防火墙安全综合实验
防火墙安全综合实验
一、拓扑信息
二、需求及配置
实验步骤
需求一:根据下表,完成相关配置
| 设备 | 接口 | VLAN | 接口类型 |
|---|---|---|---|
| SW2 | GE0/0/2 | VLAN 10 | Access |
| GE0/0/3 | VLAN 20 | Access | |
| GE0/0/1 | VLAN List:10 20 | Trunk |
1、创建vlan10和vlan20
2、将接口划分到对应的vlan中
| 设备 | 接口 | VLAN | ip |
|---|---|---|---|
| FW | GE1/0/1.1 | 10 | 172.16.1.254/24 |
| GE1/0/1.2 | 20 | 172.16.2.254/24 | |
| GE1/0/0 | / | 10.0.0.254/24 | |
| GE1/0/2 | / | 100.1.1.10/24 | |
| OA Server | Ethernet0/0/0 | 10.0.0.10/24 | |
| Web Server | Ethernet0/0/0 | 10.0.0.20/24 | |
| DNS Server | Ethernet0/0/0 | 10.0.0.30/24` |
[FW]interface GigabitEthernet 1/0/1.1
[FW-GigabitEthernet1/0/1.1]ip address 172.16.1.254 24
[FW-GigabitEthernet1/0/1.1]vlan-type dot1q 10
[FW]interface GigabitEthernet 1/0/1.2
[FW-GigabitEthernet1/0/1.1]ip address 172.16.2.254 24
[FW-GigabitEthernet1/0/1.2]ip address 172.16.2.254 24
[FW-GigabitEthernet1/0/1.2]vlan-type dot1q 20
[FW]int g1/0/0
[FW-GigabitEthernet1/0/0]ip address 10.0.0.254 24
[FW-GigabitEthernet1/0/0]int g1/0/2
[FW-GigabitEthernet1/0/2]ip address 100.1.1.10 24
| 百度服务器 | Ethernet0/0/0 | vlan | 100.1.1.1/24 |
|---|---|---|---|
| Clinet1 | Ethernet0/0/0 | DHCP获取(172.16.1.90/24) | |
| Clinet2 | Ethernet0/0/0 | 172.16.1.100/24 | |
| Clinet3 | Ethernet0/0/0 | DHCP获取 | |
| PC1 | Ethernet0/0/1 | 172.16.2.100/24 | |
| PC2 | Ethernet0/0/1 | DHCP获取 |
[FW]dhcp enable
[FW]int g 1/0/1.1
[FW-GigabitEthernet1/0/1.1]dhcp select interface
[FW]int g 1/0/1.2
[FW-GigabitEthernet1/0/1.2]dhcp select interface
172.16.1.90与Client1主机ip/mac绑定
需求二:配置DHCP协议,具体要求如下
1. 在FW上启动DHCP功能,并配置不同的全局地址池,为接入网络的终端设备分配IP地址。
2. Client1、Client3和PC2通过DHCP获取地址信息。Client2和PC1手工静态配置。
3. Client1必须通过DHCP获取172.16.1.90/24地址。
| **地址池名称** | **网段/掩码** | **网关** | **DNS** |
| -------------- | ------------- | ------------ | --------- |
| dhcp-a | 172.16.1.0/24 | 172.16.1.254 | 10.0.0.30 |
| dhcp-b | 172.16.2.0/24 | 172.16.2.254 | 10.0.0.30 |
需求三:防火墙安全区域配置
| 设备 | 接口 | 安全区域 | 优先级 |
|---|---|---|---|
| FW | GE1/0/1.1 | Trust_A | 70 |
| GE1/0/1.2 | Trust_B | 80 | |
| GE1/0/0 | DMZ | 默认 | |
| GE1/0/2 | Untrust | 默认 |
需求四:防火墙地址组信息
| 设备 | 地址 | 地址族 | |
|---|---|---|---|
| OA Server | 10.0.0.10/32 | DMZ_Server | |
| Web Server | 10.0.0.20/32 | DMZ_Server |
| 设备 | 地址 | 地址族 | 描述信息 |
|---|---|---|---|
| DNS Server | 10.0.0.30/32 | DMZ_Server | DMZ区域的DNS服务器 |
| Client1(高管) | 172.16.1.90/32 | Trust_A_address | 高管 |
| Client2(财务) | 172.16.1.100/32 | Trust_A_address | 财务部 |
