防火墙(ensp USG6000v)---安全策略 + 用户认证综合实验
一. 题目
1) 拓扑
2)要求
1. DMZ区内的服务器,办公区仅能在办公时间内(9:00 -- 18: 00)可以访问,生产区的设备全天可以访问
2.生产区不允许访问互联网,办公区和游客区允许访问互联网
3.办公区设备10.0.2.10不充许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4.办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证;
5.生成区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
6.创建一个自定义管理员,要求不能拥有系统管理的功能
二. 思路
(大体思路,具体请看"实验实现")
1) 基础配置 : 配置客户端的ip地址,交换机的vlan划分,防火墙和路由器的相关配置
2)通过防火墙的web登录方式登录到防火墙里面(带内管理)
3)按照要求配置相关的配置
三. 实验实现
1)基础配置
配置IP和划分vlan很简单,这里省略,唯一说一说防火墙的初始配置
防火墙的初始配置
1. 防火墙的初始密码: 账号:admin 密码:Admin@123
2.注意g0/0/0口的初始ip为192.168.0.1/24
3.需要创建两个子接口给生产区和办公区当网关-- 可以在后面的可视界面配置
4.启动web登录的服务--在g0/0/0接口下
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit
2) 登录到防火墙
因为这里使用ensp模拟现实场景,所以要用到Cloud设备
通过这个设备将现实中的电脑和ensp的防火墙相连接,具体如下
1.cloud配置
需要准备一张虚拟网卡
注意:因为我的虚拟网卡的ip是192.168.100.0/24网段,所以需要更改防火墙g0/0/0的ip
如下:
2.登录
使用浏览器访问192.168.100.1这个ip,端口号为8443
输入初始账号和密码,登录成功
3)配置安全策略和用户认证(重点)
开始之前展示一下接口配置
DMZ区内的服务器,办公区仅能在办公时间内(9:00 -- 18: 00)可以访问,生产区的设备全天可以访问
1.点击策略,再点击新建安全策略
2 . 按要求配置,如下:
生产区访问dmz
办公区访问dmz区
结果
测试(现在时间 24:00)
生产区访问dmz
办公区访问dmz
生产区不允许访问互联网,办公区和游客区允许访问互联网
互联网为untrust区
1. 配置安全策略
sc:
bg,游客:
办公区设备10.0.2.10不充许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
做策略(通过原地址),同一条策略下不同要求是与的关系
匹配顺序是从上往下匹配所以要注意顺序,把更具体的放在前面
禁止访问http和ftp
只允许ping通10.0.3.10
办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定IP地址,访问DMZ区使用免认证
用户认证
1.创建认证域
2.创建用户组
3.创建用户
4.认证策略
5.在bg to dmz安全策略加上用户认证
测试
生成区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
1.创建生产区用户组织架构
2.批量创建用户并设置
其中一个部门
3.进行protal认证
认证策略
4.在sc to dmz 的安全策略中选择sc用户
创建一个自定义管理员,要求不能拥有系统管理的功能
这个简单直接看图
搞定!
相关文章:
防火墙(ensp USG6000v)---安全策略 + 用户认证综合实验
一. 题目 1) 拓扑 2)要求 1. DMZ区内的服务器,办公区仅能在办公时间内(9:00 -- 18: 00)可以访问,生产区的设备全天可以访问 2.生产区不允许访问互联网,办公区和游客区允许访问互联网 3.办公区设备10.0.2.10不充许…...
Java使用POI导出后数字类型为常规类型,不能计算
今日日常撸码,甲方提出来excel导出后,数字类型那一列是常规类型,并不是数字,无法进行计算,如下图: 这里和导出的字段类型有关,我用的是POI进行excel的导出,需要在实体类上标注出需要…...
项目进度管理(5-1)常见的缓冲区监控方法
缓冲区监控是一种项目管理技术,主要用于关键链项目管理系统(Critical Chain Project Management, CCPM)中。它的核心理念是识别和管理项目中的不确定性和依赖性,以提高项目完成的可靠性。 缓冲区监控方法主要是针对项目进度计划执…...
)
构造函数语意学(The Semantics of Constructors)
1、“Default Constructor” 的构造操作 下面4种情况编译器会生成默认构造函数: 成员类对象带有默认构造函数父类带有默认构造函数带有虚表的类带有虚基类的类 1.1、 成员类对象带有默认构造函数 如果一个类没有任何构造函数,但它的一个成员对象带有…...
香橙派5plus上跑云手机方案二 waydroid
前言 上篇文章香橙派5plus上跑云手机方案一 redroid(带硬件加速)说了怎么跑带GPU加速的redroid方案,这篇说下怎么在香橙派下使用Waydroid。 温馨提示 虽然能运行,但是体验下来只能用软件加速,无法使用GPU加速,所有会很卡。而且…...
