防火墙综合实验之NAT和智能选路

news2024/11/23 18:31:03

目录

前言:

一、实验题目

二、实验操作

需求一

需求二

需求三

需求四、需求五

需求六

需求七

​编辑

需求八

需求九

需求十

需求十一

三、需求测试


前言:

        本篇文章是延续上一篇文章,简单来说就是防火墙实验的完善和延续,本次主要完善的模块是内外网的NAT转换以及如何通过策略进行智能选路,我们的实验图也会拓展好公网和分公司部分的内容,当然,为了更好的让大家理解,我也会将所有需求再写一遍。

一、实验题目

1,DMZ区内的服务器,办公区仅能在办公时间内(9:00 - 18:00)可以访问,生产区的设备全   天可以访问.
2,生产区不允许访问互联网,办公区和游客区允许访问互联网
3,办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4,办公区分为市场部和研发部,市场部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123
5,生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次
登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
6,创建一个自定义管理员,要求不能拥有系统管理的功能
7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用 来转换)
8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
9,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
11,游客区仅能通过移动链路访问互联网

二、实验操作

首先我们将防火墙与互联网的映射关系通过ensp里面的cloud配置好,然后再浏览器中登录192.168.10.1:8443域名,这样就可以进入防火墙的可视化界面。

进入后的可视化界面如下图所示:

我们可以看到,该界面有策略、对象、网络等模块,这些就是我们要重点配置的地方。

我们先将系统中的时钟配置调整为与PC端一致,以便于后续操作。

在实验拓扑图中,我们可以看到一共分为好几个区域,所以第一步我们要将这几个安全区域新建出来,在防火墙中自带local/trust/untrust/dmz区域,所以我们只要新建生产区与办公区、游客区即可,内网连接LSP的两条链路(电信与移动)可以分配至不信任区域。

防火墙连接着许多接口,每一个接口都对应着该区域的网关,也在网络模块中配置,我们给每个区域分配的网段如下所示:

dmz区:10.0.3.0/24

生产区:10.0.1.0/24

办公区:10.0.2.0/24

游客区:10.0.0.0/24

电信业务:12.0.0.0/24

移动业务:21.0.0.0/24

需求一

由于总公司的业务流量是分为两个不同的网段的,所以划分vlan,生产区vlan2,办公区vlan3,在交换机中进行配置,且总公司交换机上口设置trunk干道,允许流量都通过,当然,好习惯必不可少,一定要顺便禁止vlan1流量通过,防火墙G1/0/1接口新建两个子接口接受不同流量。

防火墙接口配置:

总公司交换机配置:

接下来的需求通过安全策略实现,针对生产区和办公区用户访问dmz区域服务,撰写两个策略,生产区新建一个(9:00-18:00工作日)的时间段。

需求二

配置防火墙NAT策略,先将LSP配置环回地址和接口地址,方便后续测试。

办公区和游客区允许访问互联网。

easy ip选择出接口地址,配置完成后,点击新建安全策略,里面可以更精细化配置。

需求三

我们可以再写两条安全策略便于精细化管理,第一条直接将http/ftp/icmp服务设为禁止,第二条让10.0.2.10这个设备智能ping通10.0.3.10这个http server。

一定要把策略的顺序排好!!!自上而下逐级匹配!!!

需求四、需求五

市场部用户的匿名认证可以不用创建,研发部需要创建。

游客区创建,这个账号为公有用户。

直接进入用户模块就可以批量创建用户和用户组,剩下两个部门一样操作,不与展示。

首次登陆修改密码,勾选上即可。

另外这个我们也要应用

接下来就是做认证策略,有一个生产区的portal认证,以及办公区两个部门的匿名认证和免认证。

需求六

现在管理员角色里面创建一个网络管理员,不给系统权限,在管理员里面创建一个SmilingMrRui。

需求七

办公区设备可以通过电信链路上网。

办公区设备可以通过移动链路上网。

需求八

需要在FW2上进行配置

需求九

在网络模块中的路由智能选路中进行配置。

办公区设备10.0.2.10只能通过电信链路访问互联网

需求十

需求十一

在策略路由中添加,游客区只能通过移动链路进行上网。

三、需求测试

实现网关都通:

