实验要求:
实现:
防火墙接口配置:
所有接口均配置为三层接口
由于G1/0/3口下为vlan环境,所以防火墙需要配置子接口 :
交换机划分vlan分开生产区和办公区、配置trunk干道 :
安全策略:
生产区访问dmz的策略:
办公区访问dmz的策略:
办公区的10.0.2.20不允许访问dmz区的ftp服务器和http服务器,只能ping通10.0.3.10,由于已经有了办公区访问dmz的策略,此时再写一条针对10.0.2.20的策略为,拒绝10.0.2.20访问dmz区的ftp,http服务,放在bg to dmz前
游客访问办公区:
创建用户组及用户:
设置认证策略:
认证选项改为首次登录需要修改密码,十天后账号过期:
