【自学网络安全】二、防火墙NAT智能选路综合实验

news2024/11/22 22:24:03

任务要求:

(衔接上一个实验所以从第七点开始,但与上一个实验关系不大)
7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
9,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
11,游客区仅能通过移动链路访问互联网

实验拓扑:

在这里插入图片描述

实验步骤:

七、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)

1、完成实验拓扑部署,使web界面管理防火墙配置(上一个实验第一个步骤有写过程)
2、在FW1上,将所有接口的防火墙配置IP配置好,在配置缺省路由使最好把源进源出勾上,如下:在这里插入图片描述
3、查看路路由表是否有问题,检查缺省路由是否开了没,并且项目NAT策略时设置地址池使要勾选黑洞路由,看是否存在黑洞路由,如下:
在这里插入图片描述
在这里插入图片描述
4、建立安全区域,如下:
在这里插入图片描述
5、将防火墙g1/0/1和g1/0/2分别绑定到电信和移动链路,配置如下:
在这里插入图片描述
在这里插入图片描述
将上网目标IP写入文件中,如下:
在这里插入图片描述

在这里插入图片描述
6、配置NAT策略,需要注意的是在地址池配置完成后,需要点击新建安全策略,使防火墙放行流量才能再做NAT转换,配置如下:
在这里插入图片描述

1)在配置地址池时需要注意一下就是要勾选黑洞路由,然后在高级配置中添加一个保留IP12.0.0.6(地址池中的任一一个IP),如下:
在这里插入图片描述

在这里插入图片描述
8、结果测试:
1)将公网100.0.0.10的httpserver服务打开,用办公区client7访问服务,发现服务访问成功。
在这里插入图片描述
2)看NAT策略命中情况,发现成功命中。
在这里插入图片描述
3)抓防火墙FW1的g0/0/1和g0/0/2接口的流量,发现电信链路和移动链路都有流量流出,即而且转换地址是12.0.0.5(非预留地址),综上:实验7完成。
在这里插入图片描述
在这里插入图片描述

八、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

1、在FW2上,添加FL安全域,代表分公司网络区,如下:

在这里插入图片描述
2、配置好接口IP及网关,如下:
在这里插入图片描述

3、在FW2上做NAT策略,做个easy ip 即可,并自动生成安全策略,如下:


4、在FW2上,配置NAT策略,开放DMZ区的httpserver,使用服务器映射,即公网端口与私网端口一对一转换,在电信链路和移动链路上分别做一个NAT策略,并且自动生成安全策略,(注意这个过程是先转换地址再进行安全策略)如下:
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

5、结果测试:
1.)用client6访问12.0.0.2的80端口,访问成功:

在这里插入图片描述

2)在FW1上,查看会话表,发现地址转换成功,(此时走的的电信链路)如下:
在这里插入图片描述

3)使client6访问21.0.0.2的80端口,访问成功,如下:
在这里插入图片描述

4)在FW1上,查看会话表,发现地址转换成功,(此时走的的移动链路)如下:

在这里插入图片描述
5)在FW1和FW2上看看NAT策略匹配情况,发现全部NAT策略都可被匹配,实验完成,如下:
FW1:
在这里插入图片描述
FW2:

在这里插入图片描述

九、多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;

1、在FW1中,找到网络,路由,智能选路,点击配置,选择根据宽带负载分担,新建电信和移动链路,如下:
在这里插入图片描述
在这里插入图片描述

2、在接口中,点击g1/0/1和g1/0/2,写入入方向宽带和出方向宽带,设置过载保护阈值80%,如下:
在这里插入图片描述

3、配置NAT策略,源地址写10.0.0.2,出接口为g1/0/1 TODX,注意:需要把之前移动链路绑定的移动地址库的IP删掉,不然实验不成功,因为如果电信和移动的地址库一样,就会使出去访问互联网的数据流均负载分担,所以得选两个出口,与题目要求不符,建议直接把电信和移动的地址库删掉,才能实现流量根据链路带宽分担。
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
4、配置路由策略,位置如下:

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

5、结果测试:
1)安全策略成功匹配,如下:
在这里插入图片描述

2)NAT策略成功匹配,如下:

在这里插入图片描述
3)会话表显示10.0.2.10从电信口出,如下:
在这里插入图片描述

十、分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;

