网络安全防御【防火墙双机热备带宽管理综合实验】

目录

一、实验拓扑图

二、实验要求 

三、实验思路:

四、实验步骤:

1、FW3的网络相关配置:

2、FW1的新增配置:

3、交换机LSW6(总公司)的新增配置:

4、双机热备技术配置(双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1):

5、带宽策略相关配置:

(1)办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M

(2)销售部保证email应用在办公时间至少可以使用10M的带宽,每个人至少1M

(3)移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分

(4)外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。


一、实验拓扑图

 

二、实验要求 

1、DMZ区的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区设备全天都是可以访问的

2、生产区不允许访问互联网,办公区和游客区允许访问互联网

3、办公区设备10.0.2.20不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10

4、办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;

游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权利,门户网站地址10.0.3.10

5、生产区访问DMZ区时,需要进行protal认证,设立生产区用户架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,

首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用

6、创建一个自定义管理员,要求不能拥有系统管理的功能

【前6个要求已完成,需要查看请前往下面网址】http://t.csdnimg.cn/K1Dsxicon-default.png?t=N7T8http://xn--6-fq6a55kr77att4a

7、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)

8、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

9、多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;

10、分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;

11、游客区仅能通过移动链路访问互联网

【要求7-11已完成,需要查看请前往下面的网址】http://t.csdnimg.cn/VO4mIicon-default.png?t=N7T8http://xn--7-11-4u6i726l

【本篇博客是完成要求12-16】

12,对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1

13,办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M

14,销售部保证email应用在办公时间至少可以使用10M的带宽,每个人至少1M

15,移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分

16,外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。

三、实验思路:

1、IP地址的划分要,区域划分要清晰合理,本实验看拓扑图很复杂,注意好线的连接关系;

2、对于新加的设备FW3进行相关的网络配置;

3、防火墙双机热备技术的负载分担模式的相关配置;

4、流量的带宽管理配置。

四、实验步骤:

1、FW3的网络相关配置:

对于一个刚启动防火墙的配置:

 开启防火墙后需要登录用户名和密码,第一次默认的用户名:admin,密码:Admin@123;

登录成功之后需要修改你的密码才能进入防火墙的用户视图。

  防火墙的g0/0/0口默认的IP地址为192.168.0.1/24;但是我们需要在浏览器中打开FW2的web服务就需要将g0/0/0接口的IP地址修改为192.168.142.30/24与我们Clound中虚拟网卡通一个网段才行。

在防火墙中g0/0/0口中开启所有的服务:

[USG6000V1-GigabitEthernet0/0/0]service-manage all permit

FW3 的连线情况(拓扑图中实在是太乱了,可以打开工具栏中的接口列表查看对应的连线信息):

HRP IP地址划分:

10.10.10.0/24

新建安全区域(BG,YK,电信,移动)[注意要与SW1中的配置顺序相同,避免出现同步不一致的问题]:

配置网络接口详情:

g1/0/3 (g1/0/3.1 : 10.0.1.2 [生产区],  g1/0/3.2 : 10.0.2.2[办公区])

 

FW2的HRP接口的链路聚合:

g1/0/5 [HRP]

g1/0/6 [HRP]

新建一个HRP单独的安全区域:

g1/0/1 (10.10.100.2) [电信]

g1/0/2 (10.10.200.2) [移动]

g1/0/0 (10.0.3.2) [DMZ]

g1/0/4  (10.0.0.2) [游客区]

 

2、FW1的新增配置:

FW1的HRP链路聚合:

FW1 g1/0/5 [HRP]

FW1 g1/0/6 [HRP]

 

新建一个HRP单独安全区域:

修改一下FW1到达公网电信链路接口的IP地址(10.10.100.1):

修改一下FW1到达公网移动链路接口的IP地址(10.10.200.1): 

 

3、交换机LSW6(总公司)的新增配置:

[Huawei]int g0/0/4

[Huawei-GigabitEthernet0/0/4]p l t

[Huawei-GigabitEthernet0/0/4]port trunk allow-pass vlan 2 3

[Huawei-GigabitEthernet0/0/4]undo port trunk allow-pass vlan 1

4、双机热备技术配置(双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1):

FW1:

勾选了主动抢占,则代表开启抢占模式,默认开启60S抢占延迟

(抢占延时主要是为了应对一些接口可能出现反复震荡的情况)

