【自学安全防御】二、防火墙NAT智能选路综合实验

任务要求:

(衔接上一个实验所以从第七点开始,但与上一个实验关系不大)
7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
9,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
11,游客区仅能通过移动链路访问互联网

实验拓扑:

在这里插入图片描述

实验步骤:

七、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)

1、完成实验拓扑部署,使web界面管理防火墙配置(上一个实验第一个步骤有写过程)
2、在FW1上,将所有接口的防火墙配置IP配置好,在配置缺省路由使最好把源进源出勾上,如下:在这里插入图片描述
3、查看路路由表是否有问题,检查缺省路由是否开了没,并且项目NAT策略时设置地址池使要勾选黑洞路由,看是否存在黑洞路由,如下:
在这里插入图片描述
在这里插入图片描述
4、建立安全区域,如下:
在这里插入图片描述
5、将防火墙g1/0/1和g1/0/2分别绑定到电信和移动链路,配置如下:
在这里插入图片描述
在这里插入图片描述
将上网目标IP写入文件中,如下:
在这里插入图片描述

在这里插入图片描述
6、配置NAT策略,需要注意的是在地址池配置完成后,需要点击新建安全策略,使防火墙放行流量才能再做NAT转换,配置如下:
在这里插入图片描述

1)在配置地址池时需要注意一下就是要勾选黑洞路由,然后在高级配置中添加一个保留IP12.0.0.6(地址池中的任一一个IP),如下:
在这里插入图片描述

在这里插入图片描述
8、结果测试:
1)将公网100.0.0.10的httpserver服务打开,用办公区client7访问服务,发现服务访问成功。
在这里插入图片描述
2)看NAT策略命中情况,发现成功命中。
在这里插入图片描述
3)抓防火墙FW1的g0/0/1和g0/0/2接口的流量,发现电信链路和移动链路都有流量流出,即而且转换地址是12.0.0.5(非预留地址),综上:实验7完成。
在这里插入图片描述
在这里插入图片描述

八、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

1、在FW2上,添加FL安全域,代表分公司网络区,如下:

在这里插入图片描述
2、配置好接口IP及网关,如下:
在这里插入图片描述

3、在FW2上做NAT策略,做个easy ip 即可,并自动生成安全策略,如下:


4、在FW2上,配置NAT策略,开放DMZ区的httpserver,使用服务器映射,即公网端口与私网端口一对一转换,在电信链路和移动链路上分别做一个NAT策略,并且自动生成安全策略,(注意这个过程是先转换地址再进行安全策略)如下:
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

5、结果测试:
1.)用client6访问12.0.0.2的80端口,访问成功:

在这里插入图片描述

2)在FW1上,查看会话表,发现地址转换成功,(此时走的的电信链路)如下:
在这里插入图片描述

3)使client6访问21.0.0.2的80端口,访问成功,如下:
在这里插入图片描述

4)在FW1上,查看会话表,发现地址转换成功,(此时走的的移动链路)如下:

在这里插入图片描述
5)在FW1和FW2上看看NAT策略匹配情况,发现全部NAT策略都可被匹配,实验完成,如下:
FW1:
在这里插入图片描述
FW2:

在这里插入图片描述

九、多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;

1、在FW1中,找到网络,路由,智能选路,点击配置,选择根据宽带负载分担,新建电信和移动链路,如下:
在这里插入图片描述
在这里插入图片描述

2、在接口中,点击g1/0/1和g1/0/2,写入入方向宽带和出方向宽带,设置过载保护阈值80%,如下:
在这里插入图片描述

3、配置NAT策略,源地址写10.0.0.2,出接口为g1/0/1 TODX,注意:需要把之前移动链路绑定的移动地址库的IP删掉,不然实验不成功,因为如果电信和移动的地址库一样,就会使出去访问互联网的数据流均负载分担,所以得选两个出口,与题目要求不符,建议直接把电信和移动的地址库删掉,才能实现流量根据链路带宽分担。
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
4、配置路由策略,位置如下:

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

5、结果测试:
1)安全策略成功匹配,如下:
在这里插入图片描述

2)NAT策略成功匹配,如下:

在这里插入图片描述
3)会话表显示10.0.2.10从电信口出,如下:
在这里插入图片描述

十、分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;