1、在FW2上,写NAT策略,地址转换方式为双向地址转换,源为FL区域目标IP为23.0.0.2,使分公司内网IP先访问FW2,转换源IP为192.168.1.0即出接口g1/0/1,同时目标IP装换为服务器内网IP,因为是域名访问,此时FW2防火墙并不知道此域名对应的IP是什么,所以接下来要去额外做一个NAT策略去访问DNS服务器,(无需自动添加安全策略)如下:在这里插入图片描述

2、加一个NAT策略,使访问外网的DNS服务器,并且自动添加安全策略,配置如下:

在这里插入图片描述
在这里插入图片描述
3、最重要的就是一定要给客户端加上DNS地址,如下:
在这里插入图片描述
4、写NAT策略,使外网访问内网服务器(底部80端口),并自动生成安全策略,如下:
在这里插入图片描述
在这里插入图片描述

5、结果测试,用分别用内网和外网访问服务器域名,均成功:

在这里插入图片描述

在这里插入图片描述

十一:游客区仅能通过移动链路访问互联网

1、在FW1,上做NAT策略,并自动生成安全策略,如下:
在这里插入图片描述
2、找到网络,点击路由—>智能路由—>策略路由->新建,配置如下:

点击
在这里插入图片描述

3、结果测试:
1)用游客区client4访问公网服务器100.0.0.100,访问成功,如下:
2)、查看NAT策略匹配情况,成功匹配,如下:

在这里插入图片描述
3)看会话表,成功匹配安全策略,并从移动链路出,如下:

在这里插入图片描述
到这里实验就完成了,恭喜大家,哈哈哈!!!
继续加油吧!!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1926711.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

LeetCode 算法:电话号码的字母组合 c++

原题链接🔗:电话号码的字母组合 难度:中等⭐️⭐️ 题目 给定一个仅包含数字 2-9 的字符串,返回所有它能表示的字母组合。答案可以按 任意顺序 返回。 给出数字到字母的映射如下(与电话按键相同)。注意 …

线程-I.MX6U嵌入式Linux C应用编程学习笔记基于正点原子阿尔法开发板

线程 线程概念 简介 线程定义:线程是操作系统进行调度的最小单位,包含在进程内,是进程中的实际执行单元 线程特性:一个线程代表进程中的一个单一顺序控制流,即执行路径 多线程应用:一个进程可以包含多个…

LabVIEW红外热波图像缺陷检

开发使用LabVIEW开发的红外热波图像缺陷检测系统。该系统结合红外热像仪、工业相机和高效的数据采集硬件,实现对工件表面缺陷的自动检测和分析。通过LabVIEW的强大功能,系统能够实时采集、处理和显示红外热波图像,有效提高了检测的精度和效率…

时域分析----移动平均滤波器介绍及其在金融应用示例

介绍 移动平均滤波器(Moving Average Filter)是一种基本但功能强大的信号处理技术,广泛应用于各种数据平滑和去噪任务中。其主要目的是通过对数据进行平均处理,减少随机波动和噪声,从而突出数据中的趋势和规律。移动平…

Win11任务栏当中对 STM32CubeMX 的堆叠问题

当打开多个 CubeMX 程序的时候,Win11 自动将其进行了堆叠,这时候就无法进行预览与打开。 问题分析:大部分ST的工具都是基于 JDK 来进行开发的,Win11 将其识别成了同一个 Binary 但是实际上他们并不是同一个,通过配置…

数据治理项目中,数据运营团队如何搭建能提升数据应用效果?

引言:在数据治理项目中,数据运营团队的搭建对于提升数据应用效果具有关键作用。以下是一些具体的步骤和策略,用于构建高效的数据运营团队以优化数据应用效果: 一、明确团队目标和职责 确定数据应用目标:首先&#xf…

【接口自动化_06课_Pytest+Excel+Allure完整框架集成】

一、logging在接口自动化里的应用 1、设置日志的配置,并收集日志文件 日志的设置需要在pytest.ini文件里设置。这个里面尽量不要有中文 2、debug日志的打印 pytest.ini文件的开关一定得是true才能在控制台打印日志 import allure import pytest from P06_PytestFr…

JavaScript(9) ----this指向问题,bind,call,apply等方法

目录 this指向问题 全局函数调用: 对象方法调用: 构造函数调用: 事件处理: 箭头函数: setTimeout和setInterval 7.使用call、apply或bind call 方法 apply 方法 bind 方法 总结 this指向问题 全局函数调用…

