当前位置: 首页 > article >正文

网络防御高级02-综合实验

article 2025/2/10 11:52:27

web页面:

[FW]interface GigabitEthernet 0/0/0    
[FW-GigabitEthernet0/0/0]service-manage all permit 

 需求一,接口配置:

SW2:

[Huawei]sysname SW2

1.创建vlan
[sw2]vlan 10    
[sw2]vlan 20

2.接口配置
[sw2]interface GigabitEthernet 0/0/1
[sw2-GigabitEthernet0/0/1]port link-type trunk     
[SW2-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 

[sw2]interface GigabitEthernet 0/0/2
[sw2-GigabitEthernet0/0/2]port link-type access
[sw2-GigabitEthernet0/0/2]port default vlan 10
[sw2-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/3
[sw2-GigabitEthernet0/0/3]port link-type access    
[sw2-GigabitEthernet0/0/3]port default vlan 20

 fw:

[FW]interface GigabitEthernet 1/0/0
[FW-GigabitEthernet1/0/0]ip add    
[FW-GigabitEthernet1/0/0]ip address 10.0.0.254 24

[FW]interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2]ip address 100.1.1.10 24

[FW]interface GigabitEthernet 1/0/1.1
[FW-GigabitEthernet1/0/1.1]ip address 172.16.1.254 24    
[FW-GigabitEthernet1/0/1.1]vlan-type dot1q 10

 g1/0/1.2:web页面:

OA Server:

Web Server:

DNS Server:

百度服务器 :

Clinet1:dhcp

Clinet2:

Clinet3:dhcp

pc1:

pc2:dhcp

需求二,DHCP:

在FW上启动DHCP功能,并配置不同的全局地址池,为接入网络的终端设备分配IP地址。
Client1、Client3和PC2通过DHCP获取地址信息。Client2和PC1手工静态配置。
Client1必须通过DHCP获取172.16.1.90/24地址。

如果配置dhcp无法获取地址,可以给g1/0/1配置IP在删除就好*******
因为只有主接口处于工作状态是副接口才会正常股工作**8**

[FW]dhcp enable ----开启dhcp

在web界面配置dhcp是只支持接口方式,分配的地址范围必须是接口IP地址所
在的网段。并且--->需要手工在命令行界面开启dhcp功能才行。
[FW]interface GigabitEthernet 1/0/1.1---对应接口激活dhcp
[FW-GigabitEthernet1/0/1.1]dhcp select interface

[FW-GigabitEthernet1/0/1.1]interface GigabitEthernet 1/0/1.2
[FW-GigabitEthernet1/0/1.2]dhcp select interface 

 Client1必须通过DHCP获取172.16.1.90/24地址。(将1.90和client1的mac地址绑定)

web页面:(如果client1已经dhcp分配ip可以先改为静态等修改高级将ip和mac绑定后在改为dhcp)

clent1:IP:


[FW]display ip pool interface GigabitEthernet1/0/1.1---查看地址池g1/0/1.1

GigabitEthernet1/0/1.2(dhcp补全信息(网关和dns还有保留pc1的ip 2.100)):

 命令行(全局):例子

[FW]ip pool 1
[FW-ip-pool-1]network 1.1.1.0 mask 24
[FW-ip-pool-1]gateway-list 1.1.1.254    
[FW-ip-pool-1]dns-list 1.1.1.1
[FW-ip-pool-1]static-bind ip-address 1.1.1.100 mac-address mac地址

需求三,防火墙安全区域划分:

web页面:

Trust_A:

Trust_B:
[FW]firewall zone name Trust_B---创建区域    
[FW-zone-Trust_B]set priority 80---设置优先级
[FW-zone-Trust_B]add interface GigabitEthernet 1/0/1.2--划分接口

DMZ:
[FW]firewall zone dmz     
[FW-zone-dmz]add interface GigabitEthernet 1/0/0

Untrust:
[FW]firewall zone untrust 
[FW-zone-untrust]add interface GigabitEthernet 1/0/2

 需求四,防火墙地址组信息:

DMZ_Server:


Trust_A_address:


Trust_B_address:


OA Server:


Web Server:


DNS Server:


Client1(高管):


Client2(财务部):


Client3(运维部)172.16.1.0/24需要去除172.16.1.90和172.16.1.100。
:


PC1(技术部):


PC2(市场部)172.16.2.0/24需要去除172.16.2.100。
:


管理员:

需求五,管理员:

防火墙开启telnet:

对应接口开启telnet功能:
web:

 命令行:
[FW-GigabitEthernet1/0/1.1]service-manage telnet permit

 开启telnet服务:

web:

命令行:
[FW]telnet server enable

telnet配置:

[FW]user-interface vty 0 4    
[FW-ui-vty0-4]protocol inbound telnet ---这里只要把入服务改为telnet,其他的已经有了

在sw2上创建172.16.1.10来测试telnet

[SW2]interface Vlanif 10
[SW2-Vlanif10]ip address 172.16.1.10 24

结果:

管理员:

创建管理员:

web:

需求六,用户认证配置:

 认证域openlab:

用户组:

部门A:

部门B:

高级管理者:

运维部 :

财务部 :

技术部:

市场部:

用户信息:

高管用户:

运维部用户:

财务部用户:

技术部用户:

市场部用户:

认证策略:

policy_auth_01:

policy_auth_02:

policy_auth_03:

policy_auth_04:(客户端模拟的浏览器,所有的数据基于tcp建立连接访问,所以数据看作一条数据流,一条数据流认证过一次即可所以认证策略命中次数为1,而pc发的ping包每个报文之间没有关系所以命中很多次

policy_auth_05:

policy_auth_06:

policy_auth_07:(这里测试ping通是因为上一条是匿名认证通过了所以在用这个用户去ping其他人就不会二次认证,所以能通,建议调到po6上面

认证策略仅仅是让防火墙来判断那些用户可以正常访问网络资源,并且方便对所有用户进行管理。只要你是合法通过认证的用户,就可以访问网络资源。---认证策略并不能阻挡对网络资源的访问能力,该能力由安全策略来实现

测试时把默认安全策略改为:允许(测试完要改回拒绝)

认证策略界面:(默认改为pot认证,把po7调到po6上面因为认证规则不一样)

首次登录必须修改密码:

需求七,安全策略配置:

policy_01:

policy_02:

自定义服务:

policy_03:

policy_04:

policy_05:

policy_06:

no_worktime(工作日,0-8;18-23):

policy_07:

policy_08:

policy_09:

policy_010:

policy_011:

weekend(周六周日全天):

测试:(将所以的认证策略不启用,默认改为不认证,方便测试)

有telnet,dns,http,https,dhcp的不好测试

policy_01:

policy_02:

policy_03:

dns配置:

83

[FW]display firewall session table 

[FW]display firewall session table verbose----会话信息

81,82(包)

 

 

 

 

policy_04:

policy_05:

财务-OA

79

policy_06:将时间改为any方便测试:

policy_07:

policy_08:

policy_09:

服务器随便选一个文件夹启动就好(OA)

技术-OA

78,77

 

policy_010:

policy_011:

web安全策略界面,安全策略命中次数:

有telnet,dns,http,https,dhcp的不好测试

补测http和https(po3,po5和po9)

80


http://www.kler.cn/a/539211.html

相关文章:

  • Jenkins数据备份到windows FTP服务器
  • 字符串高频算法:无重复字符的最长子串
  • xss闯关
  • 【Pandas】pandas Series sum
  • 33. 搜索旋转排序数组
  • 电商行业的新篇章:3D和AR技术助力销售转化率提升!
  • 代码随想录(二叉树所有题解)
  • SpringMVC SpringMVC拦截器 拦截器基础知识
  • 【服务器知识】linux环境下安装docker
  • kubernetes 集群搭建(kubeadm方式)
  • BUUCTF_[RoarCTF 2019]Easy Calc(RCE/waf绕过/PHP字符串解析特性/代码审计)
  • webpack配置之---入口
  • 基于深度学习的视觉检测小项目(十八) 图像标注界面的初步规划
  • 深入浅出:机器学习的全面解析
  • 离散型变量的 PSI-群体稳定性指标计算
  • C# 创建 Windows 应用程序教程
  • 辛格迪客户案例 | 安领生物医药(苏州)有限公司电子合约系统(eSign)项目
  • 洛谷P8681 [蓝桥杯 2019 省 AB] 完全二叉树的权值
  • 李飞飞团队 S1 与 DeepSeek R1 技术对比
  • 基于Python实现的完整解决方案,用于对包含四个类别的1500张图像数据集进行分割、训练模型,并提供简易前端和可视化结果
  • Java 网络原理 ⑤-DNS || 以太网
  • 【RocketMQ 存储】- 异步刷盘服务 FlushRealTimeService
  • Python 报错分析:IndexError: list index out of range
  • Node.js 中模块化
  • 什么是Prompt工程?
  • 蓝耘智算平台与DeepSeek R1模型:推动深度学习发展