网络防御高级02-综合实验

web页面：

[FW]interface GigabitEthernet 0/0/0    
[FW-GigabitEthernet0/0/0]service-manage all permit 

 需求一，接口配置：

SW2:

[Huawei]sysname SW2

1.创建vlan
[sw2]vlan 10    
[sw2]vlan 20

2.接口配置
[sw2]interface GigabitEthernet 0/0/1
[sw2-GigabitEthernet0/0/1]port link-type trunk     
[SW2-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 

[sw2]interface GigabitEthernet 0/0/2
[sw2-GigabitEthernet0/0/2]port link-type access
[sw2-GigabitEthernet0/0/2]port default vlan 10
[sw2-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/3
[sw2-GigabitEthernet0/0/3]port link-type access    
[sw2-GigabitEthernet0/0/3]port default vlan 20

 fw:

[FW]interface GigabitEthernet 1/0/0
[FW-GigabitEthernet1/0/0]ip add    
[FW-GigabitEthernet1/0/0]ip address 10.0.0.254 24

[FW]interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2]ip address 100.1.1.10 24

[FW]interface GigabitEthernet 1/0/1.1
[FW-GigabitEthernet1/0/1.1]ip address 172.16.1.254 24    
[FW-GigabitEthernet1/0/1.1]vlan-type dot1q 10

 g1/0/1.2:web页面：

OA Server:

Web Server:

DNS Server:

百度服务器 :

Clinet1:dhcp

Clinet2:

Clinet3:dhcp

pc1:

pc2:dhcp

需求二，DHCP：

在FW上启动DHCP功能，并配置不同的全局地址池，为接入网络的终端设备分配IP地址。
Client1、Client3和PC2通过DHCP获取地址信息。Client2和PC1手工静态配置。
Client1必须通过DHCP获取172.16.1.90/24地址。

如果配置dhcp无法获取地址，可以给g1/0/1配置IP在删除就好*******
因为只有主接口处于工作状态是副接口才会正常股工作**8**

[FW]dhcp enable ----开启dhcp

在web界面配置dhcp是只支持接口方式，分配的地址范围必须是接口IP地址所
在的网段。并且--->需要手工在命令行界面开启dhcp功能才行。
[FW]interface GigabitEthernet 1/0/1.1---对应接口激活dhcp
[FW-GigabitEthernet1/0/1.1]dhcp select interface

[FW-GigabitEthernet1/0/1.1]interface GigabitEthernet 1/0/1.2
[FW-GigabitEthernet1/0/1.2]dhcp select interface 

 Client1必须通过DHCP获取172.16.1.90/24地址。（将1.90和client1的mac地址绑定）

web页面：（如果client1已经dhcp分配ip可以先改为静态等修改高级将ip和mac绑定后在改为dhcp）

clent1：IP：

[FW]display ip pool interface GigabitEthernet1/0/1.1---查看地址池g1/0/1.1
：

GigabitEthernet1/0/1.2（dhcp补全信息（网关和dns还有保留pc1的ip 2.100））：

 命令行（全局）：例子

[FW]ip pool 1
[FW-ip-pool-1]network 1.1.1.0 mask 24
[FW-ip-pool-1]gateway-list 1.1.1.254    
[FW-ip-pool-1]dns-list 1.1.1.1
[FW-ip-pool-1]static-bind ip-address 1.1.1.100 mac-address mac地址

需求三，防火墙安全区域划分：

web页面：

Trust_A：

Trust_B：
[FW]firewall zone name Trust_B---创建区域    
[FW-zone-Trust_B]set priority 80---设置优先级
[FW-zone-Trust_B]add interface GigabitEthernet 1/0/1.2--划分接口

DMZ：
[FW]firewall zone dmz     
[FW-zone-dmz]add interface GigabitEthernet 1/0/0

Untrust：
[FW]firewall zone untrust 
[FW-zone-untrust]add interface GigabitEthernet 1/0/2

 需求四，防火墙地址组信息：

DMZ_Server：

Trust_A_address:

Trust_B_address:

OA Server:

Web Server:

DNS Server:

Client1(高管):

Client2(财务部):

Client3(运维部)172.16.1.0/24需要去除172.16.1.90和172.16.1.100。
:

PC1(技术部):

PC2(市场部)172.16.2.0/24需要去除172.16.2.100。
:

管理员:

需求五，管理员：

防火墙开启telnet：

对应接口开启telnet功能：
web:

 命令行：
[FW-GigabitEthernet1/0/1.1]service-manage telnet permit

 开启telnet服务：

web：

命令行：
[FW]telnet server enable

telnet配置：

[FW]user-interface vty 0 4    
[FW-ui-vty0-4]protocol inbound telnet ---这里只要把入服务改为telnet，其他的已经有了

在sw2上创建172.16.1.10来测试telnet

[SW2]interface Vlanif 10
[SW2-Vlanif10]ip address 172.16.1.10 24

结果：

管理员：

创建管理员：

web：

需求六，用户认证配置：

 认证域openlab：

用户组：

部门A：

部门B：

高级管理者：

运维部 ：

财务部 ：

技术部：

市场部：

用户信息：

高管用户：

运维部用户：

财务部用户：

技术部用户：

市场部用户：

认证策略：

policy_auth_01：

policy_auth_02：

policy_auth_03：

policy_auth_04：（客户端模拟的浏览器，所有的数据基于tcp建立连接访问，所以数据看作一条数据流，一条数据流认证过一次即可所以认证策略命中次数为1，而pc发的ping包每个报文之间没有关系所以命中很多次）

policy_auth_05：

policy_auth_06：

policy_auth_07：（这里测试ping通是因为上一条是匿名认证通过了所以在用这个用户去ping其他人就不会二次认证，所以能通，建议调到po6上面）

认证策略仅仅是让防火墙来判断那些用户可以正常访问网络资源，并且方便对所有用户进行管理。只要你是合法通过认证的用户，就可以访问网络资源。---认证策略并不能阻挡对网络资源的访问能力，该能力由安全策略来实现

测试时把默认安全策略改为：允许（测试完要改回拒绝）

认证策略界面：（默认改为pot认证，把po7调到po6上面因为认证规则不一样）

首次登录必须修改密码：

需求七，安全策略配置：

policy_01：

policy_02：

自定义服务：

policy_03：

policy_04：

policy_05：

policy_06:

no_worktime(工作日，0-8；18-23)：

policy_07:

policy_08:

policy_09:

policy_010:

policy_011:

weekend(周六周日全天)：

测试：（将所以的认证策略不启用，默认改为不认证，方便测试）

有telnet，dns，http，https，dhcp的不好测试

policy_01：

policy_02：

policy_03：

dns配置：

83

[FW]display firewall session table 

[FW]display firewall session table verbose----会话信息

81，82（包）

 

 

 

 

policy_04：

policy_05：

财务-OA

79

policy_06:将时间改为any方便测试：

policy_07:

policy_08:

policy_09:

服务器随便选一个文件夹启动就好（OA）

技术-OA

78，77

 

policy_010:

policy_011:

web安全策略界面,安全策略命中次数：

有telnet，dns，http，https，dhcp的不好测试

补测http和https（po3，po5和po9）

80