具体实验要求如下图

配置接口IP 

配置vlan区域

vlan b 2 3
interface GigabitEthernet 0/0/2
port link-type access 
port default vlan 2

interface GigabitEthernet 0/0/3
port link-type access 
port default vlan 3

interface GigabitEthernet 0/0/1
port link-type trunk
]port trunk allow-pass vlan 2 3
undo port trunk allow-pass vlan 1

要创建两个虚拟接口来控制vlan的流量

配置防火墙接口配置

测试一下 

服务器ping防护墙

主机ping防火墙

测试完毕接口配置完成

 策略

1，生产区在工作时间内可以访问服务器区，生产区仅访问http服务器

HTTP服务器要控制首先要创建一个目的地址

这样就能控制精确访问HTTP服务器  icpm是ping的功能可以不选

这样第一条策略就完成了

接下来进行测试 

成功

 2，办公区全天可以访问服务器区，其中10.0.2.20可以访问FTP服务器和HTTP服务器,10.0.2.10仅可以ping通10.0.3.10

这条安全策略写两条

第一条

新建地址用来精确控制 具体看下图

服务选择

第二条

新建源地址

新建目的地址 

 安全策略配置

 配置完毕

进行测试

10.0.2.20可以访问FTP服务器和HTTP服务器

成功

10.0.0.2.10仅可以ping通10.0.3.10

成功第二条完成 

3，办公区在访问服务器区时采用匿名认证的劳?式进行上网行为管理

找到用户

配置安全策略选择匿名认证

创建用户组这里就随便创建了想创建就创建（可以不做不难可以玩玩）

这一步匿名认证就完毕了

 4，办公区设备可以访问公网，其他区域不行。

配置完点击新建策略自动生成

要模拟一个公网 这里接口配置就不说了

接下来进行测试 

成功！！

所有安全策略配置完毕