g1/0/2
[FW-GigabitEthernet1/0/2]ip address 100.1.1.10 24
| 百度服务器 | Ethernet0/0/0 | vlan | 100.1.1.1/24 |
|---|---|---|---|
| Clinet1 | Ethernet0/0/0 | DHCP获取(172.16.1.90/24) | |
| Clinet2 | Ethernet0/0/0 | 172.16.1.100/24 | |
| Clinet3 | Ethernet0/0/0 | DHCP获取 | |
| PC1 | Ethernet0/0/1 | 172.16.2.100/24 | |
| PC2 | Ethernet0/0/1 | DHCP获取 |
[FW]dhcp enable
[FW]int g 1/0/1.1
[FW-GigabitEthernet1/0/1.1]dhcp select interface
[FW]int g 1/0/1.2
[FW-GigabitEthernet1/0/1.2]dhcp select interface
172.16.1.90与Client1主机ip/mac绑定
需求二:配置DHCP协议,具体要求如下
1. 在FW上启动DHCP功能,并配置不同的全局地址池,为接入网络的终端设备分配IP地址。
2. Client1、Client3和PC2通过DHCP获取地址信息。Client2和PC1手工静态配置。
3. Client1必须通过DHCP获取172.16.1.90/24地址。
| **地址池名称** | **网段/掩码** | **网关** | **DNS** |
| -------------- | ------------- | ------------ | --------- |
| dhcp-a | 172.16.1.0/24 | 172.16.1.254 | 10.0.0.30 |
| dhcp-b | 172.16.2.0/24 | 172.16.2.254 | 10.0.0.30 |
需求三:防火墙安全区域配置
| 设备 | 接口 | 安全区域 | 优先级 |
|---|---|---|---|
| FW | GE1/0/1.1 | Trust_A | 70 |
| GE1/0/1.2 | Trust_B | 80 | |
| GE1/0/0 | DMZ | 默认 | |
| GE1/0/2 | Untrust | 默认 |
需求四:防火墙地址组信息
| 设备 | 地址 | 地址族 | |
|---|---|---|---|
| OA Server | 10.0.0.10/32 | DMZ_Server | |
| Web Server | 10.0.0.20/32 | DMZ_Server |
| 设备 | 地址 | 地址族 | 描述信息 |
|---|---|---|---|
| DNS Server | 10.0.0.30/32 | DMZ_Server | DMZ区域的DNS服务器 |
| Client1(高管) | 172.16.1.90/32 | Trust_A_address | 高管 |
| Client2(财务) | 172.16.1.100/32 | Trust_A_address | 财务部 |
| Client3(运维部) | 172.16.1.0/24需要除去172.16.1.90和172.16.1.100 | Trust_A_address | 运维部 |
| pc1(技术部) | 172.16.2.100/32 | Trust_B_address | 技术部 |
| pc2(市场部) | 172.16.2.0/24需要除去172.16.2.100 | Trust_B_address | 市场部 |
| 管理员 | 172.16.1.10/32 | Trust_A_address |
创建地址以OA Server为例子
创建地址组,以DMZ区域为例子
需求五:管理员
为FW配置一个配置管理员。要求管理员可以通过Telnet登录到CLI界面对FW进行管理和维护。FW对管理员进行本地认证。
| 项目 | 数据 | 说明 | |
|---|---|---|---|
| 管理员账号密码 | 账号:vtyadmin | ||
| 密码:admin@123 | |||
| 管理员PC的IP地址 | 172.16.1.10/24 | ||
| 角色 | service-admin | 拥有业务配置和设备监控权限。 | |
| 管理员信任主机 | 172.16.1.0/24 | 登录设备的主机IP地址范围 | |