600Kg大载重起飞重量多旋翼无人机技术详解
600Kg大载重起飞重量的多旋翼无人机是一种高性能的无人驾驶旋翼飞行器,具有出色的载重能力和稳定的飞行特性。该无人机采用先进的飞行控制系统和高效的动力系统,能够满足各种复杂任务的需求,广泛应用于物资运输、应急救援、森林防火等领域。 …...
LlamaFactory可视化微调大模型 - 参数详解
LlamaFactory 前言 LLaMA Factory 是一个用于微调大型语言模型的强大工具,特别是针对 LLaMA 系列模型。 可以适应不同的模型架构和大小。 支持多种微调技术,如全参数微调、LoRA( Low-Rank Adaptation )、QLoRA( Quantized LoRA )等。 还给我们提供了简单实用的命令行…...
最新 Kubernetes 集群部署 + flannel 网络插件(保姆级教程,最新 K8S 版本)
资源列表 操作系统配置主机名IP所需插件CentOS 7.92C4Gk8s-master192.168.60.143flannel-cni-plugin、flannel、coredns、etcd、kube-apiserver、kube-controller-manager、kube-proxy、 kube-scheduler 、containerd、pause 、crictlCentOS 7.92C4Gk8s-node01192.168.60.144f…...
C语言笔记31 •单链表经典算法OJ题-3.反转链表•
反转链表 1.问题 给你单链表的头节点 head,请你反转链表,并返回反转后的链表。 2.代码实现: //3.反转链表 #define _CRT_SECURE_NO_WARNINGS 1 #include <stdio.h> #include <stdlib.h> #include <assert.h>typedef int …...
网桥与以太网交换机:功能与区别解析
在传统的共享式局域网中,所有站点共享一个公共的传输媒体。随着局域网规模的扩大、网络中站点数目的不断增加,这样的网络通信负载加重,网络效率急剧下降。随着技术的发展、交换技术的成熟和成本的降低,具有更高性能的交换式局域网…...
动态引用的艺术:在Postman中实现自动化的终极指南
🌀 动态引用的艺术:在Postman中实现自动化的终极指南 在API开发和测试中,Postman是一个强大的工具,它提供的动态引用功能可以帮助我们实现自动化和更高效的测试流程。本文将深入探讨如何在Postman中使用动态引用,通过…...
Qt:15.布局管理器(QVBoxLayout-垂直布局、QHBoxLayout-水平布局、QGridLayout-网格布局、拉伸系数,控制控件显示的大小)
目录 一、QVBoxLayout-垂直布局: 1.1QVBoxLayout介绍: 1.2 属性介绍: 1.3细节理解: 二、QHBoxLayout-水平布局: 三、QGridLayout-网格布局: 3.1QGridLayout介绍: 3.2常用方法:…...
图论---无向图中国邮路的实现
开始编程前分析设计思路和程序的整体的框架,以及作为数学问题的性质: 程序流程图: 数学原理: 本质上是找到一条欧拉回路,考虑图中的边权重、顶点的度数以及如何通过添加最少的额外边来构造欧拉回路,涉及到欧…...
Rockchip RK3588 - Rockchip Linux SDK脚本分析
---------------------------------------------------------------------------------------------------------------------------- 开发板 :ArmSoM-Sige7开发板eMMC :64GBLPDDR4 :8GB 显示屏 :15.6英寸HDMI接口显示屏u-boot &a…...
【C++中resize和reserve的区别】
1. resize的用法 改变当前容器内含有元素的数量(size())比如: vector<int> vct;int num vct.size();//之前的元素个数为num vct.resize(len);//现在的元素个数为len如果num < len ,那么容器vct新增len - num个元素&am…...
计算机毕业设计Python深度学习游戏推荐系统 Django PySpark游戏可视化 游戏数据分析 游戏爬虫 Scrapy 机器学习 人工智能 大数据毕设
本论文的主要研究内容如下: 了解基于Spark的TapTap游戏数据分析系统的基本架构,掌握系统的开发方法,包括系统开发基本流程、开发环境的搭建、测试与运行等。 主要功能如下: (1)用户管理模块:…...
Python面试题:如何在 Python 中进行正则表达式操作?
在 Python 中,正则表达式操作可以通过 re 模块来实现。以下是一些常用的正则表达式操作和示例: 1. 导入模块 import re2. 常见操作和示例 a. 匹配 使用 re.match() 来检查字符串的开头是否匹配某个模式。 pattern r\d # 匹配一个或多个数字 strin…...
?)
C#面:简述什么是中间件(Middleware)?
中间件是组装到应⽤程序管道中以处理请求和响应的软件。 每个组件: 选择是否将请求传递给管道中的下⼀个组件。 可以在调⽤管道中的下⼀个组件之前和之后执⾏⼯作。 请求委托(Request delegates)⽤于构建请求管道,处理每个HTTP请…...
