防御综合实验

一、实验拓补图

二、实验需求及配置

需求一

设备	接口	VLAN	接口类型
SW2	GE0/0/2	VLAN 10	Access
	GE0/0/3	VLAN 20	Access
	GE0/0/1	VLAN List : 10 20	Trunk

[SW2]vlan 10
[SW2]vlan 20
[SW2]interface GigabitEthernet 0/0/2
[SW2-GigabitEthernet0/0/2]port link-type access 
[SW2-GigabitEthernet0/0/2]port default vlan 10
[SW2]interface GigabitEthernet 0/0/3
[SW2-GigabitEthernet0/0/3]port link-type access
[SW2-GigabitEthernet0/0/3]port default vlan 20
[SW2]interface GigabitEthernet 0/0/1
[SW2-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20

设备	接口	VLAN	IP
FW	GE1/0/1.1	10	172.16.1.254/24
	GE1/0/1.2	20	172.16.2.254/24
	GE1/0/0	/	10.0.0.254/24
	GE1/0/2	/	100.1.1.10/24
OA Server	Ethernet0/0/0		10.0.0.10/24
Web Server	Ethernet0/0/0		10.0.0.20/24
DNS Server	Ethernet0/0/0		10.0.0.30/24

[FW]interface GigabitEthernet 0/0/0
[FW-GigabitEthernet0/0/0]ip address 192.168.100.1 24
[FW-GigabitEthernet0/0/0]service-manage all permit 
[FW] interface GigabitEthernet 1/0/1.1
[FW-GigabitEthernet1/0/1.1] vlan-type dot1q 10  # 绑定VLAN 10
[FW-GigabitEthernet1/0/1.1] ip address 172.16.1.254 24  # 配置IP地址
[FW] interface GigabitEthernet 1/0/1.2
[FW-GigabitEthernet1/0/1.2] vlan-type dot1q 20  # 绑定VLAN 20
[FW-GigabitEthernet1/0/1.2] ip address 172.16.2.254 24  # 配置IP地址
[FW] interface GigabitEthernet 1/0/0
[FW-GigabitEthernet1/0/0] ip address 10.0.0.254 24  # 配置IP地址
[FW] interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2] ip address 100.1.1.10 24  # 配置IP地址

设备	接口	IP
百度服务器	Ethernet0/0/0	100.1.1.1/24
Clinet2	Ethernet0/0/0	172.16.1.100/24
PC1	Ethernet0/0/1	172.16.2.100/24

需求二:配置DHCP协议,具体要求如下

1.在FW上启动DHCP功能，并配置不同的全局地址池，为接入网络的终端设备分配IP地址。

2.Client1、Client3和PC2通过DHCP获取地址信息。

3.Client1必须通过DHCP获取172.16.1.90/24地址。

设备	接口	IP
Clinet1	Ethernet0/0/0	DHCP 获取 (172.16.1.90/24)
Clinet3	Ethernet0/0/0	DHCP 获取
PC2	Ethernet0/0/1	DHCP 获取

地址池名称	网段 / 掩码	网关	DNS
dhcp-a	172.16.1.0/24	172.16.1.254	10.0.0.30
dhcp-b	172.16.2.0/24	172.16.2.254	10.0.0.30

[FW]dhcp enable 
[FW]interface GigabitEthernet 1/0/1.1
[FW-GigabitEthernet1/0/1.1]dhcp select interface 
[FW]interface GigabitEthernet 1/0/1.2
[FW-GigabitEthernet1/0/1.2]dhcp select interface

[FW]display ip pool
2025-08-02 10:54:34.420  -------------------------------------------------------------------------------
------Pool-name        : GigabitEthernet1/0/1.1Pool-No          : 0Lease            : 1 Days 0 Hours 0 MinutesPosition         : Interface       Status           : UnlockedGateway-0        : 172.16.1.254    Network          : 172.16.1.0Mask             : 255.255.255.0Conflicted address recycle interval: -Address Statistic: Total       :253       Used        :0          Idle        :253       Expired     :0          Conflict    :0         Disabled    :0      -------------------------------------------------------------------------------
------Pool-name        : GigabitEthernet1/0/1.2Pool-No          : 1Lease            : 1 Days 0 Hours 0 MinutesPosition         : Interface       Status           : UnlockedGateway-0        : -               Network          : 172.16.2.0Mask             : 255.255.255.0Conflicted address recycle interval: -Address Statistic: Total       :254       Used        :0          Idle        :254       Expired     :0          Conflict    :0         Disabled    :0      IP address StatisticTotal       :507    Used        :0          Idle        :507    Expired     :0          Conflict    :0          Disabled  :0

查看Client1，发现未获取到IP地址

解决方法：给FW GE1/0/1接口配置IP地址

需求三:防火墙安全区域配置

设备	接口	安全区域	优先级
FW	GE1/0/1	Trust_A	70
	GE1/0/1.2	Trust_B	80
	GE1/0/0	DMZ	默认
	GE1/0/2	Untrust	默认

