当前位置: 首页 > article >正文

防御保护第一次实验:安全策略配置

article 2025/1/30 10:45:14

一、实验拓扑

在这里插入图片描述

二、实验要求

在这里插入图片描述

三、需求分析

1.创建两个vlan
2.在ENSP中配置基于时间的ACL实现对于办公区PC访问OA Server的时间限制(工作日早8到晚6)。
3.通过配置基于MAC地址的ACL来实现对于生产区PC访问Web Server的限制(除PC3外不能访问)。
4.在三层交换机上配置不同VLAN的接口IP地址,并启用路由功能,以确保不同VLAN之间能够进行通信。同时,要为OA Server和Web Server配置相应的IP地址和网关,使它们能够在网络中被正确识别和访问。

四、实验配置

1.配置vlan与access、truck接口

[sw1]vlan 2
[sw1]vlan 3
[sw1]interface GigabitEthernet 0/0/1
[sw1-GigabitEthernet0/0/1]port link-type trunk
[sw1-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[sw1-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2
[sw1-GigabitEthernet0/0/2]port link-type access
[sw1-GigabitEthernet0/0/2]port default vlan 2
[sw1-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/3
[sw1-GigabitEthernet0/0/3]port link-type access
[sw1-GigabitEthernet0/0/3]port default vlan 3
[sw1-GigabitEthernet0/0/3]interface GigabitEthernet 0/0/4
[sw1-GigabitEthernet0/0/4]port link-type access
[sw1-GigabitEthernet0/0/4]port default vlan 3

2.web

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

[FW]interface GigabitEthernet 1/0/1.1
[FW-GigabitEthernet1/0/1.1]service-manage ping permit
[FW-GigabitEthernet1/0/1.1]interface GigabitEthernet 1/0/1.2
[FW-GigabitEthernet1/0/1.2]service-manage ping permit

3.安全策略

办公区pc在工作日时间可以正常访问oa区其他时间不允许
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
办公区pc可以任意时刻访问web区
在这里插入图片描述
在这里插入图片描述

生产区pc可以任意时刻访问oa,但是不能访问web
在这里插入图片描述
在这里插入图片描述
生产区pc可以在每周一早10-11访问web,用来更新企业最新产品信息

在这里插入图片描述
在这里插入图片描述

使用ensp完成的方法

接口配置
[FW]interface GigabitEthernet 1/0/0
[FW-GigabitEthernet1/0/0]ip address 10.0.0.254 24
[FW]interface GigabitEthernet 1/0/1.1
[FW-GigabitEthernet1/0/1.1]ip address 192.168.1.126 25
[FW-GigabitEthernet1/0/1.1]vlan-type dot1q 2
[FW-GigabitEthernet1/0/1.1]interface GigabitEthernet 1/0/1.2
[FW-GigabitEthernet1/0/1.2]ip address 192.168.1.254 25
[FW-GigabitEthernet1/0/1.2]vlan-type dot1q 3
[FW]firewall zone dmz
[FW-zone-dmz]add interface GigabitEthernet 1/0/0
[FW]firewall zone trust
[FW-zone-trust]add interface GigabitEthernet 1/0/1.1
[FW-zone-trust]add interface GigabitEthernet 1/0/1.2
[FW]display zone
[FW]interface GigabitEthernet 1/0/1.1
[FW-GigabitEthernet1/0/1.1]service-manage ping permit
[FW-GigabitEthernet1/0/1.1]interface GigabitEthernet 1/0/1.2
[FW-GigabitEthernet1/0/1.2]service-manage ping permit
安全策略配置
[FW]ip address-set bg 
[FW-object-address-set-bg]address 192.168.1.0 mask 25
[FW]ip address-set oa
[FW-object-address-set-oa]address 10.0.0.1 mask 32

[FW]time-range work
[FW-time-range-work]period-range 08:00:00 to 18:00:00 working-day
[FW]security-policy
[FW-policy-security]rule name polic1
[FW-policy-security-rule-polic1]description bg_to_oa
[FW-policy-security-rule-polic1]source-zone trust
[FW-policy-security-rule-polic1]destination-zone dmz
[FW-policy-security-rule-polic1]source-address address-set bg
[FW-policy-security-rule-polic1]destination-address address-set oa
[FW-policy-security-rule-polic1]time-range work
[FW-policy-security-rule-polic1]action permit


