网络空间安全|防火墙安全综合实验

防火墙安全综合实验

一、拓扑信息

在这里插入图片描述

二、需求及配置

实验步骤

需求一：根据下表，完成相关配置

设备	接口	VLAN	接口类型
SW2	GE0/0/2	VLAN 10	Access
	GE0/0/3	VLAN 20	Access
	GE0/0/1	VLAN List：10 20	Trunk

1、创建vlan10和vlan20

2、将接口划分到对应的vlan中
在这里插入图片描述

设备	接口	VLAN	ip
FW	GE1/0/1.1	10	172.16.1.254/24
	GE1/0/1.2	20	172.16.2.254/24
	GE1/0/0	/	10.0.0.254/24
	GE1/0/2	/	100.1.1.10/24
OA Server	Ethernet0/0/0		10.0.0.10/24
Web Server	Ethernet0/0/0		10.0.0.20/24
DNS Server	Ethernet0/0/0		10.0.0.30/24`

[FW]interface GigabitEthernet 1/0/1.1
[FW-GigabitEthernet1/0/1.1]ip address 172.16.1.254 24
[FW-GigabitEthernet1/0/1.1]vlan-type dot1q 10
[FW]interface GigabitEthernet 1/0/1.2
[FW-GigabitEthernet1/0/1.1]ip address 172.16.2.254 24
[FW-GigabitEthernet1/0/1.2]ip address 172.16.2.254 24
[FW-GigabitEthernet1/0/1.2]vlan-type dot1q 20
[FW]int g1/0/0
[FW-GigabitEthernet1/0/0]ip address 10.0.0.254 24
[FW-GigabitEthernet1/0/0]int g1/0/2
[FW-GigabitEthernet1/0/2]ip address 100.1.1.10 24

在这里插入图片描述

百度服务器	Ethernet0/0/0	100.1.1.1/24
Clinet1	Ethernet0/0/0	DHCP获取(172.16.1.90/24)
Clinet2	Ethernet0/0/0	172.16.1.100/24
Clinet3	Ethernet0/0/0	DHCP获取
PC1	Ethernet0/0/1	172.16.2.100/24
PC2	Ethernet0/0/1	DHCP获取

[FW]dhcp enable
[FW]int g 1/0/1.1
[FW-GigabitEthernet1/0/1.1]dhcp select interface 
[FW]int g 1/0/1.2
[FW-GigabitEthernet1/0/1.2]dhcp select interface

在这里插入图片描述

172.16.1.90与Client1主机ip/mac绑定

在这里插入图片描述
需求二：配置DHCP协议，具体要求如下

1. 在FW上启动DHCP功能，并配置不同的全局地址池，为接入网络的终端设备分配IP地址。

2. Client1、Client3和PC2通过DHCP获取地址信息。Client2和PC1手工静态配置。

3. Client1必须通过DHCP获取172.16.1.90/24地址。

| **地址池名称** | **网段/掩码** | **网关**     | **DNS**   |
| -------------- | ------------- | ------------ | --------- |
| dhcp-a         | 172.16.1.0/24 | 172.16.1.254 | 10.0.0.30 |
| dhcp-b         | 172.16.2.0/24 | 172.16.2.254 | 10.0.0.30 |

需求三：防火墙安全区域配置

设备	接口	安全区域	优先级
FW	GE1/0/1.1	Trust_A	70
	GE1/0/1.2	Trust_B	80
	GE1/0/0	DMZ	默认
	GE1/0/2	Untrust	默认

在这里插入图片描述

在这里插入图片描述
需求四：防火墙地址组信息

设备	地址		地址族
OA Server	10.0.0.10/32		DMZ_Server
Web Server	10.0.0.20/32		DMZ_Server

设备	地址	地址族	描述信息
DNS Server	10.0.0.30/32	DMZ_Server	DMZ区域的DNS服务器
Client1(高管)	172.16.1.90/32	Trust_A_address	高管
Client2(财务)	172.16.1.100/32	Trust_A_address	财务部
Client3(运维部)	172.16.1.0/24需要除去172.16.1.90和172.16.1.100	Trust_A_address	运维部
pc1(技术部)	172.16.2.100/32	Trust_B_address	技术部
pc2(市场部)	172.16.2.0/24需要除去172.16.2.100	Trust_B_address	市场部
管理员	172.16.1.10/32	Trust_A_address

在这里插入图片描述

创建地址以OA Server为例子

在这里插入图片描述

创建地址组，以DMZ区域为例子
在这里插入图片描述

需求五：管理员

为FW配置一个配置管理员。要求管理员可以通过Telnet登录到CLI界面对FW进行管理和维护。FW对管理员进行本地认证。

项目	数据	说明
管理员账号密码	账号：vtyadmin
	密码：admin@123
管理员PC的IP地址	172.16.1.10/24
角色	service-admin	拥有业务配置和设备监控权限。
管理员信任主机	172.16.1.0/24	登录设备的主机IP地址范围
认证类型	本地认证

管理员角色信息

名称	权限控制项
service-admin	策略、对象、网络：读写操作
	面板、监控、系统：无

在这里插入图片描述

开启telnet服务

[FW]telnet server enable 
[FW]user-interface vty 0 4
[FW-ui-vty0-4]protocol inbound telnet

需求六：用户认证配置

1、部门A分为运维部、高层管理、财务部；其中，财务部IP地址为静态IP。高管地址DHCP固定分配。

2、部门B分为研发部和市场部；研发部IP地址为静态IP

3、新建一个认证域，所有用户属于认证域下组织架构

4、根据下表信息，创建企业组织架构

5、用户密码统一为admin@123

6、首次登录必须修改密码

在这里插入图片描述

1、高级管理者访问任何区域时，需要使用免认证。

2、运维部访问DMZ区域时，需要进行Portal认证。

3、技术部和市场部访问DMZ区域时，需要使用匿名认证。

4、财务部访问DMZ区域时，使用不认证。

5、运维部和市场部访问外网时，使用Portal认证。

6、财务部和技术部不能访问外网环境。故不需要认证策略 在这里插入图片描述

七：安全策略配置

1、配置Telnet策略
2、配置DHCP策略
3、配置DNS策略
4、部门A中分为三个部门，运维部、高管、财务。

a.运维部允许随时随地访问DMZ区域，并对设备进行管理；
b.高管和财务部仅允许访问DMZ区域的OA和Web服务器，并且只有HTTP和HTTPS权限。
c.运维部允许在非工作时间访问互联网环境
d.高管允许随时访问互联网环境
e.财务部任何时间都不允许访问互联网环境

5、部门B分为两个部门，技术部和市场部

a.技术部允许访问DMZ区域中的web服务器，并进行管理
b.技术部和市场部允许访问DMZ区域中的OA服务器，并且只有HTTP和HTTPS权限。
c.市场部允许访问互联网环境

6、每周末公司服务器需要检修维护，允许运维部访问；即，每周末拒绝除运维部以外的流量访问DMZ区域。
7、部门A和部门B不允许存在直接访问流量，如果需要传输文件信息，则需要通过OA服务器完成。—依靠默认规则拒绝

在这里插入图片描述

防火墙安全综合实验

一、拓扑信息

二、需求及配置

评论记录：