| Client3(运维部) | 172.16.1.0/24需要除去172.16.1.90和172.16.1.100 | Trust_A_address | 运维部 |
| pc1(技术部) | 172.16.2.100/32 | Trust_B_address | 技术部 |
| pc2(市场部) | 172.16.2.0/24需要除去172.16.2.100 | Trust_B_address | 市场部 |
| 管理员 | 172.16.1.10/32 | Trust_A_address |
创建地址以OA Server为例子
创建地址组,以DMZ区域为例子
需求五:管理员
为FW配置一个配置管理员。要求管理员可以通过Telnet登录到CLI界面对FW进行管理和维护。FW对管理员进行本地认证。
| 项目 | 数据 | 说明 | |
|---|---|---|---|
| 管理员账号密码 | 账号:vtyadmin | ||
| 密码:admin@123 | |||
| 管理员PC的IP地址 | 172.16.1.10/24 | ||
| 角色 | service-admin | 拥有业务配置和设备监控权限。 | |
| 管理员信任主机 | 172.16.1.0/24 | 登录设备的主机IP地址范围 | |
| 认证类型 | 本地认证 |
管理员角色信息
| 名称 | 权限控制项 |
|---|---|
| service-admin | 策略、对象、网络:读写操作 |
| 面板、监控、系统:无 |
开启telnet服务
[FW]telnet server enable
[FW]user-interface vty 0 4
[FW-ui-vty0-4]protocol inbound telnet
需求六:用户认证配置
1、部门A分为运维部、高层管理、财务部;其中,财务部IP地址为静态IP。高管地址DHCP固定分配。
2、部门B分为研发部和市场部;研发部IP地址为静态IP
3、新建一个认证域,所有用户属于认证域下组织架构
4、根据下表信息,创建企业组织架构
5、用户密码统一为admin@123
6、首次登录必须修改密码
1、高级管理者访问任何区域时,需要使用免认证。
2、运维部访问DMZ区域时,需要进行Portal认证。
3、技术部和市场部访问DMZ区域时,需要使用匿名认证。
4、财务部访问DMZ区域时,使用不认证。
5、运维部和市场部访问外网时,使用Portal认证。
6、财务部和技术部不能访问外网环境。故不需要认证策略 
七:安全策略配置
1、配置Telnet策略
2、配置DHCP策略
3、配置DNS策略
4、部门A中分为三个部门,运维部、高管、财务。
- a.运维部允许随时随地访问DMZ区域,并对设备进行管理;
- b.高管和财务部仅允许访问DMZ区域的OA和Web服务器,并且只有HTTP和HTTPS权限。
- c.运维部允许在非工作时间访问互联网环境
- d.高管允许随时访问互联网环境
- e.财务部任何时间都不允许访问互联网环境
5、部门B分为两个部门,技术部和市场部
- a.技术部允许访问DMZ区域中的web服务器,并进行管理
- b.技术部和市场部允许访问DMZ区域中的OA服务器,并且只有HTTP和HTTPS权限。
- c.市场部允许访问互联网环境
6、每周末公司服务器需要检修维护,允许运维部访问;即,每周末拒绝除运维部以外的流量访问DMZ区 域。
7、部门A和部门B不允许存在直接访问流量,如果需要传输文件信息,则需要通过OA服务器完成。—依 靠默认规则拒绝
相关文章:
防火墙安全综合实验
防火墙安全综合实验 一、拓扑信息 二、需求及配置 实验步骤 需求一:根据下表,完成相关配置 设备接口VLAN接口类型SW2GE0/0/2VLAN 10AccessGE0/0/3VLAN 20AccessGE0/0/1VLAN List:10 20Trunk 1、创建vlan10和vlan20 2、将接口划分到对应…...
uniapp 编译生成鸿蒙正式app步骤
1,在最新版本DevEco-Studio工具新建一个空项目并生成p12和csr文件(构建-生成私钥和证书请求文件) 2,华为开发者平台 根据上面生成的csr文件新增cer和p7b文件,分发布和测试 3,在最新版本DevEco-Studio工具 文…...
【进程与线程】如何编写一个守护进程
如何编写一个守护进程。我们首先需要理解守护进程是什么。守护进程是在后台运行的进程,通常没有控制终端,用于执行系统任务,比如服务器或者定时任务。 用户可能想创建一个长期运行的服务,比如Web服务器或者日志监控程序。 首先&a…...
ubuntu安装VMware报错/dev/vmmon加载失败
ubuntu安装VMware报错/dev/vmmon加载失败,解决步骤如下: step1:为vmmon和vmnet组件生成密钥对 openssl req -new -x509 -newkey rsa:2048 -keyout VMW.priv -outform DER -out VMW.der -nodes -days 36500 -subj "/CNVMware/"ste…...
web前端布局--使用element中的Container布局容器
前端页面,跟Qt中一样,都是有布局设置的。 先布局,然后再在各布局中添加显示的内容。 Element网站布局容器:https://element.eleme.cn/#/zh-CN/componet/container 1.将element相应的布局容器代码layout,粘贴到vue项…...
