ネットワークセキュリティ実験:ファイアウォールによるゾーンベースのアクセス制御設定

実験トポロジー図

実験要件

  1. DMZゾーン内のサーバーは、オフィスエリアからのみ業務時間(9:00 - 18:00)にアクセス可能。生産エリアのデバイスは24時間アクセス可能。
  2. 生産エリアはインターネットアクセスを禁止。オフィスエリアと来訪者エリアはインターネットアクセスを許可。
  3. オフィスエリアのデバイス10.0.2.10は、DMZゾーンのFTPサーバーとHTTPサーバーにアクセス不可。10.0.3.10へのpingのみ許可。
  4. オフィスエリアを市場部と開発部に分割。市場部は固定IPアドレスを使用し、匿名認証でDMZゾーンにアクセス。開発部はIPアドレスバインディングが必要で、認証不要でDMZゾーンにアクセス。来訪者エリアは不特定多数のため、DMZゾーンと生産エリアへのアクセスを禁止。Guestユーザーでログイン(パスワード:Admin@123)。
  5. 生産エリアがDMZゾーンにアクセスする際は、Portal認証が必要。生産エリアユーザー組織構造を設定し、少なくとも3つの部門、各部門に3人のユーザーを含める。ユーザーは統一パスワードopenlab123を使用し、初回ログイン時にパスワード変更が必要。ユーザー有効期限は10日間、複数デバイスでの同時使用を禁止。
  6. カスタム管理者を作成し、システム管理機能を付与しない。

実験アプローチ

  1. IP設定を行い、イーサネットを作成。cloudにポートを追加し、ファイアウォールを設定(すべてのサービスを許可、ログインパスワードを変更)。
  2. VLAN分割を実施。
  3. ファイアウォールのインターフェース設定を行う。
  4. openlabゾーン(オフィスエリア、生産エリア、来訪者エリア)を作成し、対応する認証と権限を設定(市場部、開発部はIPアドレス固定)。
  5. 実験要件を満たすためのセキュリティポリシーを作成。
  6. 管理者を作成。

実験プロセス

  1. ステップ1:関連デバイスの設定

サーバー:

PC:

クライアント:

cloud2:

ファイアウォールの設定(すべてのサービスを許可、ログインパスワードを変更):

[FW-GigabitEthernet0/0/0]service-manage all permit  # すべてのサービスを許可
  1. ステップ2:VLAN分割
[SW]vlan batch 10 20

[SW-GigabitEthernet0/0/2]port link-type access

[SW-GigabitEthernet0/0/2]port default vlan 10

[SW-GigabitEthernet0/0/3]int g 0/0/3

[SW-GigabitEthernet0/0/3]port link-type access

[SW-GigabitEthernet0/0/3]port default vlan 20

[SW-GigabitEthernet0/0/1]interface GigabitEthernet0/0/1

[SW-GigabitEthernet0/0/1]port link-type trunk

[SW-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20

[SW-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1  # 関係のないVLANを無効化
  1. ステップ3:ファイアウォールインターフェース設定

3.1 インターフェースの分割 G1/0/0インターフェース: G1/0/3インターフェース:

それぞれ生産エリアとオフィスエリアを作成

3.2 作成後のインターフェースリストの表示:

  1. ステップ4:セキュリティポリシー設定

4.1 生産エリアのインターネットアクセスポリシー - 設定不要

4.2 オフィスエリアポリシー オフィスエリアのデバイス10.0.2.10がDMZゾーンのFTPサーバーとHTTPサーバーにアクセスできないようにする。10.0.3.10へのpingのみ許可。

拒否ポリシー:

[FW]policy interzone office dmz outbound deny service ftp http

許可pingポリシー:

[FW]policy interzone office dmz outbound permit service icmp
  1. ステップ5:管理者の作成 ユーザーを作成し、管理者として設定
[FW]user-manager
[FW-user-manager]admin create username custom_admin password Admin@123 level 3
  1. 検証

6.1 オフィスエリアの10.0.2.10は10.0.3.10のみping可能:

ping 10.0.3.10

応答が正常に返ってくれば成功です!

タグ: ファイアウォール VLAN ゾーンベースアクセス制御 ネットワークセキュリティ インターフェース設定

6月13日 17:36 投稿

ホットタグ

©2026 異端開発室