安全防御,防火墙配置NAT转换智能选举综合实验

news2024/12/23 19:14:05

目录:

一、实验拓扑图

二、实验需求

三、实验大致思路

四、实验步骤

 1、防火墙的相关配置

2、ISP的配置

2.1 接口ip地址配置:

3、新增设备地址配置

4、多对多的NAT策略配置,但是要保存一个公网ip不能用来转换,使得办公区的部分设备可以通过电信或者移动连理进行上网

4.1 在FW1上新建电信和移动的安全区域

4.2 修改FW1的g1/0/2和g1/0/3的区域

4.3 (需求1)做NAT策略,并保留一个公网地址不能用来转换使得办公区的部分设备可以通过电信或者移动连理进行上网

4.3.1 测试办公区PC是否可以访问ISP的环回(外网):

5、(需求2)使得分公司的设备通过总公司的移动或者电信链路访问DMZ的http服务器

5.1 在FW2上做NAT和安全策略

5.2 测试:分公司可以访问外网

5.2 在FW1上做服务器映射和安全策略

6、(需求3)智能选路,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;

6.1、修改子接口

7、(需求四)分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;

 7.1 FW2上做双向NAT

8、 (需求五)游客区仅能通过移动链路访问互联网


一、实验拓扑图

二、实验需求

1、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)

2、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

3、多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;

4、分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;

5、游客区仅能通过移动链路访问互联网

三、实验大致思路

1.设备的接口ip地址要配置全面,包括新增的设备的ip地址,同时做好防火墙FW2的网络配置

2.会做NAT转换,包括多对多,双向,以及智能选路策略

3.进行服务测试,验证策略是否配置正确

四、实验步骤

 1、防火墙的相关配置

FW2配置:

 连接ISP的接口:

选中ping选项,便于测试!!!

2、ISP的配置

2.1 接口ip地址配置:

3、新增设备地址配置

 

 只展示以上部分的设备的配置,ip地址合理分配即可!!!

4、多对多的NAT策略配置,但是要保存一个公网ip不能用来转换,使得办公区的部分设备可以通过电信或者移动连理进行上网

4.1 在FW1上新建电信和移动的安全区域

4.2 修改FW1的g1/0/2和g1/0/3的区域

4.3 (需求1)做NAT策略,并保留一个公网地址不能用来转换使得办公区的部分设备可以通过电信或者移动连理进行上网

新创建一个源地址转池:将配置黑洞路由勾选(防止路由环路,还可以引入到OSPF等动态路由协议中发布出去),取消勾选允许端口地址转换(我们要配置多对多的NAT抓换和源地址转换,如果勾选端口地址转换就会让其变成了端口影射)

 关于NAT的安全策略

NAT策略:

4.3.1 测试办公区PC是否可以访问ISP的环回(外网):

可以发现,策略成功,并且通过查看防火墙的server-map表可以发现,流量是走的电信的链路!!

 用clinet ping 1.1.1.1

依旧走的是电信的12.0.0.4 

用client5去ping 1.1.1.1 

 此次走的是移动的21.0.0.3的链路!!! 测试成功!!

5、(需求2)使得分公司的设备通过总公司的移动或者电信链路访问DMZ的http服务器

5.1 在FW2上做NAT和安全策略

NAT策略:

安全策略:

5.2 测试:分公司可以访问外网

5.2 在FW1上做服务器映射和安全策略

服务器映射:

安全策略:

 

测试:

 

6、(需求3)智能选路,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;

6.1、修改子接口

 新建链路接口:

 

测试: 

在g1/0/2口抓包: 

7、(需求四)分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;

 7.1 FW2上做双向NAT

 测试:

8、 (需求五)游客区仅能通过移动链路访问互联网

测试: 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1931711.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

c++入门----类与对象(上)

大家好啊,好久没有更新了。因为本人的愚笨,想与大家分享的话肯定还得自己明白了才能给大家分享吧。所以这几天都在内部消化。好给大家优质的文章。当然我写的肯定还是很有问题的,希望大家可以在评论区里面指出来。好,废话不多说&a…

LabVIEW 与 PLC 通讯方式

在工业自动化中,LabVIEW 与 PLC(可编程逻辑控制器)的通信至关重要,常见的通信方式包括 OPC、Modbus、EtherNet/IP、Profibus/Profinet 和 Serial(RS232/RS485)。这些通信协议各有特点和应用场景&#xff0c…

从图表访问Data Store Memory

Simulink模型将全局变量实现为数据存储,可以是数据存储内存块,也可以是Simulink.Signal的实例。您可以使用数据存储在多个Simulink块之间共享数据,而无需显式的输入或输出连接来将数据从一个块传递到另一个块。Stateflow图表通过符号化地读取…

警惕预言成真!3本预警、On Hold已被剔除,新增8本SCI/SSCI被除名!7月WOS更新(附下载)

本周投稿推荐 SCI • 能源科学类,1.5-2.0(25天来稿即录) • IEEE计算机类,4.0-5.0(48天录用) • 生物医学制药类(2天逢投必中) EI • 各领域沾边均可(2天录用&…

精益思维在数字工厂建设中的具体应用

在数字化浪潮席卷全球的今天,数字工厂建设已成为企业转型升级的必由之路。然而,如何确保数字工厂的高效运行和持续创新,成为摆在众多企业面前的难题。精益思维,作为一种追求持续改进和卓越绩效的管理理念,正成为助力数…

iPhone手机怎么识别藏文?藏语翻译通App功能介绍:藏文OCR识别提取文字

在工作学习的过程中,遇到不会的藏文,也不知道怎么把文字打出来,这个时候可以试试《藏语翻译通》App的图片识别功能,支持拍照识别和图片识别,拍一拍就能提取藏文文字,并支持一键翻译和复制分享。 跟着小编的…

