基于ensp的防火墙安全策略及认证策略综合实验

这是本次实验的大体的拓扑，我们还是按照习惯自下而上开始配置。

二层vlan

此次实验将内网主要分为了三个部分，分别是服务器区域，和两个部门，区域内的交换机都为二层设备，只做转发使用，不需要做任何配置，在sw2上，我们需要为企业a,b分别配置两个vlan，然后向上配置trunk也就是实验的第一步:

然后配置好二层后，我们来到网络层

三层:

我们先分别配置好各自的ip地址，然后为两个部门配置两个子接口，子接口具体的步骤可以见ensp防火墙的初始化登录及防火墙的简单策略-CSDN博客的路由部分

然后有一个很关键的一个点：实验要求我们需要在防火墙上配置dhcp下发ip地址，但是防火墙是拒绝所有的，就算允许了，但是如果不设置安全策略，你dhcp也会下发失败！

所以我们暂时先自己按照可选范围自己先填写一个静态的ip，后面进行策略编写的时候再改回来就行。

防火墙设置dhcp和路由器一模一样的，具体步骤可详见：

初识网络配置以及配置dhcp的服务器过程的理解_error:please delete the network section first.-CSDN博客

的终端部分

我们也可以在网页上查看到我们的防火墙的dhcp服务在状态：

其中如果我们需要绑定一个ip固定dhcp给一个pc，我们可以绑定其mac地址，我们在高级中：

即可。

我们在此可以将默认的安全策略改为允许所有，我们目前应该是所有设备全网可达的状态。

策略

我们按照实验步骤来：

创建安全区域：

然后我们创建地址组：

tips：地址组和安全区域尽量在所有策略开始之前就填写好，因为策略很多都要填写这两个选项，而且建议服务器每个单独写一个地址，然后汇总也写一个地址，因为有很多策略是单独对一个服务器的，而有些是针对dmz区域的。

开始用户认证策略编写：

我们先创建认证域：

我们尽量勾选认证域同名组，这样我们的域就是单独的，不和default组相关。

我们创建用户组：

然后我们将每个组中对应的用户添加进去：

我们选两个特例： 

这个是采用了双向绑定：即 该用户只能使用指定的地址登录，该地址仅允许该用户使用

这一个也是双向绑定但是是绑定的mac地址更为严格：

我们尽量在设置用户的时候设置部允许多人同时使用该账号登陆。

开始编写认证策略：

我们在此前设置的安全区域和地址组开始发力，在编写的过程中，我们只需要根据要求来直接编写即可，因为相对重复我们拿一个来说：

我们名字还是尽量见名知意，认证动作：

portal：就是网页认证

免认证：相当于一个通行证，防火墙看到了直接放走

不认证：防火墙直接不看

匿名认证：登进去之后没有名字，只显示ip地址，相对安全。

此外，我们还可以根据要求来进行认证设置：

尽量都这么勾选。

这个有个认证后跳转，就是我们经常见到的，登陆后跳转到原来的网页的一种效果，但是要我们先进入到一个网页，然后被拦截后进入登陆界面，才返回去，如果我们直接就是登陆的这个页面，那就什么都不发生，因为没有原来的web页面。

Tips:要进行认证动作一定要些一个安全策略！！！（非常非常重要！！）

否则你的认证这一行为，在安全策略上是不通过的。

端口号就是你认证设置的端口号。

安全策略：

整体就是这些，对于安全策略的编写具体步骤可详见：

ensp防火墙的初始化登录及防火墙的简单策略-CSDN博客

此次实验还插入了管理员的创建：

也比较简单，我们先创建一个新的管理员角色

然后我们添加一个新的管理员即可

这里有一个要注意的点：我们的信任主机要填写防火墙的本地ip地址才可以，不然你使用其他的ip是登不进去当前防火墙的web中的。