静态路由自动备份建议勾选

FW3:

FW1配置完成双机热备视图:

FW2配置完成双机热备视图:

同步情况:

安全策略:

NAT策略:

还需要修改我们设备机的网关为我们的虚拟地址:

PC1:

Client1:

Client2:

PC2:

Client4:

Client3:

PC5:

Server1:

Server2:

测试一下:

使用办公区的PC2 ping 路由器的环回接口:

由于我们之前要求中写过一条安全策略是禁止生产区到达公网的,所有这里我们就不做生产区的测试。

 使用游客区的client3 去ping 路由器换回:

在FW3的移动链路上进行抓包:

 

与我们的NAT策略配置的流量走向相同!!

在DMZ区开启http服务,使用公网的客服端进行访问:

在此之前我们要新增两条关于FW3的服务器映射:

 

 

 

测试成功!!!

 

5、带宽策略相关配置:

(1)办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M

办公区上网限制:

策略独占: 每个带宽策略调用这个通道,都按照通道中的设定执行

策略共享: 所有带宽策略调用这个通道,都按照通道中的设定执行

安全策略是可以根据你的带宽策略自动生成的

销售部上网限制:

(2)销售部保证email应用在办公时间至少可以使用10M的带宽,每个人至少1M

(3)移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分

开启了动态均分,则根据在线的用户或者IP数量来分配总流量。

(4)外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。

至此本实验全部完成!!!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/379696.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【数据结构】链表(LinkedList)详解

文章目录 [toc] 前言1. 链表的介绍1.1 链表的定义1.2 链表的结构种类 2. 单向链表的模拟实现2.1 创建链表2.2 打印链表2.3 求链表长度 3. 单向链表常见方法的模拟实现3.1 头插法3.2 尾插法3.3 指定位置插入3.4 查找值 key 的节点是否在链表中3.5 删除值为 key 的节点3.6 删除所…

实验三:图像的平滑滤波

目录 一、实验目的 二、实验原理 1. 空域平滑滤波 2. 椒盐噪声的处理 三、实验内容 四、源程序和结果 (1) 主程序(matlab) (2) 函数GrayscaleFilter (3) 函数MeanKernel (4) 函数MedFilter 五、结果分析 1. 空域平滑滤波 2. 椒盐噪声的处理…

小阿轩yx-zookeeper+kafka群集

小阿轩yx-zookeeperkafka群集 消息队列(Message Queue) 是分布式系统中重要的组件 通用的使用场景可以简单地描述为 当不需要立即获得结果,但是并发量又需要进行控制的时候,差不多就是需要使用消息队列的时候。 消息队列 什么是消息队列 消息(Mes…

使用Docker 实现 MySQL 循环复制(二)

系列文章 使用Docker 实现 MySQL 循环复制(一) 目录 系列文章1. 创建三个 mysql 容器1.1 准备三个 mysql 容器的挂载卷1.2 为三个mysql实例创建配置文件1.3 修改各目录的权限以满足 mysql 容器的要求1.4 创建 docker-compose.yaml 文件1.5 创建容器 1. …

多源字段聚合重塑算法

要求如下 [[{"oone": "评估是否聘请第三方机构","otwo": null,"othree": "test",},{"oone": "评估是否聘请第三方机构","otwo": null,"othree": "test",}],[{"oon…

npm安装依赖包报错,npm ERR! code ENOTFOUND

一、报错现象: npm WARN registry Unexpected warning for https://registry.npmjs.org/: Miscellaneous Warning ETIMEDOUT: request to https://registry.npmjs.org/vue failed, reason: connect ETIMEDOUT 104.16.23.35:443 npm WARN registry Using stale data…

GitHub私有派生仓库(fork仓库) | 派生仓库改为私有

GitHub私有派生仓库 前言解决方案 前言 在GitHub上Fork的派生仓库默认为公有仓库,且无法修改为私有仓库。 若想创建私有的派生仓库,可通过GitHub的导入仓库功能实现,具体步骤请参见下文解决方案。 解决方案 打开GitHub页面,在个…

新书速览|深入理解Hive:从基础到高阶:视频教学版

《深入理解Hive:从基础到高阶:视频教学版》 本书内容 《深入理解Hive:从基础到高阶:视频教学版》采用“理论实战”的形式编写,通过大量的实例,结合作者多年一线开发实战经验,全面地介绍Hive的使用方法。《深入理解Hiv…

