当前位置：首页 > news >正文

网络安全防御【防火墙安全策略用户认证综合实验】

news 文章来源：https://blog.csdn.net/miss_copper/article/details/140327127 2025/5/16 11:49:16

一、实验拓扑图

二、实验要求

三、实验思路

四、实验步骤

1、打开ensp防火墙的web服务（带内管理的工作模式）

2、在FW1的web网页中网络相关配置

3、交换机LSW6（总公司）的相关配置：

4、路由器相关接口配置：

5、相关安全策略配置：

（1）DMZ区的服务器，办公区仅能在办公时间内（9:00-18:00）可以访问，生产区设备全天都是可以访问。

（2）生产区不允许访问互联网，办公区和游客区允许访问互联网：

（3）办公区设备10.0.2.20不允许访问DMZ区的FTP服务器和HTTP服务器，仅能ping通10.0.3.10。

6、相关认证策略配置：

（1）办公区分为市场部和研发部，研发部IP地址固定，访问DMZ区使用匿名认证，研发部需要用户绑定IP地址，访问DMZ区使用免认证；游客区人员不固定，不允许访问DMZ区和生产区，统一使用Guest用户登录，密码Admin@123，游客仅有访问公司门户网站和上网的权利，门户网站地址10.0.3.10。

（2）生产区访问DMZ区时，需要进行protal认证，设立生产区用户架构，至少包含三个部门，每个部门三个用户，用户统一密码openlab@123，首次登录需要修改密码，用户过期时间设定为10天，用户不允许多人使用

7、创建一个自定义管理员，要求不能拥有系统管理的功能

一、实验拓扑图

二、实验要求

1、DMZ区的服务器，办公区仅能在办公时间内（9:00-18:00）可以访问，生产区设备全天都是可以访问的

2、生产区不允许访问互联网，办公区和游客区允许访问互联网

3、办公区设备10.0.2.20不允许访问DMZ区的FTP服务器和HTTP服务器，仅能ping通10.0.3.10

4、办公区分为市场部和研发部，研发部IP地址固定，访问DMZ区使用匿名认证，研发部需要用户绑定IP地址，访问DMZ区使用免认证；

游客区人员不固定，不允许访问DMZ区和生产区，统一使用Guest用户登录，密码Admin@123，游客仅有访问公司门户网站和上网的权利，门户网站地址10.0.3.10

5、生产区访问DMZ区时，需要进行protal认证，设立生产区用户架构，至少包含三个部门，每个部门三个用户，用户统一密码openlab@123，

首次登录需要修改密码，用户过期时间设定为10天，用户不允许多人使用

6、创建一个自定义管理员，要求不能拥有系统管理的功能

三、实验思路

首先拓扑图中各个设备的IP地址划分合理
会使用FW的web服务操作
要注意在这个拓扑图中FW的组网方式是路由模式
FW与总公司连接的生产区和办公区的接口，需要使用到子接口
各个交换机接口配置要注意是access口还是trunk口
根据实验要求做出相关的安全策略和认证策略
创建管理员，并给它指定相关功能

四、实验步骤

1、打开ensp防火墙的web服务（带内管理的工作模式）

Clound1(云)的操作：

要增加一条UDP的信息和一张虚拟网卡（不要使用电脑中的真实网卡，可以自己添加一张虚拟环回网卡）的信息，要形成双向通道在端口映射表中显现出来

FW的基本操作：

开启防火墙后需要登录用户名和密码，第一次默认的用户名：admin，密码：Admin@123;

登录成功之后需要修改你的密码才能进入防火墙的用户视图。

防火墙的g0/0/0口默认的IP地址为192.168.0.1/24;但是我们需要在浏览器中打开FW的web服务就需要将g0/0/0接口的IP地址修改为与我们Clound中虚拟网卡通一个网段才行。

列如：我的虚拟网卡的IP为：192.168.142.1/24,那么我们就修改防火墙g0/0/0接口的IP为：192.168.142.10/24。保证在同一个网站，那么我们的浏览器就可以访问。

在防火墙中g0/0/0口中开启所有的服务：

[USG6000V1-GigabitEthernet0/0/0]service-manage all permit

如果你的浏览器搜索防火墙g0/0/0的IP地址的web网页打不开有以下几种解决方案

首先检查你的FW和Clound中虚拟网卡的配置是否正确
将Ncap、火绒、完美竞技平台等等与ensp不兼容的程序卸载
关闭你的杀毒软件和系统的防火墙
换几个浏览器试一试或者写一个小众的IP地址（如172.156.142.1）

PC、server、client的相关基本配置：

PC1:

PC2:

PC5:

Server1：

Server2：

Client1：

Client2：

Client3：

2、在FW1的web网页中网络相关配置

添加安全区域（SC,BG,YK）

G1/0/0:

G1/0/1:

G1/0/2:

G1/0/3:配置对应的子接口

G1/0/3.1:

G1/0/3.2

G1/0/4:

总的接口列表：

启动访问管理选项将ping勾选了，便于后续测试

3、交换机LSW6（总公司）的相关配置：

生产区：[Huawei]int g0/0/2[Huawei-GigabitEthernet0/0/2]port link-type access[Huawei-GigabitEthernet0/0/2]port default vlan 2办公区：[Huawei-GigabitEthernet0/0/2]int g0/0/3[Huawei-GigabitEthernet0/0/3]p l a[Huawei-GigabitEthernet0/0/3]p d v 3与防火墙相连：[Huawei-GigabitEthernet0/0/3]int g0/0/1[Huawei-GigabitEthernet0/0/1]p l t[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3[Huawei-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1

4、路由器相关接口配置：

[Huawei]sysname ISP电信接口端：[ISP]int g0/0/0[ISP-GigabitEthernet0/0/0]ip add 12.0.0.2 24移动接口端：[ISP-GigabitEthernet0/0/0]int g0/0/1[ISP-GigabitEthernet0/0/1]ip add 21.0.0.2 24分公司接口端：[ISP-GigabitEthernet0/0/1]int g0/0/2[ISP-GigabitEthernet0/0/2]ip add 23.0.0.2 24[ISP-GigabitEthernet0/0/2]q环回口（用于测试）：[ISP]int LoopBack 0[ISP-LoopBack0]ip add 1.1.1.1 24[ISP-LoopBack0]q[ISP]dis ip int bri