AWS Glue 与 Amazon Redshift 的安全通信配置
1. 引言 在 AWS 环境中,确保服务间的安全通信至关重要。本文将探讨 AWS Glue 与 Amazon Redshift 之间的安全通信配置,特别是为什么需要特定的安全组设置,以及如何正确实施这些配置。 2. 背景 AWS Glue:全托管的 ETL(提取、转换、加载)服务Amazon Redshift:快速、完全…...
nginx访问控制
最近部署consul服务,发现consul认证配置比较麻烦,于是上网查询发现nginx支持路由认证,在此做个记录。 1.Nginx访问控制模块类型 基于IP的访问控制:http_access_module基于用户的信任登录:http_auth_basic_module 2.…...
MCP TypeScript SDK 服务说明文档
1. 服务概述 一句话简介:完整的MCP规范TypeScript实现,轻松构建MCP客户端和服务器,为LLM应用提供标准化的上下文管理能力。 服务名称:MCP TypeScript SDK版本号:Latest开发者/提供方:federated-alpha协议…...
使用 Python 快速接入 Taotoken 并调用多模型 API 的完整指南
🚀 告别海外账号与网络限制!稳定直连全球优质大模型,限时半价接入中。 👉 点击领取海量免费额度 使用 Python 快速接入 Taotoken 并调用多模型 API 的完整指南 对于希望快速集成大模型能力的 Python 开发者而言,逐一对…...
第十四节:Project Glasswing 落地——构建本地 Agent 的双向审查防火墙
引言 承接上一章对大模型 Prompt 注入与越狱攻击的防御,本章将深入探讨 Project Glasswing 的安全治理理念,重点解决本地 Agent 在输入与输出两个环节的安全审查,构建企业级的双向审查防火墙。 核心理论 Project Glasswing 旨在打造一个“看门狗”机制,利用 AI 模型和规…...
眼动追踪技术:DINOv3与合成数据的优化方案
1. 眼动追踪技术概述与挑战眼动追踪技术通过捕捉和分析人眼的注视点位置,能够精确还原用户的视觉注意力分布。这项技术在多个领域展现出重要价值:在VR/AR设备中实现自然交互,在心理学研究中量化视觉认知过程,在用户体验测试中优化…...
基于Simulink的异步电机恒压频比开环调速系统建模与性能分析
1. 异步电机恒压频比控制原理揭秘 我第一次接触恒压频比控制时,被这个专业名词吓到了,后来发现它的核心思想其实特别简单。想象一下开车时的油门踏板——踩得越深车速越快,但发动机的"力气"(扭矩)基本保持不…...
从零到一:我的循迹小车避坑指南与实战心得
1. 从零开始:循迹小车项目初体验 第一次接触循迹小车是在大学电子设计课上,看着学长们的小车能自动沿着黑线跑,觉得特别神奇。当时就暗下决心要自己做一辆,没想到这个决定让我开启了长达一个月的"痛苦并快乐着"的旅程。…...
——深入分析Ring AllReduce算法与带宽最优性)
训练篇第5节:NCCL(二)——深入分析Ring AllReduce算法与带宽最优性
理解Ring AllReduce,你就掌握了数据并行分布式训练的通信命脉 前言 上一节我们学习了分布式训练的三种并行策略,其中数据并行最核心的通信原语就是AllReduce。在深入篇中,我们简单介绍了NCCL和AllReduce,但那一节更侧重API使用。今天,我们将深入Ring AllReduce算法的内部…...
2025届毕业生推荐的五大AI辅助写作网站实际效果
Ai论文网站排名(开题报告、文献综述、降aigc率、降重综合对比) TOP1. 千笔AI TOP2. aipasspaper TOP3. 清北论文 TOP4. 豆包 TOP5. kimi TOP6. deepseek 眼下,在学术以及职场文本生成这个范畴里,AI检测率过高这样的问题越发…...
利用 Taotoken 统一接口简化多模型 A B 测试流程
🚀 告别海外账号与网络限制!稳定直连全球优质大模型,限时半价接入中。 👉 点击领取海量免费额度 利用 Taotoken 统一接口简化多模型 A/B 测试流程 对于算法工程师和开发者而言,评估不同大语言模型在特定任务上的表现是…...
从‘沙滩球’反推断层运动:手把手用Python绘制震源机制解
从‘沙滩球’反推断层运动:手把手用Python绘制震源机制解 地震学研究中最直观的工具莫过于震源机制解图示——那个黑白相间、形似沙滩球的图案。这种专业图表不仅能展示断层的三维运动特征,还能帮助研究者快速判断地震类型。本文将带您用Python从零实现沙…...