手写一个C++ Android Binder服务及源码分析
手写一个C Android Binder服务及源码分析 前言一、 基于C语言编写Android Binder跨进程通信Demo总结及改进二、C语言编写自己的Binder服务Demo1. binder服务demo功能介绍2. binder服务demo代码结构图3. binder服务demo代码实现3.1 IHelloService.h代码实现3.2 BnHelloService.c…...
git rebase发生冲突时 ☞ 解决冲突
参考:特性分支 Rebase 主干分支...
【通俗易懂说模型】反向传播(附多元分类与Softmax函数)
🌈 个人主页:十二月的猫-CSDN博客 🔥 系列专栏: 🏀深度学习_十二月的猫的博客-CSDN博客 💪🏻 十二月的寒冬阻挡不了春天的脚步,十二点的黑夜遮蔽不住黎明的曙光 目录 1. 前言 2. …...
SQL Server查询计划操作符(7.3)——查询计划相关操作符(6)
7.3. 查询计划相关操作符 48)Key Lookup:该操作符对一个有簇索引的表进行书签查找。参数列包含簇索引的名字和用于查找簇索引中数据行的簇键。该操作符总是伴随一个Nested Loops操作符。如果其参数列中出现WITH PREFETCH子句,则查询处理器已决定使用异步预取(预读,read-ah…...
计算机视觉的研究方向、发展历程、发展前景介绍
以下将分别从图像分类、目标检测、语义分割、图像分割(此处应主要指实例分割)四个方面,为你介绍研究生人工智能计算机视觉领域的应用方向、发展历程以及发展前景。 文章目录 1.图像分类应用方向发展历程发展前景 2.目标检测应用方向发展历程…...
反转字符串-双指针法,
在 Java 中,使用 双指针法 反转字符串是一种高效且直观的方法。以下是详细的解析和代码实现。 1. 双指针法的核心思想 使用两个指针:一个指向字符串的起始位置(left),另一个指向字符串的末尾位置(right&…...
亚博microros小车-原生ubuntu支持系列 27、手掌控制小车运动
背景知识 本节跟上一个测试类似:亚博microros小车-原生ubuntu支持系列:26手势控制小车基础运动-CSDN博客 都是基于MediaPipe hands做手掌、手指识别的。 为了方便理解,在贴一下手指关键点分布。手掌位置就是靠第9点来识别的。 2、程序说明…...
)
STM32 HAL库 CANbus通讯(C语言)
#include "main.h" #include "stm32f1xx_hal.h"CAN_HandleTypeDef hcan; CAN_TxHeaderTypeDef TxHeader; CAN_RxHeaderTypeDef RxHeader; uint8_t TxData[8]; uint8_t RxData[8]; uint32_t TxMailbox;void CAN_Init(void) {// 使能CAN时钟__HAL_RCC_CAN1_C…...
ML.NET库学习005:基于机器学习的客户细分实现与解析
文章目录 ML.NET库学习005:基于机器学习的客户细分实现与解析项目主要目的和原理目的原理 项目概述实现的主要功能主要流程步骤使用的主要函数方法关键技术 主要功能和步骤功能详细解读详细步骤解析 数据集及其处理步骤数据集处理步骤关键处理步骤原理1. 数据清洗与…...
(2/100)每日小游戏平台系列
新增一个猜单词小游戏! ------------------------------------------------------------------------------------------------------------------ 猜单词游戏玩法 游戏规则: 游戏会从一个预设的单词列表中随机选择一个单词。玩家有 6 次机会来猜测单…...
【Linux Oracle】杂货铺 日常实用2024
1.跨服务器移动文件 passwd=^T^bxxxx `/usr/bin/expect <<-EOF set timeout -1 spawn scp -r ${BATCH_TIME} sxnhtc@192.168.3.x:${EXP_MCRO_DIR}/ expect "*password:" send "$passwd\r" interact expect eof EOF` curl -k -X GET https://192.16…...
浏览器的缓存方式几种
浏览器的缓存方式主要分为以下几种: 1. 强制缓存(强缓存 / Memory Cache & Disk Cache) 通过 Expires 或 Cache-Control 头部控制。在缓存有效期内,浏览器直接使用缓存,不发起请求。 关键HTTP头: Ex…...
黑马React保姆级(PPT+笔记)
目录 一、react基础 1.进程 2、优势 3、市场 4、搭建脚手架 认识目录 核心依赖(右边两个react) 去除非必要 运行原理: 总结 5、JSX 本质 高频场景 注意编辑 渲染列表 总结 条件渲染 简单情况 复杂情况 事件绑定&#x…...