办公区pc可以任意时刻访问web区
[FW]ip address-set web
[FW-object-address-set-web]address 10.0.0.2 mask 32
[FW]security-policy
[FW-policy-security]rule name polic2
[FW-policy-security-rule-polic2]description bg_to_web
[FW-policy-security-rule-polic2]source-zone trust
[FW-policy-security-rule-polic2]destination-zone dmz
[FW-policy-security-rule-polic2]source-address address-set bg
[FW-policy-security-rule-polic2]destination-address address-set web
[FW-policy-security-rule-polic2]action permit

生产区pc可以任意时刻访问oa,但是不能访问web
[FW]ip address-set sc
[FW-object-address-set-sc]address 192.168.1.128 mask 25
[FW]security-policy
[FW-policy-security]rule name polic3
[FW-policy-security-rule-polic3]description sc_to_oa
[FW-policy-security-rule-polic3]source-zone trust
[FW-policy-security-rule-polic3]destination-zone dmz
[FW-policy-security-rule-polic3]source-address address-set sc
[FW-policy-security-rule-polic3]destination-address address-set oa
10.0.0.1 32[FW-policy-security-rule-polic3]action permit

生产区pc可以在每周一早10-11访问web,用来更新企业最新产品信息
[FW]time-range update
[FW-time-range-update]period-range 10:00:00 to 11:00:00 Mon
[FW]security-policy
[FW-policy-security]rule name polic4
[FW-policy-security-rule-polic4]description sc_to_web
[FW-policy-security-rule-polic4]source-zone trust
[FW-policy-security-rule-polic4]destination-zone dmz
[FW-policy-security-rule-polic4]source-address address-set sc
[FW-policy-security-rule-polic4]destination-address address-set web
[FW-policy-security-rule-polic4]time-range update
[FW-policy-security-rule-polic4]action permit

五、结果测试

1.办公区PC访问OA Server

工作时间:成功
在这里插入图片描述

其他时间:失败
在这里插入图片描述

2.办公区PC访问Web Server

任意时间:成功
在这里插入图片描述

3.生产区PC访问OA Server

任意时间:成功
在这里插入图片描述
在这里插入图片描述

4.生产区PC访问Web Server

周一早10-11:成功
在这里插入图片描述

在这里插入图片描述

其他时间:失败
在这里插入图片描述
在这里插入图片描述

查看会话表和server-map表

在这里插入图片描述
在这里插入图片描述


http://www.kler.cn/a/524575.html

相关文章:

  • 基于 AWS SageMaker 对 DeepSeek-R1-Distilled-Llama-8B 模型的精调与实践
  • WebSocket 详解:全双工通信的实现与应用
  • HTML特殊符号的使用示例
  • 【javaweb项目idea版】蛋糕商城(可复用成其他商城项目)
  • Qt文件操作
  • JAVA实战开源项目:蜗牛兼职平台(Vue+SpringBoot) 附源码
  • 【漫话机器学习系列】067.希腊字母(greek letters)-写法、名称、读法和常见用途
  • 【越学学糊涂的Linux系统】Linux指令篇(二)
  • Go学习:类型转换需注意的点 以及 类型别名
  • 嵌入式Linux:如何监视子进程
  • 使用 concurrently 实现前后端一键启动
  • 深入理解 C 语言基本数据类型:从常量变量到输入输出
  • STM32 PWM驱动舵机
  • 【信息系统项目管理师-选择真题】2007下半年综合知识答案和详解
  • Leetcode45:跳跃游戏 II
  • SpringBoot 中的测试jar包knife4j(实现效果非常简单)
  • 关于opencv环境搭建问题:由于找不到opencv_worldXXX.dll,无法执行代码,重新安装程序可能会解决此问题
  • 基于django的智能停车场车辆管理深度学习车牌识别系统
  • 如何把obsidian的md文档导出成图片,并加上文档属性
  • 从源码中学习包的命名
  • 剑指 Offer II 001. 整数除法
  • 步进电机加减速公式推导
  • three.js用粒子使用canvas生成的中文字符位图材质
  • 【Proteus仿真】【51单片机】简易计算器系统设计
  • python-leetcode-从中序与后序遍历序列构造二叉树
  • 【Spark速通】