【自学安全防御】二、防火墙NAT智能选路综合实验
使命要求:(衔接上一个实验所以从第七点开始,但与上一个实验关系不大)
7,办公区装备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保存一个公网IP不能用来转换)
8,分公司装备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
9,多出口情况基于带宽比例进行选路,但是,办公区中10.0.2.10该装备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
10,分公司内部的客户端可以通过域名访问到内部的服务器,公网装备也可以通过域名访问到分公司内部服务器;
11,游客区仅能通过移动链路访问互联网
实验拓扑:
https://i-blog.csdnimg.cn/direct/754c31a6f07c4bd3af16991a63d00a9f.png
实验步骤:
七、办公区装备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保存一个公网IP不能用来转换)
1、完成实验拓扑摆设,使web界面管理防火墙设置(上一个实验第一个步骤有写过程)
2、在FW1上,将全部接口的防火墙设置IP设置好,在设置缺省路由使最好把源进源出勾上,如下:https://i-blog.csdnimg.cn/direct/b7e25ff722d54dab806cfd0a727b0610.png
3、查看路路由表是否有题目,检查缺省路由是否开了没,并且项目NAT策略时设置地点池使要勾选黑洞路由,看是否存在黑洞路由,如下:
https://i-blog.csdnimg.cn/direct/7e5d7cfa5ea04bc88d344f7441d6c301.png
https://i-blog.csdnimg.cn/direct/eece078d638a47669242a58d6d950d09.png
4、创建安全区域,如下:
https://i-blog.csdnimg.cn/direct/1f3e411fecdc43dfa7e0139ae589c8f0.png
5、将防火墙g1/0/1和g1/0/2分别绑定到电信和移动链路,设置如下:
https://i-blog.csdnimg.cn/direct/0e59bad60769489fb7dc4e55716e49df.png
https://i-blog.csdnimg.cn/direct/1834de89e29646d0b6b602343f044d17.png
将上网目的IP写入文件中,如下:
https://i-blog.csdnimg.cn/direct/1edd79c1a0b0425a8d5cdd90b8b7ce75.png
https://i-blog.csdnimg.cn/direct/4bf55ab6fc574f8497418ab957f871fa.png
6、设置NAT策略,需要注意的是在地点池设置完成后,需要点击新建安全策略,使防火墙放行流量才能再做NAT转换,设置如下:
https://i-blog.csdnimg.cn/direct/ca21a36a1c6d45638b4c8a7dcc024f93.png
1)在设置地点池时需要注意一下就是要勾选黑洞路由,然后在高级设置中添加一个保存IP12.0.0.6(地点池中的任一一个IP),如下:
https://i-blog.csdnimg.cn/direct/61c4a17033234208bd51f428725fff99.png
https://i-blog.csdnimg.cn/direct/8e1429f01f5247218ca4d79f8896cbe6.png
8、效果测试:
1)将公网100.0.0.10的httpserver服务打开,用办公区client7访问服务,发现服务访问成功。
https://i-blog.csdnimg.cn/direct/e25de2fc4f2d446b88d4c01b5f96e166.png
2)看NAT策略命中情况,发现成功命中。
https://i-blog.csdnimg.cn/direct/c149101e09134387bf268d1a87f58bcd.png
3)抓防火墙FW1的g0/0/1和g0/0/2接口的流量,发现电信链路和移动链路都有流量流出,即而且转换地点是12.0.0.5(非预留地点),综上:实验7完成。
https://i-blog.csdnimg.cn/direct/d92db83f47274ee597338c4ed8389973.png
https://i-blog.csdnimg.cn/direct/5c5bc593454d4159b44df683df54ef55.png
八、分公司装备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
1、在FW2上,添加FL安全域,代表分公司网络区,如下:
https://i-blog.csdnimg.cn/direct/858a0489f22f4d1c81a2fb6bd5b760c1.png
2、设置好接口IP及网关,如下:
https://i-blog.csdnimg.cn/direct/95a7a9b65a3c41c6bb63e5cbb09f34d5.png
3、在FW2上做NAT策略,做个easy ip 即可,并主动生成安全策略,如下:
https://i-blog.csdnimg.cn/direct/2a686884398f46d69db4d110ddf39bbd.png
4、在FW2上,设置NAT策略,开放DMZ区的httpserver,使用服务器映射,即公网端口与私网端口一对一转换,在电信链路和移动链路上分别做一个NAT策略,并且主动生成安全策略,(注意这个过程是先转换地点再进行安全策略)如下:
https://i-blog.csdnimg.cn/direct/e972ac42055a4078991efc727fc0edfb.png
https://i-blog.csdnimg.cn/direct/e167fcb6d36b4762bc187f40babe80ad.png
https://i-blog.csdnimg.cn/direct/08a868e3899a4b84953e415fb44de1ed.png
https://i-blog.csdnimg.cn/direct/e83e3a8031e44956809eb883f0674559.png
5、效果测试:
1.)用client6访问12.0.0.2的80端口,访问成功:
https://i-blog.csdnimg.cn/direct/5eacae53914741799922727b1954d06d.png
2)在FW1上,查看会话表,发现地点转换成功,(此时走的的电信链路)如下:
https://i-blog.csdnimg.cn/direct/cd9a352d1dc4458fa7319a8d0a53ebac.png
3)使client6访问21.0.0.2的80端口,访问成功,如下:
https://i-blog.csdnimg.cn/direct/1f12b416eee843b89548d4e00c441988.png
4)在FW1上,查看会话表,发现地点转换成功,(此时走的的移动链路)如下:
https://i-blog.csdnimg.cn/direct/025aa8e8d8994815a95a7d5518ed4dfa.png
5)在FW1和FW2上看看NAT策略匹配情况,发现全部NAT策略都可被匹配,实验完成,如下:
FW1:
https://i-blog.csdnimg.cn/direct/7fc202aa39bc4f96a5bbce901c9fa817.png
FW2:
https://i-blog.csdnimg.cn/direct/79359374aea5482d85711d403f293f01.png
九、多出口情况基于带宽比例进行选路,但是,办公区中10.0.2.10该装备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
1、在FW1中,找到网络,路由,智能选路,点击设置,选择根据宽带负载分担,新建电信和移动链路,如下:
https://i-blog.csdnimg.cn/direct/360ab1b42a534e82a1a1c0db8a25d047.png
https://i-blog.csdnimg.cn/direct/cc4a2ef161ca44a19121406972a00c1e.png
2、在接口中,点击g1/0/1和g1/0/2,写入入方向宽带和出方向宽带,设置过载保护阈值80%,如下:
https://i-blog.csdnimg.cn/direct/e6cdf7f869f4411682656ed25fcd0689.png
3、设置NAT策略,源地点写10.0.0.2,出接口为g1/0/1 TODX,注意:需要把之前移动链路绑定的移动地点库的IP删掉,否则实验不成功,由于如果电信和移动的地点库一样,就会使出去访问互联网的数据流均负载分担,所以得选两个出口,与题目要求不符,建议直接把电信和移动的地点库删掉,才能实现流量根据链路带宽分担。
https://i-blog.csdnimg.cn/direct/fc9205b1a0b543009057cae8335b0437.png
https://i-blog.csdnimg.cn/direct/5477847b8e2e412a97ca37c98c956fd1.png
https://i-blog.csdnimg.cn/direct/9252ef0a1c2a45218fbf8448068b9095.png
4、设置路由策略,位置如下:
https://i-blog.csdnimg.cn/direct/1be8b41423d14fbc91f438fe385c5258.png
https://i-blog.csdnimg.cn/direct/8742ab67fee5438dbf992107aab6a5b8.png
https://i-blog.csdnimg.cn/direct/c037fe43fdf547ea9aaaaa3fa10b201b.png
5、效果测试:
1)安全策略成功匹配,如下:
https://i-blog.csdnimg.cn/direct/f6f43ace24d04bd9853dfae4be5e2ba8.png
2)NAT策略成功匹配,如下:
https://i-blog.csdnimg.cn/direct/d44e6807cbad42fba50c1d3776d7d708.png
3)会话表显示10.0.2.10从电信口出,如下:
https://i-blog.csdnimg.cn/direct/5b13d174477740a1bd9ec04aa7416aa7.png
十、分公司内部的客户端可以通过域名访问到内部的服务器,公网装备也可以通过域名访问到分公司内部服务器;
1、在FW2上,写NAT策略,地点转换方式为双向地点转换,源为FL区域目的IP为23.0.0.2,使分公司内网IP先访问FW2,转换源IP为192.168.1.0即出接口g1/0/1,同时目的IP装换为服务器内网IP,由于是域名访问,此时FW2防火墙并不知道此域名对应的IP是什么,所以接下来要去额外做一个NAT策略去访问DNS服务器,(无需主动添加安全策略)如下:https://i-blog.csdnimg.cn/direct/85a8772717b14300b844fd1ecb24201d.png
2、加一个NAT策略,使访问外网的DNS服务器,并且主动添加安全策略,设置如下:
https://i-blog.csdnimg.cn/direct/813bd07ad3b74699b83b87a1755b4b9a.png
https://i-blog.csdnimg.cn/direct/cefd8e5d30384a49865d793f3ee8a35d.png
3、最告急的就是肯定要给客户端加上DNS地点,如下:
https://i-blog.csdnimg.cn/direct/76e68723857e4e2a89503fd168f8318a.png
4、写NAT策略,使外网访问内网服务器(底部80端口),并主动生成安全策略,如下:
https://i-blog.csdnimg.cn/direct/0618f0bdec7c49ffa1048b20b23b8b50.png
https://i-blog.csdnimg.cn/direct/80ece8df6d2445b59954ce6357190f7d.png
5、效果测试,用分别用内网和外网访问服务器域名,均成功:
https://i-blog.csdnimg.cn/direct/67a3aac5c3ef4f6ea7150ba0f648a22e.png
https://i-blog.csdnimg.cn/direct/118fa131bb16425cb0f31af039629d16.png
十一:游客区仅能通过移动链路访问互联网
1、在FW1,上做NAT策略,并主动生成安全策略,如下:
https://i-blog.csdnimg.cn/direct/0d07403563944c919aba1e818231a457.png
2、找到网络,点击路由—>智能路由—>策略路由->新建,设置如下:
https://i-blog.csdnimg.cn/direct/42b1b764cd2c46e7867ad0ac5e626f2d.png
https://i-blog.csdnimg.cn/direct/6a0ac3b0dfd0447abbac536ce439fe75.png
3、效果测试:
1)用游客区client4访问公网服务器100.0.0.100,访问成功,如下:https://i-blog.csdnimg.cn/direct/3330151270f44be18735f0d2b8bd2f1d.png
2)、查看NAT策略匹配情况,成功匹配,如下:
https://i-blog.csdnimg.cn/direct/2e0d4f4a9a31496ba0761802594636c5.png
3)看会话表,成功匹配安全策略,并从移动链路出,如下:
https://i-blog.csdnimg.cn/direct/52683ed18fc544e3bf416cd4155544e9.png
到这里实验就完成了,恭喜各人,哈哈哈!!!
继承加油吧!!
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]