組網(wǎng)需求

如圖所示，某中型企業(yè)A購買一臺防火墻作為網(wǎng)關(guān)。由于其內(nèi)網(wǎng)員工眾多，根據(jù)權(quán)限不同劃分為研發(fā)部門、財(cái)經(jīng)部門、行政部門三大網(wǎng)絡(luò)。需要分別配置不同的安全策略。具體要求如下：

• 企業(yè)網(wǎng)絡(luò)已經(jīng)部署完成，不希望改變原來的網(wǎng)絡(luò)拓?fù)?，需要設(shè)備以二層模式接入網(wǎng)絡(luò)。

• 財(cái)經(jīng)部門禁止訪問Internet，研發(fā)部門只有部分員工可以訪問Internet，行政部門則全部可以訪問Internet。

• 三個部門的業(yè)務(wù)量差不多，所以為它們分配相同的虛擬系統(tǒng)資源。

數(shù)據(jù)規(guī)劃

操作步驟

1. 配置GE0/0/1和GE0/0/2為Trunk接口，并將接口加入VLAN。
   

   #?使用根系統(tǒng)管理員賬號登錄FW。
#?創(chuàng)建VLAN。
<FW>?system-view
[FW]?vlan?10
[FW-vlan-10]?quit
[FW]?vlan?20
[FW-vlan-20]?quit
[FW]?vlan?30
[FW-vlan-30]?quit
#?配置接口。
[FW]?interface?GigabitEthernet?0/0/1
[FW-GigabitEthernet0/0/1]?portswitch
[FW-GigabitEthernet0/0/1]?port?link-type?trunk
[FW-GigabitEthernet0/0/1]?port?trunk?allow-pass?vlan?10?20?30
[FW-GigabitEthernet0/0/1]?quit
[FW]?interface?GigabitEthernet?0/0/2
[FW-GigabitEthernet0/0/2]?portswitch
[FW-GigabitEthernet0/0/2]?port?link-type?trunk
[FW-GigabitEthernet0/0/2]?port?trunk?allow-pass?vlan?10?20?30
[FW-GigabitEthernet0/0/2]?quit


2. 根系統(tǒng)管理員分別創(chuàng)建虛擬系統(tǒng)vsysa、vsysb和vsysc，并為其分配VLAN。
   

   #?開啟虛擬系統(tǒng)功能。
[FW]?vsys?enable
#?配置資源類。
[FW]?resource-class?r1
[FW-resource-class-r1]?resource-item-limit?session?reserved-number?10000?maximum?50000
[FW-resource-class-r1]?resource-item-limit?policy?reserved-number?300
[FW-resource-class-r1]?resource-item-limit?user?reserved-number?300
[FW-resource-class-r1]?resource-item-limit?user-group?reserved-number?10
[FW-resource-class-r1]?quit
#?創(chuàng)建虛擬系統(tǒng)并分配資源。
[FW]?vsys?name?vsysa
[FW-vsys-vsysa]?assign?resource-class?r1
[FW-vsys-vsysa]?assign?vlan?10
[FW-vsys-vsysa]?quit
[FW]?vsys?name?vsysb
[FW-vsys-vsysb]?assign?resource-class?r1
[FW-vsys-vsysb]?assign?vlan?20
[FW-vsys-vsysb]?quit
[FW]?vsys?name?vsysc
[FW-vsys-vsysc]?assign?resource-class?r1
[FW-vsys-vsysc]?assign?vlan?30
[FW-vsys-vsysc]?quit


3. 根系統(tǒng)管理員為虛擬系統(tǒng)創(chuàng)建管理員。
   

   #?根系統(tǒng)管理員為虛擬系統(tǒng)vsysa創(chuàng)建管理員“admin@@vsysa”。
[FW]?switch?vsys?vsysa
<FW-vsysa>?system-view
[FW-vsysa]?aaa
[FW-vsysa-aaa]?manager-user?admin@@vsysa
[FW-vsysa-aaa-manager-user-admin@@vsysa]?password
Enter?Password:?????????????????????????????????????????????????????????????????
Confirm?Password:???????????????????????????????????????????????????????????????
[FW-vsysa-aaa-manager-user-admin@@vsysa]?service-type?web?telnet?ssh
[FW-vsysa-aaa-manager-user-admin@@vsysa]?level?15
[FW-vsysa-aaa-manager-user-admin@@vsysa]?quit
[FW-vsysa-aaa]?bind?manager-user?admin@@vsysa?role?system-admin
[FW-vsysa-aaa]?quit
[FW-vsysa]?quit
<FW-vsysa>?quit
參考上述步驟為虛擬系統(tǒng)vsysb和vsysc創(chuàng)建管理員“admin@@vsysb”和“admin@@vsysc”。