1、在FW2上,写NAT策略,地址转换方式为双向地址转换,源为FL区域目标IP为23.0.0.2,使分公司内网IP先访问FW2,转换源IP为192.168.1.0即出接口g1/0/1,同时目标IP装换为服务器内网IP,因为是域名访问,此时FW2防火墙并不知道此域名对应的IP是什么,所以接下来要去额外做一个NAT策略去访问DNS服务器,(无需自动添加安全策略)如下:在这里插入图片描述

2、加一个NAT策略,使访问外网的DNS服务器,并且自动添加安全策略,配置如下:

在这里插入图片描述
在这里插入图片描述
3、最重要的就是一定要给客户端加上DNS地址,如下:
在这里插入图片描述
4、写NAT策略,使外网访问内网服务器(底部80端口),并自动生成安全策略,如下:
在这里插入图片描述
在这里插入图片描述

5、结果测试,用分别用内网和外网访问服务器域名,均成功:

在这里插入图片描述

在这里插入图片描述

十一:游客区仅能通过移动链路访问互联网

1、在FW1,上做NAT策略,并自动生成安全策略,如下:
在这里插入图片描述
2、找到网络,点击路由—>智能路由—>策略路由->新建,配置如下:

点击
在这里插入图片描述

3、结果测试:
1)用游客区client4访问公网服务器100.0.0.100,访问成功,如下:
2)、查看NAT策略匹配情况,成功匹配,如下:

在这里插入图片描述
3)看会话表,成功匹配安全策略,并从移动链路出,如下:

在这里插入图片描述
到这里实验就完成了,恭喜大家,哈哈哈!!!
继续加油吧!!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/378047.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

网络安全防御【防火墙安全策略用户认证综合实验】

目录 一、实验拓扑图 二、实验要求 三、实验思路 四、实验步骤 1、打开ensp防火墙的web服务(带内管理的工作模式) 2、在FW1的web网页中网络相关配置 3、交换机LSW6(总公司)的相关配置: 4、路由器相关接口配置&a…

connect by prior 递归查询

connect by prior 以公司组织架构举例,共四个层级,总公司,分公司,中心支公司,支公司 总公司level_code为1 下一层级的parent_id为上一层级的id,建立关联关系 SELECT id, name, LEVEL FROM org_info a STA…

海事无人机解决方案

海事巡察 海事巡察现状 巡查效率低下,存在视野盲区,耗时长,人力成本高。 海事的职能 统一管理水上交通安全和防治船舶污染。 管理通航秩序、通航环境。负责水域的划定和监督管理,维护水 上交通秩序;核定船舶靠泊安…

使用自制Qt工具配合mitmproxy进行网络调试

在软件开发和网络调试过程中,抓包工具是不可或缺的。传统的抓包工具如Fiddler或Charles Proxy通常需要设置系统代理,这会抓到其他应用程序的网络连接,需要设置繁琐的过滤,导致不必要的干扰。为了解决这个问题,我们可以…

linux中关于环境变量的常用的设置方法

一. linux中设置环境变量的方式 1.使用/etc/environment, 是一个全局的环境变量设置文件,它会影响到所有用户和所有进程。当你需要设置一个全局的环境变量时,应该使用这个文件。这个文件的格式是 KEYvalue,每行一个环境变量。 2. 使用/etc/…

【unity笔记】常见问题收集

一 . Unity Build GI data 卡住问题 解决: 参考官方文档,GI(Global Illumination) data 指的是全局照明信息。 在Unity的Edit->Preference中,可以编辑GI缓存路径和分配GI缓存大小。 调出Window->Rendering->Lighting窗口,取消勾选…

【Caffeine】⭐️SpringBoot 项目整合 Caffeine 实现本地缓存

目录 🍸前言 🍻一、Caffeine 🍺二、项目实践 2.1 环境准备 2.2 项目搭建 2.3 接口测试 ​💞️三、章末 🍸前言 小伙伴们大家好,缓存是提升系统性能的一个不可或缺的工具,通过缓存可以避免大…

