Cấu hình mạng doanh nghiệp yêu cầu thiết lập chính sách truy cập chi tiết giữa các khu vực: DMZ, văn phòng, sản xuất và khách. Dưới đây là các bước triển khai chi tiết:
Yêu cầu chính:
- Máy chủ DMZ chỉ truy cập được từ khu văn phòng trong khung 9:00-18:00; khu sản xuất có quyền truy cập 24/7.
- Khu sản xuất bị chặn truy cập Internet, khu văn phòng và khách được phép.
- Thiết bị 10.0.2.10 trong khu văn phòng không được truy cập FTP/HTTP tại DMZ, chỉ ping được 10.0.3.10.
- Khu văn phòng chia thành Phòng Kinh doanh và Phòng Nghiên cứu: Phòng Nghiên cứu có IP cố định, truy cập DMZ bằng xác thực ẩn danh; khu khách không cố định, không truy cập DMZ/sản xuất, dùng tài khoản Guest với mật khẩu SecureGuest@2024.
- Khu sản xuất truy cập DMZ cần xác thực Portal. Thiết lập 3 phòng ban, mỗi phòng 3 tài khoản. Mật khẩu mặc định SecureProd@2024, đổi mật khẩu lần đầu, thời hạn 7 ngày, không chia sẻ tài khoản.
- Tạo quản trị viên tùy chỉnh không có quyền hệ thống.
Bước 1: Thiết lập VLAN trên LSW7
[LSW7]vlan batch 2 3
[LSW7]interface GigabitEthernet 0/0/5
[LSW7-GigabitEthernet0/0/5]port link-type access
[LSW7-GigabitEthernet0/0/5]port default vlan 3
[LSW7-GigabitEthernet0/0/5]interface GigabitEthernet 0/0/6
[LSW7-GigabitEthernet0/0/6]port link-type access
[LSW7-GigabitEthernet0/0/6]port default vlan 2
[LSW7-GigabitEthernet0/0/6]interface GigabitEthernet 0/0/10
[LSW7-GigabitEthernet0/0/10]port link-type trunk
[LSW7-GigabitEthernet0/0/10]port trunk allow-pass vlan 2 3
[LSW7-GigabitEthernet0/0/10]undo port trunk allow-pass vlan 1Bước 2: Cấu hình firewall USG6000V1
[USG6000V1]interface GigabitEthernet 1/0/2
[USG6000V1-GigabitEthernet1/0/2]ip address 192.168.1.2 255.255.255.0
[USG6000V1]interface GigabitEthernet 1/0/3
[USG6000V1-GigabitEthernet1/0/3]ip address 10.1.1.1 255.255.255.0Bước 3: Phân vùng an toàn và thời gian truy cập
Thiết lập thời gian hoạt động cho khu văn phòng: 9:00-18:00. Khu sản xuất không có giới hạn thời gian. Kiểm tra kết nối qua bảng thời gian trong hệ thống.
Bước 4: Xác thực Portal cho khu sản xuất
[USG6000V1]portal server portal-server
[USG6000V1-portal-server]portal url http://192.168.1.100:8080
[USG6000V1]user-group ProductionGroup
[USG6000V1-user-group-ProductionGroup]user password expire 7
[USG6000V1-user-group-ProductionGroup]user password initial-change enableBước 5: Thiết lập chính sách truy cập
- Chặn truy cập FTP/HTTP từ 10.0.2.10 đến DMZ.
- Cho phép khu văn phòng truy cập Internet, khu sản xuất bị chặn.
- Tạo chính sách riêng cho Phòng Nghiên cứu (xác thực ẩn danh) và Phòng Kinh doanh (xác thực người dùng).
Bước 6: Tạo quản trị viên tùy chỉnh
[USG6000V1]local-user AuditAdmin
[USG6000V1-luser-AuditAdmin]password cipher Audit@2024
[USG6000V1-luser-AuditAdmin]service-type web
[USG6000V1-luser-AuditAdmin]level 1