需求四:防火墙地址组信息

设备	地址	地址族	描述信息
OA Server	10.0.0.10/32	DMZ_Server	DMZ 区域的 OA 服务器
Web Server	10.0.0.20/32	DMZ_Server	DMZ 区域的 Web 服务器
DNS Server	10.0.0.30/32	DMZ_Server	DMZ 区域的 DNS 服务器
Client1 (高管)	172.16.1.90/32	Trust_A_address	高管
Client2 (财务部)	172.16.1.100/32	Trust_A_address	财务部
PC1 (技术部)	172.16.2.100/32	Trust_B_address	技术部
PC2 (市场部)	172.16.2.0/24 需要去除 172.16.2.100 ｡	Trust_B_address	市场部
管理员	172.16.1.10/32	Trust_A_address

新建地址

需求五:管理员

为FW配置一个配置管理员｡要求管理员可以通过Telnet登录到CLI界面对FW进行管理和维护｡FW对管理员进行本地认证｡

项目	数据	说明
管理员账号密码	账号: vtyadmin 密码: admin@123
管理员 PC 的 IP 地址	172.16.1.10/24
角色	service-admin	拥有业务配置和设备监控权限｡
管理员信任主机	172.16.1.0/24	登录设备的主机 IP 地址范围
认证类型	本地认证

名称	权限控制项
service-admin		策略､对象､网络：读写操作
	面板､监控､系统：无

开启Telnet功能

[FW-GigabitEthernet1/0/1.1]service-manage telnet permit 
[FW-GigabitEthernet1/0/1.1]display this
2025-08-02 12:32:16.750 
#
interface GigabitEthernet1/0/1.1vlan-type dot1q 10ip address 172.16.1.254 255.255.255.0service-manage telnet permitdhcp select interfacedhcp server ip-range 172.16.1.1 172.16.1.254dhcp server gateway-list 172.16.1.254dhcp server excluded-ip-address 172.16.1.100dhcp server static-bind ip-address 172.16.1.90 mac-address 5489-98b9-3c45dhcp server dns-list 10.0.0.30
#
return

创建管理员

开启Telnet服务

[FW]telnet server enable 
[FW]user-interface vty 0 4
[FW-ui-vty0-4]protocol inbound telnet

需求六:用户认证配置

1、部门A分为运维部、高层管理、财务部；其中，财务部IP地址为静态IP。高管地址DHCP固定分配。

2、部门B分为研发部和市场部；研发部IP地址为静态IP

3、新建一个认证域，所有用户属于认证域下组织架构

4、根据下表信息，创建企业组织架构

5、用户密码统一为admin@123 6、首次登录必须修改密码

项目	数据
认证域	名称: openlab 认证方案: Portal 接入控制：上网行为管理新用户认证选项：使用 /openlab 组权限
用户组信息
部门 A	用户组组名: A 用户组所属组: /openlab
部门 B	用户组组名: B 用户组所属组: /openlab
高级管理者	用户组组名: manager 用户组所属组: /openlab/A
运维部	用户组组名: DevOps 用户组所属组: /openlab/A
财务部	用户组组名: FD 用户组所属组: /openlab/A
技术部	用户组组名: TD 用户组所属组: /openlab/B
市场部	用户组组名: MD 用户组所属组: /openlab/B
用户信息
高管用户	用户登录名：user_001 用户显示名：Super_user 用户所属组：/openlab/A/manager 不允许多人同时使用该账号登录 IP/MAC绑定方式：双向绑定 IP/MAC地址：Client1的MAC
运维部用户	用户登录名：DevOps_001 用户显示名：张三用户所属组：/openlab/A/DevOps 不允许多人同时使用该账号登录
财务部用户	用户登录名：FD_001 用户显示名：李四用户所属组：/openlab/A/FD IP/MAC绑定方式：双向绑定 IP/MAC地址：172.16.1.100 不允许多人同时使用该账号登录
技术部用户	用户登录名：TD_001...TD_003 用户所属组：/openlab/B/TD 允许多人同时使用该账号登录
市场部用户	用户登录名：MD_001...MD_005 用户所属组：/openlab/B/MD 不允许多人同时使用该账号登录账号过期时间：10天