基于SpringBoot+VueJS+微信小程序技术的图书森林共享小程序设计与实现:7000字论文+源代码参考

博主介绍:硕士研究生,专注于信息化技术领域开发与管理,会使用java、标准c/c等开发语言,以及毕业项目实战✌ 从事基于java BS架构、CS架构、c/c 编程工作近16年,拥有近12年的管理工作经验,拥有较丰富的技术架…

Java面试八股之Redis哨兵机制

Redis哨兵机制 Redis Sentinel(哨兵)模式是一种高可用解决方案,用于监控和自动故障转移Redis主从集群。以下是对哨兵模式详细过程的描述: 1. 初始化与配置 部署哨兵节点:在不同的服务器上部署一个或多个Redis Sentin…

leetcode 周赛(406)全AC留念

纪念第一次 leetcode 周赛(406)全AC 1.(100352. 交换后字典序最小的字符串) 题目描述: 给你一个仅由数字组成的字符串 s,在最多交换一次 相邻 且具有相同 奇偶性 的数字后,返回可以得到的 字典序最小的字符串 。 如…

ubantu22.04安装OceanBase 数据库

1、管理员启动cmd,运行 sudo bash -c "$(curl -s https://obbusiness-private.oss-cn-shanghai.aliyuncs.com/download-center/opensource/service/installer.sh)" 2、提示如下代表安装完成 3、修改数据库配置文件的密码 sudo vim /etc/oceanbase.cnf 然后保存退…

初学SpringMVC之 JSON 篇

JSON(JavaScript Object Notation,JS 对象标记)是一种轻量级的数据交换格式 采用完全独立于编程语言的文本格式来存储和表示数据 JSON 键值对是用来保存 JavaScript 对象的一种方式 比如:{"name": "张三"}…

Redis实战—附近商铺、用户签到、UV统计

本博客为个人学习笔记,学习网站与详细见:黑马程序员Redis入门到实战 P88 - P95 目录 附近商铺 数据导入 功能实现 用户签到 签到功能 连续签到统计 UV统计 附近商铺 利用Redis中的GEO数据结构实现附近商铺功能,常见命令如下图所示。…

牛客TOP101:合并两个排序的链表

文章目录 1. 题目描述2. 解题思路3. 代码实现 1. 题目描述 2. 解题思路 与正常的合并两个有序数组思路一样,这里可以定义一个头节点(虚拟节点),可以方便我们一开始进行连接。用两个指针标记两个链表的结点,进行循环比较…

5.4 软件工程-系统设计

系统设计 - 概述 设计软件系统总体结构 数据结构及数据库设计 编写概要设计文档、评审 详细设计的基本任务 真题

FPGA 项目菜单功能比较

为了帮助您更好地理解每个FPGA功能模块的实用场合、区别和特点,以下是详细的比较: 功能模块实用场合区别特点FPGA I/O自动控制系统、数据采集系统直接与FPGA板卡上的物理端口交互,配置和使用外部I/O设备灵活配置输入输出端口,支持…

[Spring] Spring Web MVC案例实战

🌸个人主页:https://blog.csdn.net/2301_80050796?spm1000.2115.3001.5343 🏵️热门专栏: 🧊 Java基本语法(97平均质量分)https://blog.csdn.net/2301_80050796/category_12615970.html?spm1001.2014.3001.5482 🍕 Collection与…

「Pytorch」roLabelImg 图像异常旋转 bug

在进行Yolo-obb 模型训练的时候需要标注旋转框,roLabelImg 是比较推荐的一款旋转框标注工具,既可以标注正常的矩形框,还可以标注旋转框 roLabelImg Github 地址:https://github.com/HumanSignal/labelImg 但是在使用过程中遇到了…

数据库管理-第218期 服务器内存(20240711)

数据库管理218期 2024-07-11 数据库管理-第218期 服务器内存(20240711)1 内存2 ECC内存3 原理3.1 多副本传输3.2 纠错码3.3 汉明码 总结 数据库管理-第218期 服务器内存(20240711) 作者:胖头鱼的鱼缸(尹海文…

利用OSMnx进行城市路网数据的速度与通行时间推算及分析

本文还是以广州市路网为例,通过osmmx调用ox.add_edge_speeds(G)时,该函数会遍历图G 中的每条边(即每条街道),并基于一些预设的规则或街道属性(如街道类型、是否为主要道路、是否有速度限制等)来…