汽车免拆诊断案例 | 2017 款林肯大陆车发动机偶尔无法起动

故障现象 一辆2017款林肯大陆车,搭载2.0T发动机,累计行驶里程约为7.5万km。车主进厂反映,有时按下起动按钮,起动机不工作,发动机无法起动,组合仪表点亮正常;多次按下起动按钮,发动机…

01大学物理电磁篇 静电场

5-6 静电场的环路定理 电势能 5-7电势 5-8电场强度与电势梯度

背部筋膜炎最有效的治疗方法

背部筋膜炎症状:背部筋膜炎引起的疼痛通常是钝痛或酸痛,且这种疼痛是无菌性炎症产生的炎症因子、疼痛因子刺激局部神经引起的。疼痛主要发生在腰背部,特别是两侧腰肌和髂嵴上方可能会更加明显。长时间不活动或活动过度都可能诱发疼痛。疼痛可…

使用element UI Cascader 级联选择器实现省/市/区选择

<template><div><label>位置</label><el-cascader:options"pcaTextArr"v-model"selectedOptions"change"handleChangeAddress":props"{expandTrigger: hover,multiple: true,checkStrictly: true,emitPath: fal…

windows 打包pyd文件

1.新建一个py文件&#xff0c;myunit.py&#xff0c;里面的代码是: class Adder: def __init__(self, a, b): self.a a self.b b def add(self): return self.a self.b 2.新建一个py文件&#xff0c;setup.py&#xff0c;里面的代码是: from setuptools import setup fro…

完整教程 linux下安装百度网盘以及相关依赖库,安装完成之后启动没反应 或者 报错

完整教程 linux下安装百度网盘以及相关依赖库&#xff0c;安装完成之后启动没反应 或者 报错。 配置国内镜像源&#xff1a; yum -y install wget mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.bak wget -O /etc/yum.repos.d/CentOS-Base.repo ht…

MySQL运维实战之Clone插件(10.1)使用Clone插件

作者&#xff1a;俊达 clone插件介绍 mysql 8.0.17版本引入了clone插件。使用clone插件可以对本地l或远程的mysql实例进行clone操作。clone插件会拷贝innodb存储引擎表&#xff0c;clone得到的是原数据库的一个一致性的快照&#xff0c;可以使用该快照数据来启动新的实例。cl…

服务器基础2

服务器基础复习02 1.网络管理 nmcli nmcli是NetworkManager的一个命令行工具&#xff0c;它提供了使用命令行配置由NetworkManager管理网络连接的方法。nmcli命令的基本格式为&#xff1a; nmcli [OPTIONS] OBJECT { COMMAND | help }其中&#xff0c;OBJECT选项可以是genera…

PHP旅游门票预订系统小程序源码

旅游门票预订系统&#xff1a;轻松规划&#xff0c;畅游无忧&#x1f30d; &#x1f3ab;【一键预订&#xff0c;说走就走】 还在为排队购票浪费时间而烦恼吗&#xff1f;旅游门票预订系统让你告别长龙&#xff0c;享受说走就走的旅行&#xff01;只需在手机或电脑上轻轻一点…

通过Dockerfile构建镜像

案例一&#xff1a; 使用Dockerfile构建tomcat镜像 cd /opt mkdir tomcat cd tomcat/ 上传tomcat所需的依赖包 使用tar xf 解压三个压缩包vim Dockerfile FROM centos:7 LABEL function"tomcat image" author"tc" createtime"2024-07-16"ADD j…

橙芯创想:香橙派AIPRO解锁升腾LLM与Stable Diffusion的创意密码

文章目录 引言 一. 香橙派AI PRO配置以及展示优秀的扩展能力实物展示 二、Ascend-LLM模型部署开机xshell连接香橙派实战运行部署运行结果分析开发版表现 三、Stable Diffusion文生图性能表现 四、体验总结性能噪音便捷性 引言 在科技的浪潮中&#xff0c;一场融合智慧与创意的盛…

AI 和平台工程对云原生演进的影响:将云之旅自动化到光速

2024 年和云原生 AI 技术的曙光标志着计算能力的重大飞跃。我们正在经历一个新时代&#xff0c;人工智能 &#xff08;AI&#xff09; 和平台工程融合在一起&#xff0c;改变云计算格局。人工智能现在正在与云计算融合&#xff0c;我们正在经历一个人工智能超越传统界限的时代&…

IDEA实现NPM项目的自打包自发布自部署

目录 前言 正文 操作背景 NPM自发布 Package自发布 NPM部署 尾声 &#x1f52d; Hi,I’m Pleasure1234&#x1f331; I’m currently learning Vue.js,SpringBoot,Computer Security and so on.&#x1f46f; I’m studying in University of Nottingham Ningbo China&#x1f…

【软件测试】RobotFramework常见问题如何解决 ?

附加-问题解决 1. 执行robot用例的时候提示WebDriverException: Message: invalid argument: cant kill an exited process 查看驱动的log是否是提示 如果是的话&#xff0c;参照第七步安装图形界面 2. jenkins启动后发现打不开jenkins页面的问题解决 打开jenkins页面提…