一、实验拓扑及要求

拓扑图接口稍微有点点不一样，需对照着看！

二、LSW2 VLAN 划分

二、IP配置

（一）防火墙IP及其子接口配置

1、普通接口配置

2、子接口配置

3、接口配置情况显示

（二）开启DHCP服务获取IP

1、开启DHCP服务

注意：

先配置DHCP服务，再手工配置的情况需要注意排除掉需要手工配置的IP！

若有通过DHCP获取固定IP绑定设备的需求，也需要填写在绑定主机MAC地址栏！

2、测试是否通过DHCP获取到IP

注意：

 如果通过DHCP服务获取IP但是显示不出来，就需要激活一下创建子接口的大物理接口（如图g1/0/2），可随便配个地址激活就行！

（三）手工配置(保留)IP

（四）服务器IP配置并启动

三、安全区域

（一）新建安全区域

（二）配置接口安全区域

四、区域互通测试

（一）Trust_A区域互通

（二）Trust_B区域互通

五、地址配置

六、创建地址组

七、管理员配置

（一）管理员角色配置

（二）管理员信息配置

（三）开启telnet服务

1、开启防火墙telnet服务

图形化界面应用点不了，所以无法开启telnet服务，需要在命令行配置

2、开启子接口的telnet服务

3、telnet服务测试

按道理说，trust区域的LSW2要通过telnet登录local区域（防火墙所有接口都处于local区域）的防火墙必须做一条安全策略才可访问，但是ensp模拟器没做限制，现实中必须写一条策略才可登录访问。

八、新建认证域

九、创建用户组

十、用户信息配置

十一、用户认证策略配置

十二、认证选项(可选)及测试

（一）认证选项(可选)

要求首次登录必须修改密码

（二）测试用户认证

技术部PC1有一条认证策略通往dmz区 ，当PC1访问dmz区的DNS服务器时，DNS服务器有了它的认证参数，返回一个IP给PC1就可以访问网络百度服务器了。

1、选择一条匿名认证的用户认证策略

2、新建一条安全策略用于测试用户认证

3、PC1获取百度服务器信息失败

4、PC1 ping DNS Server 测试二者是否能通

结果显然是ping通了的

5、PC1再次获取百度服务器信息

显示获取成功！

6、显示刚刚测试的在线用户信息

十三、安全策略配置

最后记得在系统栏把系统时间与本机时间同步！

十四、注意

（一）一般物理接口要与子接口同时使用

（二）无论是安全策略还是用户认证策略都要注意策略顺序

（三）正常一台防火墙，任何两个区域间（不同区域/同区域）的设备访问都必须经过安全策略

（四）认证策略是决定设备能否上网，只要认证成功了就可上网，聚焦于 “验证用户身份真实性” 的规则集合；而安全策略则关注 “信息资产的全面保护”，是流量对于资源访问的情况