防御保护---防火墙(安全策略、NAT策略实验)
- 1.实验需求
- 2.实验说明及思路
- 3.实验配置
- 3.1 配置IP地址以及VLAN
- 3.2 配置防火墙IP地址及划分区域
- 3.3 配置防火墙安全策略
- 3.4 配置防火墙NAT策略
1.实验需求
1.生产区在工作时间内可以访问服务器区,仅可以访问http服务器;
2.办公区全天可以访问服务器区,其中10.0.2.20可以访问FTP服务器和HTTP服务器,10.0.2.10仅可以ping通10.0.3.10
3.办公区在访问服务器区时采用匿名认证的方式进行上网行为管理
4.办公设备可以访问公网,但是其他区域不行。
2.实验说明及思路
此次实验主要是以web界面的形式来配置防火墙,所以在上图中防火墙与cloud连接(不需要交换机也可),为了在web界面管理防火墙,web界面相对来说比较友好,可以直观的看出各种配置及条目。
在防火墙与交换机SW7做三层,并且在防火墙部署三个区域的网关,向下使用子接口,分别对应生产区与办公区,然后在防火墙上做安全策略以及NAT策略,实现对路由的控制与转发。
3.实验配置
3.1 配置IP地址以及VLAN
AR2:
[Huawei]sys ISP
[ISP]int LoopBack 0
[ISP-LoopBack0]ip address 1.1.1.1 24
[ISP-LoopBack0]int g0/0/0
[ISP-GigabitEthernet0/0/0]ip address 12.0.0.2 24
[ISP-GigabitEthernet0/0/0]int g0/0/2
[ISP-GigabitEthernet0/0/2]ip address 21.0.0.2 24
SW7:
[SW7]vlan batch 2 to 3
[SW7]int g0/0/2
[SW7-GigabitEthernet0/0/2]port link-type access
[SW7-GigabitEthernet0/0/2]port default vlan 2
[SW7-GigabitEthernet0/0/2]int g0/0/3
[SW7-GigabitEthernet0/0/3]port link-type access
[SW7-GigabitEthernet0/0/3]port default vlan 3
[SW7]interface GigabitEthernet0/0/1
[SW7-GigabitEthernet0/0/1]port link-type trunk
[SW7-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 to 3
[SW7-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1
3.2 配置防火墙IP地址及划分区域
由于自身的环回网卡为172.16.10.10/24,所以在防火墙上更改默认G0/0/0接口的IP地址以及启用所有的服务,为了后面在web界面配置防火墙打基础
[FW2]int g0/0/0
[FW2-GigabitEthernet0/0/0]ip address 172.16.10.1 255.255.255.0
[FW2-GigabitEthernet0/0/0]service-manage all permit
cloud配置(可能有的人不知道cloud与防火墙咋样操作的,后续有时间会给大家出防火墙(web界面)步骤)
配置完成之后,在浏览器输入防火墙G0/0/0的IP地址就可以连接。
首先,新建俩个安全区域(办公区和生产区)
办公区域:
同理,生产区域:
然后在虚拟俩个子接口相对应,并且规划IP地址:
G1/0/2.1
G1/0/2.2接口同理:
把G1/0/0划分到DMZ区域并且规划IP地址:
至此,接口IP地址规划以及划分安全区域就完成了!
3.3 配置防火墙安全策略
接下来,按照实验需求部署安全策略
由于实验需求的各个区域中需要精准管理,所以先创建地址方便管理。
对DMZ区域的设备细致化
对办公区的设备细致化
根据实验需求配置安全策略:
1.生产区在工作时间内可以访问服务器区,仅可以访问http服务器;
测试:
可以看出生产区只可以访问服务器区中的HTTP服务器,访问ftp服务器失败,当然只放通http服务,并没有放通icmp服务,所以pc端ping不通,需求一就此完成!
2.办公区全天可以访问服务器区,其中10.0.2.20可以访问FTP服务器和HTTP服务器,10.0.2.10仅可以ping通10.0.3.10
需求二中可以看出有俩条需求,需要新建俩个安全策略才得以实现
策略一:10.0.2.20可以访问FTP服务器和HTTP服务器
测试:
可以看出办公区的client可以访问服务器区中的HTTP服务器和ftp服务器,当然只放通http服务和ftp服务,并没有放通icmp服务,所以client端ping不通。
策略二:10.0.2.10仅可以ping通10.0.3.10
测试:
需求二到此完成!
3.办公区在访问服务器区时采用匿名认证的方式进行上网行为管理
测试:首先用办公区的设备访问服务器区的设备(都可)
然后在在线用户中可以看到访问的用户,并且可以看出认证方式为匿名认证,需求三完成!
3.4 配置防火墙NAT策略
4.办公设备可以访问公网,但是其他区域不行。
完成之后点击确定即可
测试:办公区访问公网
生产区访问公网
由此可以看出只有办公区访问公网成功,而生产区访问失败!
实验至此就全部完成了!
![[C#]winform部署yolov7+CRNN实现车牌颜色识别车牌号检测识别](https://img-blog.csdnimg.cn/direct/c12aefab36e342e7a127f6e953ac3905.jpeg)