UE5.4新功能 - MotionDesign上手简介

MotionDesign是UE中集成的运动图形功能,我们在游戏中经常会见到,例如前方漂浮于空中的若干碎石,当玩家走进时碎石自动吸附合并变成一条路,或者一些装饰性的物件做随机运动等等,在引擎没有集成运动图形时,这…

【Hive SQL 每日一题】找出各个商品销售额的中位数

文章目录 测试数据需求说明需求实现方法1 —— 升序计算法方法2 —— 正反排序法 补充 测试数据 -- 创建 orders 表 DROP TABLE IF EXISTS orders; CREATE TABLE orders (order_id INT,product_id INT,order_date STRING,amount DOUBLE );-- 插入 orders 数据 INSERT INTO ord…

【JVM基础01】——介绍-初识JVM运行流程

目录 1- 引言:初识JVM1-1 JVM是什么?(What)1-1-1 概念1-1-2 优点 1-2 为什么学习JVM?(Why) 2- 核心:JVM工作的原理(How)⭐2-1 JVM 的组成部分及工作流程2-2 学习侧重点 3- 小结(知识点大纲):3-1 JVM 组成3…

Stable Diffusion:质量高画风清新细节丰富的二次元大模型二次元插图

今天和大家分享一个基于Pony模型训练的二次元模型:二次元插图。关于该模型有4个不同的分支版本。 1.5版本:loar模型,推荐底模型niji-动漫二次元4.5。 xl版本:SDXL模型版本 mix版本:光影减弱,减少SDXL版本…

【Docker】Docker-compose 单机容器集群编排工具

目录 一.Docker-compose 概述 1.容器编排管理与传统的容器管理的区别 2.docker-compose 作用 3.docker-compose 本质 4.docker-compose 的三大概念 二.YML文件格式及编写注意事项 1.yml文件是什么 2.yml问价使用注意事项 3.yml文件的基本数据结构 三.Docker-compose …

C语言学习笔记[25]:循环语句for

for循环 for循环的基本语法 for(表达式1;表达式2;表达式3)循环语句; 表达式1为初始化部分,用于初始化循环变量的。 表达式2为条件判断部分,用于判断循环何时终止。 表达式3为调整部分,用于循环条件的调整。 例如用for循环实现打印1~10的数字…

DROO论文笔记

推荐文章DROO源码及论文学习 读论文《Deep Reinforcement Learning for Online Computation Offloading in Wireless Powered Mobile-Edge Computing Networks》的笔记 论文地址:用于无线移动边缘计算网络在线计算卸载的深度强化学习 论文代码地址:DR…

[论文笔记] CT数据配比方法论——1、Motivation

我正在写这方面的论文,感兴趣的可以和我一起讨论!!!!!! Motivation 1、探测原有模型的配比: 配比 与 ppl, loss, bpw, benchmark等指标 之间的关系。 2、效果稳定的配比:配比 与 模型效果 之间的规律。 Experiments 1、主语言(什么语言作为主语言,几种主语言?…

格式工厂转换视频分辨率

1、下载和安装 http://www.pcfreetime.com/formatfactory/CN/index.html 2、打开视频 3、设置分辨率等参数 也可以选择保持原分辨率 4、执行导出 5、打开输出所在位置

【HarmonyOS】HarmonyOS NEXT学习日记:四、布局与容器组件

【HarmonyOS】HarmonyOS NEXT学习日记:四、布局与容器组件 学习了基础组件之后,想要利用基础组件组装成一个页面,自然就要开始学习布局相关的知识。我理解的ArkUI的布局分为两个部分 一、组件自身的通用属性,诸如weight、height、…

国内新能源汽车芯片自给,承认差距,任重道远

【科技明说 | 科技热点关注】 据近日工信部电子五所元器件与材料研究院高级副院长罗道军表示,中国拥有最大的新能源车产能,芯片用量也是越来越多。但是芯片的自给率目前不到10%,是结构性的短缺。 中国拥有最大新能源车产能&#…

计算机课设——基于Java web的超市管理系统

smbms_java_web 基于Java web的超市管理系统,数据库课程设计 1.引言 是一个基于Java Web连接MySQL的小项目。 超市管理系统(smbms)作为每个计算机专业的大学生都是一个很好的练手项目,逻辑层次分明,基础功能包括用户的登录和注销&#xff…