2025web寒假作业二
一、整体功能概述 该代码构建了一个简单的后台管理系统界面,主要包含左侧导航栏和右侧内容区域。左侧导航栏有 logo、管理员头像、导航菜单和安全退出按钮;右侧内容区域包括页头、用户信息管理内容(含搜索框和用户数据表格)以及页…...
三、OSG学习笔记-应用基础
前一章节:二、OSG学习笔记-入门开发-CSDN博客https://blog.csdn.net/weixin_36323170/article/details/145513874 一、 OsgGA: 界面事件处理空间,处理操作各种操作器的最大名字空间; GUIEventHandler: ui 事件操作类 注意:在启…...
eNSP-Cloud(实现本地电脑与eNSP内设备之间通信)
说明: 想象一下,你正在用eNSP搭建一个虚拟的网络世界,里面有虚拟的路由器、交换机、电脑(PC)等等。这些设备都在你的电脑里面“运行”,它们之间可以互相通信,就像一个封闭的小王国。 但是&#…...
DeepSeek 赋能智慧能源:微电网优化调度的智能革新路径
目录 一、智慧能源微电网优化调度概述1.1 智慧能源微电网概念1.2 优化调度的重要性1.3 目前面临的挑战 二、DeepSeek 技术探秘2.1 DeepSeek 技术原理2.2 DeepSeek 独特优势2.3 DeepSeek 在 AI 领域地位 三、DeepSeek 在微电网优化调度中的应用剖析3.1 数据处理与分析3.2 预测与…...
Spring是如何解决Bean的循环依赖:三级缓存机制
1、什么是 Bean 的循环依赖 在 Spring框架中,Bean 的循环依赖是指多个 Bean 之间互相持有对方引用,形成闭环依赖关系的现象。 多个 Bean 的依赖关系构成环形链路,例如: 双向依赖:Bean A 依赖 Bean B,同时 Bean B 也依赖 Bean A(A↔B)。链条循环: Bean A → Bean…...
C#中的CLR属性、依赖属性与附加属性
CLR属性的主要特征 封装性: 隐藏字段的实现细节 提供对字段的受控访问 访问控制: 可单独设置get/set访问器的可见性 可创建只读或只写属性 计算属性: 可以在getter中执行计算逻辑 不需要直接对应一个字段 验证逻辑: 可以…...
AirSim/Cosys-AirSim 游戏开发(四)外部固定位置监控相机
这个博客介绍了如何通过 settings.json 文件添加一个无人机外的 固定位置监控相机,因为在使用过程中发现 Airsim 对外部监控相机的描述模糊,而 Cosys-Airsim 在官方文档中没有提供外部监控相机设置,最后在源码示例中找到了,所以感…...
毫米波雷达基础理论(3D+4D)
3D、4D毫米波雷达基础知识及厂商选型 PreView : https://mp.weixin.qq.com/s/bQkju4r6med7I3TBGJI_bQ 1. FMCW毫米波雷达基础知识 主要参考博文: 一文入门汽车毫米波雷达基本原理 :https://mp.weixin.qq.com/s/_EN7A5lKcz2Eh8dLnjE19w 毫米波雷达基础…...
Elastic 获得 AWS 教育 ISV 合作伙伴资质,进一步增强教育解决方案产品组合
作者:来自 Elastic Udayasimha Theepireddy (Uday), Brian Bergholm, Marianna Jonsdottir 通过搜索 AI 和云创新推动教育领域的数字化转型。 我们非常高兴地宣布,Elastic 已获得 AWS 教育 ISV 合作伙伴资质。这一重要认证表明,Elastic 作为 …...
rknn toolkit2搭建和推理
安装Miniconda Miniconda - Anaconda Miniconda 选择一个 新的 版本 ,不用和RKNN的python版本保持一致 使用 ./xxx.sh进行安装 下面配置一下载源 # 清华大学源(最常用) conda config --add channels https://mirrors.tuna.tsinghua.edu.cn…...
起重机起升机构的安全装置有哪些?
起重机起升机构的安全装置是保障吊装作业安全的关键部件,主要用于防止超载、失控、断绳等危险情况。以下是常见的安全装置及其功能和原理: 一、超载保护装置(核心安全装置) 1. 起重量限制器 功能:实时监测起升载荷&a…...
【题解-洛谷】P10480 可达性统计
题目:P10480 可达性统计 题目描述 给定一张 N N N 个点 M M M 条边的有向无环图,分别统计从每个点出发能够到达的点的数量。 输入格式 第一行两个整数 N , M N,M N,M,接下来 M M M 行每行两个整数 x , y x,y x,y,表示从 …...