生产区周六无法访问,办公区一直可以访问:

生产区用户:

办公区用户:

办公区设备10.0.2.10不能访问dmz的HTTP和ftp服务器,仅能ping:

FTP server:

HTTP server:

ping:

管理员登入无系统权限:

办公区游客区访问公网:

注意:安全的策略一定要注意匹配顺序,是自上而下逐级匹配。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1926516.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【CUDA】CUDA中缓存机制对计时的影响

笔者在阅读知乎上一个关于CUDA编程的专栏时,发现作者写的很多文章中都会附带计时的模块用于评估程序的运行效率,然而笔者发现,在运行这篇文章中的代码时时,得到的结果和作者的结果有较大差异,主要体现在:使…

《战甲神兵》开发者报告:游戏崩溃问题80%发生在Intel可超频酷睿i9处理器上——酷睿i7 K系列CPU也表现出高崩溃率

在Intel持续面临第13代和第14代CPU崩溃问题的背景下,近日,《战甲神兵》(Warframe)的开发者们于7月9日披露了游戏崩溃的统计数据,并描述了诊断该问题的过程。根据开发团队的说法,一名未进行超频且使用全新PC的员工,即便…

网络安全设备——EDR

网络安全中的EDR(Endpoint Detection and Response,端点检测与响应)是一种主动式的端点安全解决方案,它专注于监控、检测和响应计算机和终端设备上的安全威胁。以下是EDR的详细解释: 一、定义与功能 EDR是一种网络安…

【C++】入门基础(引用、inline、nullptr)

目录 一.引用 1.引用的定义 2.引用的特性 3.引用的使用场景 4.const引用 5.引用和指针的区别 二.inline 三.nullptr 一.引用 1.引用的定义 引用不是新定义一个变量,而是给已经存在的变量取一个别名,编译器不会给引用变量开辟内存空间&#xff0c…

(实测可用)(3)Git的使用——RT Thread Stdio添加的软件包,github与gitee冲突造成无法上传文件到gitee

★硬件资源:本文章以STM32L431RCT6做主控芯片做验证; ★IDE开发环境:RT Thread stdio; ★RT Thread 版本:V4.0.3 一、RT Thread Stdio加载软件包 1、如下图所示,通过RT Thread Stdio加载的软件包&#…

[FPGA]-时序传输模型分析

时序传输模型分析 FPGA内部时钟树 clk到达每个寄存器的时间不一致。 内部时钟树内部示意图如下所示: 在实际FPGA芯片内部,时钟到达每个寄存器的时钟偏差很小,但仍然存在;比如clk到达REG1花费时间0.2ns,到达REG6花费…

【Linux】基于环形队列RingQueue的生产消费者模型

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 目录 前言 环形队列的概念及定义 POSIX信号量 RingQueue的实现方式 RingQueue.hpp的构建 Thread.hpp Main.cc主函数的编写 Task.hpp function包装器的使用 总结 前言…

Torch-Pruning 库入门级使用介绍

项目地址:https://github.com/VainF/Torch-Pruning Torch-Pruning 是一个专用于torch的模型剪枝库,其基于DepGraph 技术分析出模型layer中的依赖关系。DepGraph 与现有的修剪方法(如 Magnitude Pruning 或 Taylor Pruning)相结合…

Python:setattr()函数和__setattr__()魔术方法

相关阅读 Pythonhttps://blog.csdn.net/weixin_45791458/category_12403403.html?spm1001.2014.3001.5482 setattr()是一个python内置的函数,用于设置一个对象的属性值,一般情况下,可以通过点运算符(.)完成相同的功能,但是getat…

