防火墙虚拟系统实验

news2025/3/6 21:08:51

拓扑图

在这里插入图片描述

需求一

安全策略要求:
1、只存在一个公网IP地址,公司内网所有部门都需要借用同一个接口访问外网
2、财务部禁止访问Internet,研发部门只有部分员工可以访问Internet,行政部门全部可以访问互联网
3、为三个部门的虚拟系统分配相同的资源类

基础配置

在这里插入图片描述
在这里插入图片描述

启用虚拟系统
[FW]vsys enable 
配置资源类
[FW]resource-class r1---创建资源类r1
[FW-resource-class-r1]resource-item-limit bandwidth 2 outbound 
[FW-resource-class-r1]resource-item-limit session reserved-number 500 maximum 1000
[FW-resource-class-r1]resource-item-limit user reserved-number 100
[FW]display resource global-resource------查看剩余公共资源

在这里插入图片描述
在这里插入图片描述

创建虚拟系统
[FW]vsys name vsysa ---创建虚拟系统,名称为vsysa
[FW-vsys-vsysa]assign resource-class r1 ---设定使用的资源类
[FW-vsys-vsysa]assign interface GigabitEthernet 1/0/1 ---将接口划入虚拟系统

在这里插入图片描述

管理员配置
[FW]switch vsys vsysa ---切换到vsysa系统中
[FW-vsysa]aaa
[FW-vsysa-aaa]manager-user admin@@vsysa ---创建vsysa虚拟系统管理员,@@为固定,前为用户名,后为虚拟系统名称
[FW-vsysa-aaa-manager-user-admin@@vsysa]password --配置密码,需要输入两遍,密码没有回显
Enter Password:admin@123
Confirm Password:admin@123
[FW-vsysa-aaa-manager-user-admin@@vsysa]level 15 --设定权限
[FW-vsysa-aaa-manager-user-admin@@vsysa]service-type web telnet ssh ---设定登录服务,一般选择ssh和web即可
[FW-vsysa-aaa-manager-user-admin@@vsysa]quit
[FW-vsysa-aaa]bind manager-user admin@@vsysa role system-admin ---定义admin@@vsysa用户为系统管理员

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

nat策略配置
[FW]security-policy
[FW-policy-security]rule name to_internet
[FW-policy-security-rule-to_internet]source-zone trust 
[FW-policy-security-rule-to_internet]destination-zone untrust 
[FW-policy-security-rule-to_internet]action permit 
[FW-policy-security]q
[FW]nat-policy 
[FW-policy-nat]rule name nat1
[FW-policy-nat-rule-nat1]source-zone trust 
[FW-policy-nat-rule-nat1]destination-zone
[FW-policy-nat-rule-nat1]egress-interface GigabitEthernet 1/0/0
[FW-policy-nat-rule-nat1]source-address 10.3.0.0 16	
[FW-policy-nat-rule-nat1]action source-nat easy-ip

在这里插入图片描述

虚拟系统配置
[FW]switch vsys vsysa
[FW-vsysa]int g1/0/1
[FW-vsysa-GigabitEthernet1/0/1]ip add 10.3.0.254 24
Error: The address already exists.
[FW-vsysa-GigabitEthernet1/0/1]q
[FW-vsysa]interface Virtual-if 1
[FW-vsysa-Virtual-if1]ip add 172.16.1.1 24
[FW-vsysa-Virtual-if1]q
[FW-vsysa]firewall zone trust 
[FW-vsysa-zone-trust]add int g 1/0/1
[FW-vsysa]firewall zone untrust 
[FW-vsysa-zone-untrust]add int Virtual-if 1
[FW-vsysa-zone-untrust]q
[FW-vsysa]ip route-static 0.0.0.0 0 public 	
[FW-vsysa]ip address-set ip_add01 type object
[FW-vsysa-object-address-set-ip_add01]add range 10.3.0.1 10.3.0.10
[FW-vsysa-object-address-set-ip_add01]q
[FW-vsysa]security-policy 
[FW-vsysa-policy-security]rule name to_internet
[FW-vsysa-policy-security-rule-to_internet]source-zone trust 
[FW-vsysa-policy-security-rule-to_internet]destination-zone untrust 
[FW-vsysa-policy-security-rule-to_internet]source-address address-set ip_add01
[FW-vsysa-policy-security-rule-to_internet]action permit