| 认证类型 | 本地认证 |
管理员角色信息
| 名称 | 权限控制项 |
|---|---|
| service-admin | 策略、对象、网络:读写操作 |
| 面板、监控、系统:无 |
开启telnet服务
[FW]telnet server enable
[FW]user-interface vty 0 4
[FW-ui-vty0-4]protocol inbound telnet
需求六:用户认证配置
1、部门A分为运维部、高层管理、财务部;其中,财务部IP地址为静态IP。高管地址DHCP固定分配。
2、部门B分为研发部和市场部;研发部IP地址为静态IP
3、新建一个认证域,所有用户属于认证域下组织架构
4、根据下表信息,创建企业组织架构
5、用户密码统一为admin@123
6、首次登录必须修改密码
1、高级管理者访问任何区域时,需要使用免认证。
2、运维部访问DMZ区域时,需要进行Portal认证。
3、技术部和市场部访问DMZ区域时,需要使用匿名认证。
4、财务部访问DMZ区域时,使用不认证。
5、运维部和市场部访问外网时,使用Portal认证。
6、财务部和技术部不能访问外网环境。故不需要认证策略 
七:安全策略配置
1、配置Telnet策略
2、配置DHCP策略
3、配置DNS策略
4、部门A中分为三个部门,运维部、高管、财务。
- a.运维部允许随时随地访问DMZ区域,并对设备进行管理;
- b.高管和财务部仅允许访问DMZ区域的OA和Web服务器,并且只有HTTP和HTTPS权限。
- c.运维部允许在非工作时间访问互联网环境
- d.高管允许随时访问互联网环境
- e.财务部任何时间都不允许访问互联网环境
5、部门B分为两个部门,技术部和市场部
- a.技术部允许访问DMZ区域中的web服务器,并进行管理
- b.技术部和市场部允许访问DMZ区域中的OA服务器,并且只有HTTP和HTTPS权限。
- c.市场部允许访问互联网环境
6、每周末公司服务器需要检修维护,允许运维部访问;即,每周末拒绝除运维部以外的流量访问DMZ区 域。
7、部门A和部门B不允许存在直接访问流量,如果需要传输文件信息,则需要通过OA服务器完成。—依 靠默认规则拒绝
相关文章:
防火墙安全综合实验
防火墙安全综合实验 一、拓扑信息 二、需求及配置 实验步骤 需求一:根据下表,完成相关配置 设备接口VLAN接口类型SW2GE0/0/2VLAN 10AccessGE0/0/3VLAN 20AccessGE0/0/1VLAN List:10 20Trunk 1、创建vlan10和vlan20 2、将接口划分到对应…...
在Linux上创建虚拟网卡
在 Linux 上创建虚拟网卡可以通过多种方式进行,常见的方式是使用 ip 命令来配置虚拟网卡。以下是一个简单的步骤指南,用于创建虚拟网卡: 步骤 1: 查看现有的网络接口 首先,查看当前网络接口的状态,可以使用以下命令&…...
AWS Savings Plans 监控与分析工具使用指南
一、背景介绍 1.1 什么是 Savings Plans? AWS Savings Plans 是一种灵活的定价模式,通过承诺持续使用一定金额的 AWS 服务来获得折扣价格。它可以帮助用户降低 AWS 使用成本,适用于 EC2、Fargate 和 Lambda 等服务。 1.2 为什么需要监控? 优化成本支出跟踪使用情况评估投…...
中国通信企业协会通信网络安全服务能力评定安全设计与集成服务能力评定三级要求准则...
安全设计与集成服务能力三级是通信网络安全服务能力评定安全设计与集成服务能力评定的最高等级,所需的要求也会更加严苛,不仅要满足安全设计与集成服务二级能力要求的所有条款,还要满足以下要求: 规模与资产要求 1)单位正规编制员…...
github - 使用
注册账户以及创建仓库 要想使用github第一步当然是注册github账号了, github官网地址:https://github.com/。 之后就可以创建仓库了(免费用户只能建公共仓库),Create a New Repository,填好名称后Create,之后会出现一些仓库的配置信息,这也是一个git的简单教程。 Git…...
RabbitMQ 消息顺序性保证
方式一:Consumer设置exclusive 注意条件 作用于basic.consume不支持quorum queue 当同时有A、B两个消费者调用basic.consume方法消费,并将exclusive设置为true时,第二个消费者会抛出异常: com.rabbitmq.client.AlreadyClosedEx…...