编写用户信息

编写认证策略

1、高级管理者访问任何区域时，需要使用免认证。

2、运维部访问DMZ区域时，需要进行Portal认证。

3、技术部和市场部访问DMZ区域时，需要使用匿名认证。

4、财务部访问DMZ区域时，使用不认证。

5、运维部和市场部访问外网时，使用Portal认证。

6、财务部和技术部不能访问外网环境。故不需要认证策略

项目	数据
高级管理者认证策略	名称: policy_auth_01 描述：高级管理者认证策略源安全区域: Trust_A 目的安全区域: any 源地址 / 地区 :Client1 目的地址 / 地区: any 认证动作：免认证
运维部认证策略	名称: policy_auth_02 描述：运维部 _to_DMZ 源安全区域: Trust_A 目的安全区域: dmz 源地址 / 地区 :Client3 目的地址 / 地区: DMZ_Server 认证动作: Portal 认证
	名称: policy_auth_03 描述：运维部 _to_Untrust 源安全区域: Trust_A 目的安全区域: untrust 源地址 / 地区 :Client3 目的地址 / 地区: any 认证动作: Portal 认证
技术部认证策略	名称: policy_auth_04 描述：技术部 _to_DMZ 源安全区域: Trust_B 目的安全区域: dmz 源地址 / 地区 :PC1 目的地址 / 地区: DMZ_Server 认证动作：匿名认证
财务部认证策略	名称: policy_auth_05 描述：财务部 _to_DMZ 源安全区域: Trust_A 目的安全区域: dmz 源地址 / 地区 :Client2 目的地址 / 地区: DMZ_Server 认证动作：不认证
市场部认证策略	名称: policy_auth_06 描述：市场部 _to_DMZ 源安全区域: Trust_B 目的安全区域: dmz 源地址 / 地区 :PC2 目的地址 / 地区: DMZ_Server 认证动作：匿名认证
	名称: policy_auth_07 描述：市场部 _to_Untrust 源安全区域: Trust_B 目的安全区域: untrust 源地址 / 地区 :PC2 目的地址 / 地区: any 认证动作: Portal 认证

需求七:安全策略配置

1、配置Telnet策略

2、配置DHCP策略

3、配置DNS策略

4、部门A中分为三个部门，运维部、高管、财务:

a.运维部允许随时随地访问DMZ区域，并对设备进行管理；

b.高管和财务部仅允许访问DMZ区域的OA和Web服务器，并且只有HTTP和HTTPS权限。

c.运维部允许在非工作时间访问互联网环境

d.高管允许随时访问互联网环境

e.财务部任何时间都不允许访问互联网环境

5、部门B分为两个部门，技术部和市场部:

a.技术部允许访问DMZ区域中的web服务器，并进行管理

b.技术部和市场部允许访问DMZ区域中的OA服务器，并且只有HTTP和HTTPS权限。

c.市场部允许访问互联网环境

6、每周末公司服务器需要检修维护，允许运维部访问；即，每周末拒绝除运维部以外的流量访问DMZ区域。

7、部门A和部门B不允许存在直接访问流量，如果需要传输文件信息，则需要通过OA服务器完成。---依靠默认规则拒绝

策略名称	项目
policy_01	描述：防火墙 telnet 管理源安全区域: Trust_A 目的安全区域: Local 源地址：管理员目的地址: any 服务: telnet 动作：允许
policy_02	描述: DHCP 协议源安全区域: Trust_A , Trust_B 目的安全区域: Local 源地址: any 目的地址: any 服务：自定义服务 (UDP 、 67/68) 动作：允许
policy_03	描述: DNS 协议源安全区域: Trust_A,Trust_B 目的安全区域: dmz 源地址: Trust_A_address 、 Trust_B_address 目的地址: DNS Server 服务: DNS 动作：允许
policy_04	描述：运维部_to_DMZ 源安全区域: Trust_A 目的安全区域: dmz 源地址: Client3 目的地址: DMZ_Server 动作：允许
policy_05	描述：高管和财务部_to_DMZ 源安全区域: Trust_A 目的安全区域: dmz 源地址: Client1 、 Client2 目的地址: OA Server 、 Web Server 服务: HTTP 、 HTTPS 动作：允许
policy_06	描述：运维部_to_Untrust 源安全区域: Trust_A 目的安全区域: untrust 源地址: Client3 目的地址: any 时间段: no_worktime (工作日，0-8 ; 18-23) 动作：允许
policy_07	描述：高管_to_Untrust 源安全区域: Trust_A 目的安全区域: untrust 源地址: Client1 目的地址: any 动作：允许
policy_08	描述：技术部_to_web 源安全区域: Trust_B 目的安全区域: dmz 源地址: PC1 目的地址: Web Server 动作：允许
policy_09	描述：技术部和市场部_to_oa 源安全区域: Trust_B 目的安全区域: dmz 源地址: PC1 、 PC2 目的地址: OA Server 服务: HTTP 、 HTTPS 动作：允许
policy_10	描述：市场部_to_Untrust 源安全区域: Trust_B 目的安全区域: untrust 源地址: PC2 目的地址: any 动作：允许
policy_11	描述：运维检修源安全区域: Trust_A,Trust_B 目的安全区域: dmz 源地址: Client1、Client2、PC1、PC2 目的地址: DMZ_Server 时间段: weekend (周六周日全天) 动作：拒绝