4. 研發(fā)部門的管理員為虛擬系統(tǒng)vsysa配置安全區(qū)域和安全策略。
   

   #?使用虛擬系統(tǒng)vsysa管理員賬號“admin@@vsysa”登錄設(shè)備，登錄后先修改密碼，然后再進(jìn)行下面的操作。
#?配置安全區(qū)域。
<vsysa>?system-view
[vsysa]?firewall?zone?trust
[vsysa-zone-trust]?add?interface?GigabitEthernet?0/0/2
[vsysa-zone-trust]?quit
[vsysa]?firewall?zone?untrust
[vsysa-zone-untrust]?add?interface?GigabitEthernet?0/0/1
[vsysa-zone-untrust]?quit
#?配置地址組。
[vsysa]?ip?address-set?ipaddress1?type?object
[vsysa-object-address-set-ipaddress1]?address?range?10.3.0.2?10.3.0.10
[vsysa-object-address-set-ipaddress1]?quit
#?配置安全策略，這條安全策略的作用是允許特定網(wǎng)段的員工訪問Internet。
[vsysa]?security-policy????????????????????????????????????????????????????????
[vsysa-policy-security]?rule?name?to_internet??????????????????????????????????
[vsysa-policy-security-rule-to_internet]?source-zone?trust?????????????????????
[vsysa-policy-security-rule-to_internet]?destination-zone?untrust??????????????
[vsysa-policy-security-rule-to_internet]?source-address?address-set?ipaddress1
[vsysa-policy-security-rule-to_internet]?action?permit?????????????????????????
[vsysa-policy-security-rule-to_internet]?quit
#?配置安全策略，這條安全策略的作用是禁止所有員工訪問Internet的策略。這條策略的優(yōu)先級將比前一條低，所以不需要詳細(xì)指定地址范圍。
[vsysa-policy-security]?rule?name?to_internet2??????????????????????????????????
[vsysa-policy-security-rule-to_internet2]?source-zone?trust?????????????????????
[vsysa-policy-security-rule-to_internet2]?destination-zone?untrust??????????????
[vsysa-policy-security-rule-to_internet2]?action?deny?????????????????????????
[vsysa-policy-security-rule-to_internet2]?quit??????????????????????????????????
[vsysa-policy-security]?quit


5. 財(cái)經(jīng)部門和行政部門的管理員分別使用管理員賬號“admin@@vsysb”和“admin@@vsysc”登錄設(shè)備，為虛擬系統(tǒng)vsysb、vsysc配置IP地址、安全區(qū)域及策略。
   

   具體配置過程與研發(fā)部門類似，主要有以下幾點(diǎn)區(qū)別。

   o? 財(cái)經(jīng)部門直接配置一條禁止10.3.1.2～10.3.1.254地址段訪問Internet的安全策略即可。

   o? 行政部門直接配置一條允許10.3.2.2～10.3.2.254地址段訪問Internet的安全策略即可。

6. 結(jié)果驗(yàn)證
   

   ?從研發(fā)部門的內(nèi)網(wǎng)選擇一臺允許訪問Internet的主機(jī)，和一臺不允許訪問Internet的主機(jī)，如果訪問結(jié)果符合預(yù)期，說明vsysa的安全策略的配置正確。

   ? 從財(cái)經(jīng)部門的內(nèi)網(wǎng)主動訪問Internet，如果訪問失敗，說明vsysb的安全策略配置正確。

   ? 從行政部門的內(nèi)網(wǎng)主動訪問Internet，如果能夠訪問成功，說明vsysc安全策略配置正確。