实验拓扑：

之前实验做过，可以翻找之前的博客，各设备ip和接口已配好，均可可ping通防火墙。

实验要求：
一.生产区在工作时间内可以访问dmz区域，仅可以访问http服务器。

二.办公区全天可以访问dmz区域，其中10.0.2.10仅可访问http，10.0.2.20都可以访问

三.办公区在访问dmz区域时采用匿名认证的方式进行上网行为管理

四.办公区设备可以访问公网，其他区域不行

改写安全策略即可

然后进入Client2，进行测试

10.0.2.10设备进行安全策略的更改：然后进入Client1进行测试

如果显示成功ping通5次，即显示配置成功，若否，则检查之前的配置步骤

10.0.2.20设备进行安全策略的更改：

我们也可以用命令行进行测试配置所需的认证策略如下：测试：

我们创建一个新的nat策略：

注意要点击“新建安全策略”然后就会自动创建一条安全策略（先走安全策略再走源nat策略）、

进行测试：

测试成功，配置正确。