起初以为是考CTF、AWD或者运维也行（没想到考的是网络设备（就不会这个 只能临时学一学了

本文档不保证一定正确 只能提供参考 我也是个菜狗

防火墙安全建设：

1．总部防护墙 firewall1 接口均设置为桥接模式，G0/1 与 0/2 接口设置为 trust 区域 G0/3 设置为 untrust 区域

所有接口均设置为桥接 一共有八个接口

其实问AI说不连接的接口是不用设置桥接的，但是问了下群里的老师确认都要配置为桥接且接口不需要单独添加

每个接口均点击设置为透明模式 桥接 所属区域根据题目要求选择即可

所有接口配置完效果如下 其他没有说明的接口我默认untrust区域啦

2．F1 防火墙新增 ipv4 地址对象类型，名称为内网 1 地址网段为 vlan10 网段与对象 serious 地址网段为 123.123.123.0/24，注：123.123.123.0/24 该网段未在拓扑中体现

打开对象配置页面 点击新增即可

配置内网1地址对象

点击新增 在拓扑中查看vlan10的网段 然后输入进去即可

配置serious地址对象

点击新增然后根据题目要求填入即可

配置完成效果如下

3．通过防火墙策略禁止总部内网 PC 和服务器之间的所有访问。

禁止总部的话 其实只需要配置F1的策略就好啦 服务器的IP是172.17.1.11/24 做这个策略就好辣

因为是比赛 直接新增即可

目的地址新创建一个

点击新增地址 新增IPv4地址

点击确认即可

配置如下就好啦 重点是动作要禁止！

最终效果如下图

4．F1 防火墙新增入侵防御模板名称为 external detection1，保护客户端与服务器端，拦 截严重等级为中级高级的攻击流量，且一旦出现攻击提示管理员进行处置，模拟器中入侵检 测模板协议与威胁类型内容为无，只需要创建对应策略即可。

点击新增入侵防御模板

根据题意设置模板名称 然后新增规则过滤器

根据题意配置规则过滤器 拦截严重等级为中级高级的流量

！改错 这里要写提示！！！！

最后保存即可

最后效果如下

提示管理员处置我真没找到这个地方 我就省略了一下 有可能是设备不一样？

5．F1 创建入侵防御安全策略，源区域为 trust 区域，需创建对应地址范围，目的为 untrust 区域创建对应地址范围，且调用 external detection1 模板

先创建一个新的安全策略

源区域为 trust 区域 我的理解是 G0/1 与 0/2 接口对应的地址 也就是 172.16.1.0/24和172.16.2.0/24 新建一个地址

新建trust地址范围内容如下

然后再创建untrust的地址范围就好啦（其实是一样的地址 但是题目要求还是要创建的）

策略上方效果如下

入侵防御安全策略 点击启用 然后使用之前创建的模板

！改错：这里默认动作要选阻断！！！

最后配置完效果如下

这个不是很确定对不对 根据自己经验之谈做的

6．为防止总部业务遭受攻击，F1 新建 DDOS 防护策略目的 DDOS 防护策略，防御来自 外网的 smurf 攻击防御、TearDrop 攻击防御。

点击新增 目的 DDOS 防护策略

勾选对应内容即可 然后点击保存

最终配置效果如下

7．分部 F2 防火墙设置 G0/1 为 trust 接口，G0/2 设置为 untrust 接口。

这个和第一题一模一样 就是打开F2设备就好啦 结果如下

8．为防止分部遭受 ARP 攻击，F2 开启 ARP 欺骗防御，网关广播间隔时间 25S。

最终效果如下 找到点击就行 没什么说法

9．为保证新增业务访问 F2 设置 ipv4 地址白名单为 15.11.32.0/24

点击 添加 IPv4 白名单

输入ipv4网段在里面就好啦

最后效果如下

10．已知 19.19.19.0/24 为恶意攻击网段 F1 与 F2 防火墙设置黑名单将该网段进行流量 拦截

设置黑名单就好啦 两台机器都要设置！！！ 新增黑名单

然后输入对应网段就好啦

这是最后的效果（切记两台机器都要搞）