DeepSeek R1 简单指南:架构、训练、本地部署和硬件要求
DeepSeek R1 简单指南:架构、训练、本地部署和硬件要求 DeepSeek 的 LLM 推理新方法 DeepSeek 推出了一种创新方法,通过强化学习 (RL) 来提高大型语言模型 (LLM) 的推理能力,其最新论文 DeepSeek-R1 对此进行了详细介绍。这项研究代表了我们…...
1.攻防世界 unserialize3(wakeup()魔术方法、反序列化工作原理)
进入题目页面如下 直接开审 <?php // 定义一个名为 xctf 的类 class xctf {// 声明一个公共属性 $flag,初始值为字符串 111public $flag 111;// 定义一个魔术方法 __wakeup()// 当对象被反序列化时,__wakeup() 方法会自动调用public function __wa…...
麒麟系统编译安装git
有些版本的麒麟系统上没有git,官网又找不到现成的安装包,只好下载编译进行编译安装 1、下载源码 下载源码,地址:https://git-scm.com/downloads/linux。 2、解压 直接鼠标右键解压,或者用命令行: tar …...
Web - CSS3过渡与动画
过渡 基本使用 transition过渡属性是css3浓墨重彩的特性,过渡可以为一个元素在不同样式之间变化自动添加补间动画。 过渡从kIE10开始兼容,移动端兼容良好,网页上的动画特效基本都是由JavaScript定时器实现的,现在逐步改为css3过…...
Git 常见错误与解决方案全指南
🚀 Git 常见错误与解决方案全指南 这份指南涵盖了你在 Git 操作过程中遇到的所有常见错误、问题及其对应的解决方案,确保你在日常开发中能够快速定位问题并高效解决。 🔗 1. 如何将本地项目上传到 GitHub 仓库? 步骤:…...
OpenStack四种创建虚拟机的方式
实例(Instances)是在云内部运行的虚拟机。您可以从以下来源启动实例: 一、上传到镜像服务的镜像(Image) 使用已上传到镜像服务的镜像来启动实例。 二、复制到持久化卷的镜像(Volume) 使用已…...
线上hbase rs 读写请求个数指标重置问题分析
问题描述: 客户想通过调用hbase的jmx接口获取hbase的读写请求个数,以此来分析HBase读写请求每日增量。 但是发现生产,测试多个集群,Hbase服务指标regionserver读写请求个数存在突然下降到0或者大幅度下降情况。 需要排查原因: 某个Region的读写请求数:会发现经常会重置为…...
【R语言】卡方检验
一、定义 卡方检验是用来检验样本观测次数与理论或总体次数之间差异性的推断性统计方法,其原理是比较观测值与理论值之间的差异。两者之间的差异越小,检验的结果越不容易达到显著水平;反之,检验结果越可能达到显著水平。 二、用…...
2025.2.9机器学习笔记:PINN文献阅读
2025.2.9周报 文献阅读题目信息摘要Abstract创新点网络架构实验结论缺点以及后续展望 文献阅读 题目信息 题目: GPT-PINN:Generative Pre-Trained Physics-Informed Neural Networks toward non-intrusive Meta-learning of parametric PDEs期刊: Fini…...
c语言:取绝对值
假设我们有一个 long 类型的变量 l,我们希望恢复其绝对值。以下是两种方法的对比: 方法1:使用条件语句 这个很好理解,负数时取负运算 ,用于数值的符号反转。 long abs_value(long l) {if (l < 0) {return -l;} e…...
JVM(Java 虚拟机)
Java语言的解释性和编译性(通过JVM 的执行引擎) Java 代码(.java 文件)要先使用 javac 编译器编译为 .class 文件(字节码),紧接着再通过JVM 的执行引擎(Execution Engine)…...
利用二分法进行 SQL 盲注
什么是sql注入? SQL 注入(SQL Injection)是一种常见的 Web 安全漏洞,攻击者可以通过构造恶意 SQL 语句来访问数据库中的敏感信息。在某些情况下,服务器不会直接返回查询结果,而是通过布尔值(Tr…...
大模型数据集全面整理:444个数据集下载地址
本文针对Datasets for Large Language Models: A Comprehensive Survey 中的 444 个数据集(涵盖8种语言类别和32个领域)进行完整下载地址整理收集。 2024-02-28,由杨刘、曹家欢、刘崇宇、丁凯、金连文等作者编写,深入探讨了大型语…...