在这里插入图片描述

虚拟系统配置
[FW]switch vsys vsysb
[FW-vsysb]int g1/0/2
[FW-vsysb-GigabitEthernet1/0/2]ip add 10.3.1.254 24
[FW-vsysb-GigabitEthernet1/0/2]q
[FW-vsysb]int Virtual-if 2
[FW-vsysb-Virtual-if2]ip add 172.16.2.1 24
[FW-vsysb-Virtual-if2]q
[FW-vsysb]firewall zone trust 
[FW-vsysb-zone-trust]add int g 1/0/2
[FW-vsysb-zone-trust]q
[FW-vsysb]firewall zone untrust 	
[FW-vsysb-zone-untrust]add int Virtual-if 2
[FW-vsysb-zone-untrust]q
[FW-vsysb]ip route-static 0.0.0.0 0 public 

[FW]switch vsys vsysc
[FW-vsysc]int g1/0/3
[FW-vsysc-GigabitEthernet1/0/3]ip add 10.3.2.254 24
[FW-vsysc]int Virtual-if 3
[FW-vsysc-Virtual-if3]ip add 172.16.3.1 24
[FW-vsysc-Virtual-if3]q
[FW-vsysc]firewall zone trust
[FW-vsysc-zone-trust]add int g1/0/3
[FW-vsysc-zone-trust]q
[FW-vsysc]firewall zone untrust 
[FW-vsysc-zone-untrust]add int Virtual-if 3
[FW-vsysc-zone-untrust]q
[FW-vsysc]ip route-static 0.0.0.0 0 public 
[FW-vsysc]security-policy	
[FW-vsysc-policy-security]rule name to_internet
[FW-vsysc-policy-security-rule-to_internet]source-zone trust 
[FW-vsysc-policy-security-rule-to_internet]destination-zone untrust 
[FW-vsysc-policy-security-rule-to_internet]source-address 10.3.2.0 24
[FW-vsysc-policy-security-rule-to_internet]action permit

测试

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2310698.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

点云滤波方法:特点、作用及使用场景

点云滤波方法:特点、作用及使用场景

点云滤波是点云数据预处理的重要步骤,目的是去除噪声点、离群点等异常数据,平滑点云或提取特定频段特征,为后续的特征提取、配准、曲面重建、可视化等高阶应用打下良好基础。以下是点云中几种常见滤波方法的特点、作用及使用场景:…
阅读更多...
Gradle 配置 Lombok 项目并发布到私有 Maven 仓库的完整指南

Gradle 配置 Lombok 项目并发布到私有 Maven 仓库的完整指南

Gradle 配置 Lombok 项目并发布到私有 Maven 仓库的完整指南 在 Java 项目开发中,使用 Lombok 可以极大地减少样板代码(如 getter/setter 方法、构造器等),提高开发效率。然而,当使用 Gradle 构建工具并将项目发布到私…
阅读更多...
ArcGIS Pro 基于基站数据生成基站扇区地图

ArcGIS Pro 基于基站数据生成基站扇区地图

在当今数字化的时代,地理信息系统(GIS)在各个领域都发挥着至关重要的作用。 ArcGIS Pro作为一款功能强大的GIS软件,为用户提供了丰富的工具和功能,使得数据处理、地图制作和空间分析变得更加高效和便捷。 本文将为您…
阅读更多...
【Python · Pytorch】Conda介绍 DGL-cuda安装

