某科技公司防火墙配置与管理

news2024/11/15 23:52:30

目录
杭州继保南瑞电子科技有限公司… 1

公司简介…2
需求分析… 错误!未定义书签。
公司网络拓扑图…4
IP 地址规划 …4
设备选型…5
技术介绍…6
6.1 DMZ …6
6.2 VPN …6
6.3 NAT …6
6.4 ACL …7
项目实施…7
7.1 DMZ 区域配置及结果测试 …7
7.1.1 防火墙基本配置…8
7.1.2 内网和外网之间的配置…9
7.1.3 内网和 DMZ 区之间的配置…12
7.1.4 外网和 DMZ 之间的配置…14
7.2VPN 配置… 16
7.2.1 总公司防火墙配置…17
7.2.2 分公司防火墙配置…19
7.2.3 总公司访问分公司的测试结果…20
7.3 NAT 配置与结果测试 …22
7.3.1 内网通过 NAT 转化访问外网 …22
7.3.2 内外网通过 NAT 访问 DMZ 区…24
7.4 ACL 配置与结果测试…26
7.4.1 防火墙和交换机基本配置…27
7.4.2 研发中心 ACL 访问策略配置…28
7.4.3 生产中心、行政中心 ACL 访问策略配置…30
7.4.4 禁止所有部门访问唯品会、蘑菇街等购物网站 …32
7.4.5 禁止所有部门上网搜索电影、小说等关键字 …34
结束语… 36
参考文献… 37
三、需求分析

通过我们的了解，学校需要实现保护校内网络避免来自 INTERNET 的攻击，
让私网用户可以访问公网，可以通过 INTERNET 向外网的用户提供信息，并
且可以与分校实现互相访问，允许教学楼的 pc 访问 INTERNET 但不能够使
用 QQ 等通讯软件，禁止机房在上课时间访问 INTERNET，禁止所有的 PC 上
淘宝网和天猫网，禁止所有 PC 搜索关键字电影、小说。
通过配置 NAT 使私网用户可以访问公网地址。
通过 ACL 控制用户 Internet 的访问，保护客户端避免来自 Internet 的攻击。

第 2 页

发布 DMZ 站点，以便通过 Internet 向外网用户提供信息。
架设 VPN 服务，实现总公司与分公司的互相访问。
硬件统一威胁管理产品作为 Internet 连接部署方案。通过分析公司的情况，
归纳出如下需求：
（1）NAT（网络地址转换）：通过配置 NAT 使私网用户可以访问公网地址。
（2）VPN（虚拟专用网络）：架设 VPN 服务，实现总公司与分公司的互相访
问。
（3）ACL（访问控制列表）：通过 ACL 控制用户 Internet 的访问，保护客
户端避免来自 Internet 的攻击。
（1）允许研发中心访问 Internet,但不能使用 QQ 等通讯软件；
（2）禁止行政中心、生产中心每天在上班时间访问 Internet；
（3）禁止所有部门访问唯品会、蘑菇街等购物网站；
（4）禁止所有部门上网搜索电影、小说等娱乐项目的关键字；
（4） DMZ（服务器安全区域）：发布 DMZ 站点，以便通过 Internet 向外网
用户提供信息。

第 3 页

内网（总公司） Ip 地址/网段子网掩码 VLAN 号

接入层研发中心 192.168.20.0 255.255.255.0 20
生产中心 192.168.30.0 255.255.255.0 30
行政中心 192.168.40.0 255.255.255.0 40
营销中心 192.168.50.0 255.255.255.0 50
技术中心 192.168.60.0 255.255.255.0 60
汇聚层交换机 192.168.11.2~192.168.15
.2 255.255.255.0 11~15
核心层交换机 192.168.11.1~192.168.15
.1 255.255.255.0 11~15
192.168.0.3（G1/0/1） 255.255.255.0 16

出口
防火墙 192.168.0.1（E0/3） 255.255.255.0
192.168.17.1（E0/2） 255.255.255.0
201.100.0.1（E0/1） 255.255.255.0

四、公司网络拓扑图
在这里插入图片描述
图 0-1 公司网络拓扑图
七、技术介绍