Ubuntu 下 nginx-1.24.0 源码分析 ngx_tm_t 类型
src\os\unix\ngx_time.h 中 typedef struct tm ngx_tm_t; tm 是 C 标准库中定义的一个结构体,通常用于表示日期和时间的信息。它通常定义在 <time.h> 头文件中 struct tm {int tm_sec; /* 秒,范围 0-59 */int tm_min; /* …...
Linux 创建进程 fork()、vfork() 与进程管理
Linux 创建进程 fork、vfork、进程管理 一、Linux的0号、1号、2号进程二、Linux的进程标识三、fork() 函数1、基本概念2、函数特点3、用法以及应用场景(1)父子进程执行不同的代码(2)进程执行另一个程序 4、工作原理 四、vfork() 函…...
2025web寒假作业二
一、整体功能概述 该代码构建了一个简单的后台管理系统界面,主要包含左侧导航栏和右侧内容区域。左侧导航栏有 logo、管理员头像、导航菜单和安全退出按钮;右侧内容区域包括页头、用户信息管理内容(含搜索框和用户数据表格)以及页…...
鸿蒙NEXT API使用指导之文件压缩和邮件创建
鸿蒙NEXT API 使用指导 一、前言二、邮件创建1、拉起垂类应用2、 UIAbilityContext.startAbilityByType 原型2.1、wantParam2.2、abilityStartCallback 与 callback 3、拉起邮箱类应用3.1、单纯拉起邮箱应用3.2、传入带附件的邮件 三、压缩文件1、认识 zlib2、压缩处理2.1、单文…...
javaEE-10.CSS入门
目录 一.什么是CSS 编辑二.语法规则: 三.使用方式 1.行内样式: 2.内部样式: 3.外部样式: 空格规范 : 四.CSS选择器类型 1.标签选择器 2.类选择器 3.ID选择器 4.通配符选择器 5.复合选择器 五.常用的CSS样式 1.color:设置字体颜色 2.font-size:设置字体大小 3…...
Spring Boot牵手Redisson:分布式锁实战秘籍
一、引言 在当今的分布式系统架构中,随着业务规模的不断扩大和系统复杂度的日益增加,如何确保多个服务节点之间的数据一致性和操作的原子性成为了一个至关重要的问题。在单机环境下,我们可以轻松地使用线程锁或进程锁来控制对共享资源的访问,但在分布式系统中,由于各个服务…...
制药行业 BI 可视化数据分析方案
一、行业背景 随着医药行业数字化转型的深入,企业积累了海量的数据,包括销售数据、生产数据、研发数据、市场数据等。如何利用这些数据,挖掘其价值,为企业决策提供支持,成为医药企业面临的重大挑战。在当今竞争激烈的…...
[学习笔记] Kotlin Compose-Multiplatform
Compose-Multiplatform 原文:https://github.com/zimoyin/StudyNotes-master/blob/master/compose-multiplatform/compose.md Compose Multiplatform 是 JetBrains 为桌面平台(macOS,Linux,Windows)和Web编写Kotlin UI…...
ubutun系统常用配置
目录 1. 更新系统 2. 安装 vim 文本编辑器 3. 扩展文件系统 4. 设置静态IP地址(可选) 5. 安装图形驱动 6. 安装常用软件 7. 调整启动项 8. 清理系统 9. 配置SSH 10. 安装VNC服务器(可选) 11. 安装桌面环境(…...
: 获取URL的响应头信息)
PHP函数介绍—get_headers(): 获取URL的响应头信息
概述:在PHP开发中,我们经常需要获取网页或远程资源的响应头信息。PHP函数get_headers()能够方便地获取目标URL的响应头信息,并以数组形式返回。本文将介绍get_headers()函数的用法,以及提供一些相关的代码示例。 get_headers()函…...
web前端录制canvas视频和video的声音,并合并成一个文件进行下载
一、captureStream captureStream是一个Web API方法,用于捕获指定元素的媒体流。该方法通常用于从<video>、<audio>或<canvas>元素中捕获实时视频流或音频流,以便进行进一步的处理,如直播、录制或分析。 captureStr…...