基于conda包的环境创建、激活、管理与删除

Anaconda是一个免费、易于安装的包管理器、环境管理器和 Python 发行版,支持平台包括Windows、macOS 和 Linux。下载安装地址:Download Anaconda Distribution | Anaconda 很多不同的项目可能需要使用不同的环境。例如某个项目需要使用pytorch1.6&#x…

STM32MP135裸机编程:支持内存非对齐访问

0 前言 使用stm32官方可视化初始化代码生成工具STM32CubeMX生成的工程GCC编译选项默认不支持非对齐访问,在我们进行非对齐的访问时就会进入数据异常中断DAbt中。为了解决这一问题,我们需要在GCC编译选项中加上一处配置。 1 操作方法 右键STM32CubeIDE…

ArkTS基础快速入门

初识ArkTS语言 ArkTS:是一门用于开发鸿蒙应用的编程语言。 ArkTS提供了声明式UI范式、状态管理支持等相应的能力,让开发者可以以更简洁、更自然的方式开发应用。 同时,它在保持TypeScript(简称TS)基本语法风格的基础…

启动yarn后,其他节点没有NodeManager

写在前面: 这个问题虽然折磨了我两天,但是原因特别蠢,可能与各位不一定一样,我是因为ResourceManager的节点的"/etc/hadoop/workers"文件没有配置好(没有配hadoop102和hadoop104),但排…

FPGA学习笔记(一) FPGA最小系统

文章目录 前言一、FPGA最小系统总结 前言 今天学习下FPGA的最小系统一、FPGA最小系统 FPGA最小系统与STM32最小系统类似,由供电电源,时钟电路晶振,复位和调试接口JTAG以及FLASH配置芯片组成,其与STM32最大的不同之处就是必须要有…

QQ频道导航退出

若该文为原创文章,转载请注明原文出处 本文章博客地址:https://hpzwl.blog.csdn.net/article/details/140413538 长沙红胖子Qt(长沙创微智科)博文大全:开发技术集合(包含Qt实用技术、树莓派、三维、OpenCV…

three.js添加多个画布

多个场景的渲染需要多个画布,但是这样会导致加载模型纹理次数变多,基本方法是用一张canvas在整个背景中填充视口,利用其它元素作为每个虚拟画布,只在canvas中加载一个渲染器renderer,并为每个虚拟画布创建一个场景&…

实训第一天笔记

#初始化一个新的NPM项目(根据提示操作) npm init #安装TSC、TSLint和NodeJS的类型声明 npm install -s typescript tslint types/node 在根目录中新建一个名为tsconfig.json的文件,然后在代码编辑器中打开,写入下述内容: {"compilerO…

Chromium CI/CD 之Jenkins实用指南2024-如何创建新节点(三)

1. 前言 在前一篇《Jenkins实用指南2024-系统基本配置(二)》中,我们详细介绍了如何对Jenkins进行基本配置,包括系统设置、安全配置、插件管理以及创建第一个Job。通过这些配置,您的Jenkins环境已经具备了基本的功能和…

Qt文件下载工具

在Qt中实现文件下载功能,通常可以通过多种方式来完成,包括使用 QNetworkAccessManager 和 QNetworkReply 类,或者使用更高级别的 QHttpMultiPart 类。以下是两种常见的实现方法: 方法1:使用 QNetworkAccessManager 和…

AI操作系统势头正猛,以后LINUX,和window,Android,IOS等等的OS都将被AI OS所取代!

AI操作系统是一种旨在利用人工智能技术来优化和管理计算资源的操作系统。它不仅仅是一个传统意义上的操作系统,而是一个能够自主学习和适应用户需求的智能平台。以下是对AI操作系统的一些关键特点和它是否能取代现有操作系统的讨论: AI操作系统的关键特…

OpenCV图像处理——判断轮廓是否在圆环内

要判断一个轮廓是否在圆环内&#xff0c;可以将问题分解为两个步骤&#xff1a; 确保轮廓的所有点都在外圆内。确保轮廓的所有点都在内圆外。 下面是一个完整的示例代码&#xff0c;展示如何实现这一点&#xff1a; #include <opencv2/opencv.hpp> #include <iostr…