【Python · Pytorch】Conda介绍 DGL-cuda安装

本文仅涉及DGL库介绍与cuda配置,不包含神经网络及其训练测试。 起因:博主电脑安装了 CUDA 12.4 版本,但DGL疑似没有版本支持该CUDA版本。随即想到可利用Conda创建CUDA12.1版本的虚拟环境。 1. Conda环境 1.1 Conda环境简介 Conda&#xff1…
阅读更多...
leetcode:2965. 找出缺失和重复的数字(python3解法)

leetcode:2965. 找出缺失和重复的数字(python3解法)

难度:简单 给你一个下标从 0 开始的二维整数矩阵 grid,大小为 n * n ,其中的值在 [1, n2] 范围内。除了 a 出现 两次,b 缺失 之外,每个整数都 恰好出现一次 。 任务是找出重复的数字a 和缺失的数字 b 。 返回一个下标从…
阅读更多...
Android U 分屏——SystemUI侧处理

Android U 分屏——SystemUI侧处理

WMShell相关的dump命令 手机分屏启动应用后运行命令:adb shell dumpsys activity service SystemUIService WMShell 我们可以找到其中分屏的部分,如下图所示: 分屏的组成 简图 分屏是由上分屏(SideStage)、下分屏(MainStage)以及分割线组…
阅读更多...
flink集成tidb cdc

flink集成tidb cdc

Flink TiDB CDC 详解 1. TiDB CDC 简介 1.1 TiDB CDC 的核心概念 TiDB CDC 是 TiDB 提供的变更数据捕获工具,能够实时捕获 TiDB 集群中的数据变更(如 INSERT、UPDATE、DELETE 操作),并将这些变更以事件流的形式输出。TiDB CDC 的…
阅读更多...
推荐1款OCR的扫描仪软件,无需安装,打开即用!

推荐1款OCR的扫描仪软件,无需安装,打开即用!

聊一聊 现在日常办公,很多时候还是需要扫描仪配合。 很多时候需要将文件搜索成PDF再传输。 今天给大家分享一款OCR扫描仪软件。 软件介绍 OCR的扫描仪软件 支持扫描仪共享。 支持WIA、TWAIN、SANE和ESCL驱动程序。 还可以批量多扫描仪配置扫描,支持…
阅读更多...
SpringBoot为什么默认使用CGLIB?

SpringBoot为什么默认使用CGLIB?

大家好,我是锋哥。今天分享关于【SpringBoot为什么默认使用CGLIB?】面试题。希望对大家有帮助; SpringBoot为什么默认使用CGLIB? 1000道 互联网大厂Java工程师 精选面试题-Java资源分享网 Spring Boot 默认使用 CGLIB(Code Generation Li…
阅读更多...
神经网络|(十三)|SOM神经网络

神经网络|(十三)|SOM神经网络

【1】引言 前序已经对神经网络有了基础认识,今天先学习SOM神经网络。 前序学习文章链接包括且不限于: 神经网络|(十一)|神经元和神经网络-CSDN博客 神经网络|(十二)|常见激活函数-CSDN博客 【2】SOM神经网络 SOM神经网络是一种结构比较简单、但是理…
阅读更多...
IP协议、DNS协议、DHCP协议、Telent协议的记忆总结

IP协议、DNS协议、DHCP协议、Telent协议的记忆总结

首先记忆一下几个协议的端口号 HTTP:超文本传输协议 80 HTTPS:安全传输协议 443 DHCP:动态主机配置协议 67/68 DNS:域名解析协议 53 FTP:文件传输协议 20/21 TFTP:简单文件传输协议 69 TELENT:远…
阅读更多...
Pico 4 Enterprise(企业版)与Unity的交互-有线串流调试篇

