实验拓扑图如下:
前面六个条件在之间的实验中做过了,详细步骤可以去之前的文章看
这里简写一下大致步骤
第一步:
先将防火墙之外的配置给配置好,比如,PC的IP,交换上的Vlan划分。
第二步:
在浏览器上登陆防火墙
https://防火墙管理口地址:8843
第三步:
在防火墙上创建子接口,并为接口配置IP地址
第四步:
创建安全区域,将接口划入到对应的区域内
其他区域一样的操作
第五步:
配置安全策略
第六步:
创建用户组和用户,配置认证策略(单向绑定 匿名认证 免认证 双向绑定)
第七步:
管理员创建(先创建管理员角色,在创建管理员)
到这里,前6个步骤简单的完成了
步骤八:
办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
8.1 创建电信和移动两个区域,并将接口划入区域中
8.2.创建NAT策略
在这里的源地址转换池配置地址池范围
测试:
pc3访问外网
研发访问外网
步骤九
分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
9.1
分公司防火墙上 接口IP配置,接口划分区域,配置安全策略
主公司防火墙上做端口映射
测试:
步骤十
分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
注意:这里如果只做了单向NAT,那么内网用户如果通过域名访问的话,流量就会去到防火墙上,然后防火墙用内网用户的IP访问内网服务器,内网服务器收到后,发现在一个区域内,就不发给防火墙了,通过交换机广播。然后,用户收到以后,发现目的IP不一样,就丢弃了
这里的192.168.1.2是内网用户,23.0.0.2是公网IP地址,192.168.1.10是内网服务器。
10.1 双向NAT(内部的客户端可以通过域名访问到内部的服务器)
10.2 (公网设备也可以通过域名访问到分公司内部服务器)
测试:
步骤十一
11,游客区仅能通过移动链路访问互联网
测试:
本次实验到此为此
