ensp防火墙安全策略实验
拓扑图
实验需求
1、VLAN 2属于办公区;VLAN 3属于生产区
2、办公区PC在工作日时间(周一至周五,早8到晚6)可以正常访OA Server,其他时间不允许
3、办公区PC可以在任意时刻访问Web server
4、生产区PC可以在任意时刻访问OA Server,但是不能访问Web Server
5、特例:生产区PC3可以在每周一早10到早11访问WebServer,用来更新企业最新产品信息
先按拓扑图要求划分vlan和配置IP地址
LSW1:
[LSW1] vlan batch 2 3
[LSW1] interface GigabitEthernet 0/0/2
[LSW1-GigabitEthernet0/0/2] port link-type access
[LSW1-GigabitEthernet0/0/2] port default vlan 2
[LSW1] interface GigabitEthernet 0/0/3
[LSW1-GigabitEthernet0/0/3] port link-type access
[LSW1-GigabitEthernet0/0/3] port default vlan 3
[LSW1] interface GigabitEthernet 0/0/4
[LSW1-GigabitEthernet0/0/4] port link-type access
[LSW1-GigabitEthernet0/0/4] port default vlan 3
[LSW1] interface g0/0/1
[LSW1-GigabitEthernet0/0/1] port link-type trunk
[LSW1-GigabitEthernet0/0/1] port trunk allow-pass vlan 2 to 3
PC1:
PC2:
PC3:
OA_Sever:
Web_Sever:
配置cloud
配置防火墙(默认账号admin 密码Admin@123)
[FW1]interface g0/0/0
[FW1]ip ad 192.168.0.11/24(配置与cloud选择的接口相同网段的ip地址)
[FW1-GigabitEthernet0/0/0]service-manage all permit
GE1/0/0接口为dmz区域,GE1/0/1的两个子接口为trust区域
新建子接口GE1/0/1.1 GE1/0/1.2(trust区域)
配置GE1/0/0接口为dmz区域
按要求建立安全策略
添加ip地址
按照策略要求添加地址
2、办公区PC在工作日时间(周一至周五,早8到晚6)可以正常访OA Server,其他时间不允许
3、办公区PC可以在任意时刻访问Web server
4、生产区PC可以在任意时刻访问OA Server,但是不能访问Web Server
5、特例:生产区PC3可以在每周一早10到早11访问WebServer,用来更新企业最新产品信息
不在时间段内无法ping通