Pico 4 Enterprise(企业版)与Unity的交互-有线串流调试篇

入手了Pico 4 E做VR开发,谁知入了天坑...根据官方文档,尝试了串流助手、企业串流、PICO Developer Center,陷入了各种版本问题、环境问题的陷阱。而且Pico4E的OS自24年12开始就不再更新,头盔中预装的企业串流版本也较低&#xff0…
阅读更多...
DeepSeek-R1:使用KTransformers实现高效部署指南

DeepSeek-R1:使用KTransformers实现高效部署指南

KTransformers作为一个开源框架,专门为优化大规模语言模型的推理过程而设计。它支持GPU/CPU异构计算,并针对MoE架构的稀疏性进行了特别优化,可以有效降低硬件要求,允许用户在有限的资源下运行像DeepSeek-R1这样庞大的模型。 硬件…
阅读更多...
任务9:交换机基础及配置

任务9:交换机基础及配置

CSDN 原创主页:不羁https://blog.csdn.net/2303_76492156?typeblog 一、交换机基础 交换机的概念:交换机是一种网络设备,用于连接多台计算机或网络设备,实现数据包在局域网内的快速交换。交换机基于MAC地址来转发数据包&#x…
阅读更多...
Notepad++ 8.6.7 安装与配置全攻略(Windows平台)

Notepad++ 8.6.7 安装与配置全攻略(Windows平台)

一、软件定位与核心优势 Notepad 是开源免费的代码/文本编辑器,支持超过80种编程语言的高亮显示,相比系统自带记事本具有以下优势: 轻量高效:启动速度比同类软件快30%插件扩展:支持NppExec、JSON Viewer等200插件跨文…
阅读更多...
SpringMVC请求处理流程:DispatcherServlet工作原理

SpringMVC请求处理流程:DispatcherServlet工作原理

文章目录 引言一、DispatcherServlet概述二、DispatcherServlet初始化过程三、请求接收与处理器匹配四、请求参数绑定与处理器执行五、视图解析与渲染六、异常处理机制总结 引言 SpringMVC框架是Java Web开发中最流行的MVC框架之一,其核心组件DispatcherServlet作为…
阅读更多...
解锁数据潜能,永洪科技以数据之力简化中粮可口可乐决策之路

解锁数据潜能,永洪科技以数据之力简化中粮可口可乐决策之路

企业数字化转型是指企业利用数字技术和信息通信技术来改变自身的商业模式、流程和增值服务,以提高企业的竞争力和创新能力。数字化转型已经成为企业发展的重要战略,尤其在当前信息技术高速发展的时代。数字化转型还涉及到企业与消费者之间的互动和沟通。…
阅读更多...
双链路提升网络传输的可靠性扩展可用带宽

双链路提升网络传输的可靠性扩展可用带宽

为了提升网络传输的可靠性或增加网络可用带宽, 通常使用双链路冗余备份或者双链路聚合的方式。 本文介绍几种双链路网络通信的案例。 5GWiFi冗余传输 双Socket绑定不同网络接口:通过Android的ConnectivityManager绑定5G蜂窝网络和WiFi的Socket连接&…
阅读更多...
前端性能优化之同时插入100000个元素页面不卡顿

前端性能优化之同时插入100000个元素页面不卡顿

面试官:同时插入100000个元素怎么让页面不卡顿 优化前写法 首先我们来看下面的一段,点击按钮后,循环100000次,每次都插入一个元素,并且插入区域上方还有一个小球在滚动,在插入的过程中我们可以观察小球的…
阅读更多...
Exoplayer2源码编译FFmpeg拓展模块实现音频软解码

Exoplayer2源码编译FFmpeg拓展模块实现音频软解码

在前面文章最新版本Exoplayer扩展FFmpeg音频软解码保姆级教程中介绍了最新版本的Exoplayer(androidx.Media3)编译FFmpeg模块的流程,有就是media3版本的explayer最低支持的sdk版本是21也就是Android5.x,但是市面上还是有很多IOT设备是很老的android4.4(sdk19)的&…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023