防御保护综合练习
一.拓扑图以及要求
二.实验思路
1. 登录防火墙 Web 界面配置接口及安全区域
先通过 Console 线连接防火墙与管理终端,用终端工具(如 Putty)登录命令行,输入默认账号密码,首次登录需修改初始密码。进入接口配置模式,给管理接口设置 IP,确保与本地电脑同网段。
在电脑浏览器输入管理 IP,登录 Web 管理界面后,进入「网络」-「接口」菜单:
给连接 PC 的接口配置 IP
给连接 Client 的接口配置 IP
给连接 Server 的接口配置 IP
随后进入「安全区域」配置,将各接口按实际需求划分到相应区域(如 PC 接口加入 Trust 区,Server 接口加入 DMZ 区等)。
2. 配置 DHCP 服务(基于 IP-MAC 绑定的固定分配)
进入 Web 界面的「网络」-「DHCP 服务器」,启用服务后按网段创建地址池:
为 PC 所在网段设置地址池
同理配置 Client 和 Server 网段的地址池
在「IP-MAC 绑定」选项中,手动录入各设备的 MAC 地址与对应固定 IP,保存后设备将获取固定 IP。
3. 创建管理员及管理员角色
进入「系统管理」-「管理员配置」:
先创建角色:点击「新建角色」,设置角色名称(如 "配置管理员"),勾选对应的权限范围(如接口配置、策略管理等)
再创建管理员:点击「添加管理员」,输入账号名,关联刚才创建的角色,设置登录密码并选择认证方式(如本地认证)
4. 创建认证域、用户组及用户
认证域:在「身份认证」-「认证域」中点击「新建」,输入域名称(如 "local-domain"),选择认证方式(如本地认证)
用户组:进入「用户组」菜单,新建用户组(如 "office-group"),关联到上述认证域
用户:在「本地用户」中点击「添加」,输入用户名和密码,选择所属用户组和认证域,设置用户状态为启用
5. 配置用户认证策略
进入「策略」-「认证策略」,点击「新建」:
设置策略名称(如 "user-auth-policy")
选择源安全区域(如 Trust 区)和目的区域(如 Untrust 区)
指定需要认证的用户组(如 "office-group")
选择认证方式(如 Web 认证),关联之前创建的认证域保存后启用策略
6. 配置安全策略
在「策略」-「安全策略」中点击「新建」:
命名策略(如 "allow-pc-to-server")
设定源区域(如 Trust)和目的区域(如 DMZ)
源地址选择 PC 所在网段,目的地址选择 Server 地址
协议 / 服务选择需要允许的类型(如 TCP 80 端口)
动作设置为 "允许",根据需要开启日志记录
按此方法配置其他所需策略(如 Client 访问控制等),注意策略优先级顺序
三.实验步骤
1.接口配置
安全区域:
2.配置dhcp(ip均进行绑定)
3.配置管理员与管理员角色
配置管理员ip
4.创建用户与用户组
认证域
例2:高管用户
例1:运维部用户
例2:财务部用户
技术部用户同上例1
市场部用户同上例1
5.认证策略
6.安全策略
地址:
时间:
四.实验验证(示例验证)
1.测试telnet管理员账户
2.PC1 ping dmz(时间设置为周末则应拒绝)
3.pc2 ping oa实现用户登录