[激光原理与应用-112]:南京科耐激光-激光焊接-焊中检测-智能制程监测系统IPM介绍 - 16 - 常见的产品指标

目录 一、光学传感器技术指标:实时信号采集与信号处理 (1)适用激光器的功率范围宽: (2)感光范围:350nm~1750nm:从可见光到红外光 (3)信号类型&#xff1a…

NSSCTF_RE(二)暑期

[CISCN 2021初赛]babybc LLVM是那个控制流平坦化混淆,bc是IR指令文件 得到64位elf文件 然后就慢慢分析,感觉太妙了我靠 一个数独游戏,用二个二维数组添加约束,一个二维数组作地图,慢慢看 最后用 z3 来解数独&#xf…

k8s快速部署一个网站

1)使用Deployment控制器部署镜像: kubectl create deployment web-demo --imagelizhenliang/web-demo:v1 kubectl get deployment,pods[rootk8s-matser ~]# kubectl get pods NAME READY STATUS RESTARTS A…

25届平安产险校招测评IQ新16PF攻略:全面解析与应试策略

尊敬的读者,您好。随着平安产险校招季的到来,许多应届毕业生正积极准备着各项测评。本文旨在提供一份详尽的测评攻略,帮助您更好地理解平安产险的校招测评流程,以及如何有效应对。 25届平安产险平安IQ(新)测…

Java 设计模式系列:外观模式

简介 外观模式(Facade Pattern)是一种设计模式,又名门面模式,是一种通过为多个复杂的子系统提供一个一致的接口,而使这些子系统更加容易被访问的模式。该模式对外有一个统一接口,外部应用程序不用关心内部…

2024-07-14 Unity插件 Odin Inspector2 —— Essential Attributes

文章目录 1 说明2 重要特性2.1 AssetsOnly / SceneObjectsOnly2.2 CustomValueDrawer2.3 OnValueChanged2.4 DetailedInfoBox2.5 EnableGUI2.6 GUIColor2.7 HideLabel2.8 PropertyOrder2.9 PropertySpace2.10 ReadOnly2.11 Required2.12 RequiredIn(*)2.…

基于Python thinker GUI界面的股票评论数据及投资者情绪分析设计与实现

1.绪论 1.1背景介绍 Python 的 Tkinter 库提供了创建用户界面的工具,可以用来构建股票评论数据及投资者情绪分析的图形用户界面(GUI)。通过该界面,用户可以输入股票评论数据,然后通过情感分析等技术对评论进行情绪分析…

昇思25天学习打卡营第14天 | ShuffleNet图像分类

昇思25天学习打卡营第14天 | ShuffleNet图像分类 文章目录 昇思25天学习打卡营第14天 | ShuffleNet图像分类ShuffleNetPointwise Group ConvolutionChannel ShuffleShuffleNet模块网络构建 模型训练与评估数据集训练模型评估模型预测 总结打卡 ShuffleNet ShuffleNetV1是旷世科…

大模型系列3--pytorch dataloader的原理

pytorch dataloader运行原理 1. 背景2. 环境搭建2.1. 安装WSL & vscode2.2. 安装conda & pytorch_gpu环境 & pytorch 2.112.3 命令行验证python环境2.4. vscode启用pytorch_cpu虚拟环境 3. 调试工具3.1. vscode 断点调试3.2. py-spy代码栈探测3.3. gdb attach3.4. …

基于锚框的物体检测过程

说明:基于锚框的物体检测过程:分为单阶段和两阶段 整体步骤: 提供目标候选区域: 锚框提供了一组预定义的候选区域,这些区域可以覆盖各种尺度和长宽比的目标。通过这些锚框,可以在不同的位置和不同的尺度上…

02-Charles的安装与配置

一、Charles的安装 Charles的下载地址:https://www.charlesproxy.com/。 下载之后,傻瓜式安装即可。 二、Charles组件介绍 主导航栏介绍: 请求导航栏介绍: 请求数据栏介绍: 三、Charles代理设置 四、客户端-windows代理…