实验二:通过防火墙代替路由器实现内外网互联
通过防火墙搭建相对安全的网络环境一、实验拓扑
相关配置详见下图,内网区域为防火墙FW1以内设备,外网区域以路由器AR1代替进行实验测试。
https://i-blog.csdnimg.cn/blog_migrate/31968720f84e3ce282cf62bfa2037b80.png
二、实验要求
通过防火墙配置实现以下功能:
1.内网主机可以正常访问互联网,放行;外网的陌生数据包,禁止通行;
2.内网主机访问服务器,服务器回包,放行;内网主机未访问服务器,服务器自动连接内网主机,禁止。
注:任何厂家的防火墙,只要没配置答应,划一禁止通过。
三、配置步调分析
1.配置安全域:进入安全域的配置页面,添加接口。
(1)内网区域--trust区域(信任区域);
(2)外网区域--untrust(非信任区域);
(3)dmz--服务器区域;
2.配置安全策略;
3.配置nat策略。
注:eNSP中华为防火墙默认用户名(admin)和密码(Admin@123)。
四、实验配置
(一)基础配置
1.登录防火墙
用户名:admin
初始密码:Admin@123
2.防火墙各接口ip配置
interface g1/0/0
ip address 10.1.1.254 255.255.255.0
interface g1/0/1
ip address 192.168.1.254 24
interface g1/0/2
ip address 1.1.1.254 255.255.255.0
(二)配置安全域
一般语法:进入安全域配置,添加相应接口。
firewall zone trust #进入信任域
add interface g1/0/1 #添加接口1
firewall zone untrust #进入非信任域
add interface g1/0/2 #添加接口2
firewall zone dmz #进入dmz域
add interface g1/0/0 #添加接口0
(三)配置安全策略
1.内网主机可以正常访问互联网,放行;外网的陌生数据包,禁止通行;
security-policy #进入安全策略的配置
rule name permit_internet #创建策略,名称叫permit_internet
source-zone trust #从trust(信任区域)来
destination-zone untrust #到untrust(外网)去
action permit #动作-允许
quit
2.内网主机访问服务器,服务器回包,放行;内网主机未访问服务器,服务器自动连接内网主机,禁止。
rule name dmz
source-zone trust
destination-zone dmz
action permit
q
(四)配置nat策略
nat-policy #进入防火墙nat配置
rule name permit_internet #创建一个nat规则,名字为permit_internet
source-zone trust #从trust(信任区域)来
destination-zone untrust #到untrust(外网)去
action source-nat easy-ip #执行源地址转换,easy-ip意思为自动转换成设备出接口的公网ip地址。
五、实验结果
(一)完成安全策略配置后的测试结果
1.安全域pc去ping服务器
https://i-blog.csdnimg.cn/blog_migrate/74a21aaf659c0e29e928abe94fe511a2.png
2.服务器ping安全域pc
https://i-blog.csdnimg.cn/blog_migrate/55a013398a9b8027d3c0b5a6a6c1823c.png
3.安全域pc去ping外网
https://i-blog.csdnimg.cn/blog_migrate/6bf61d4b1ea93b61b025284d57ecee1c.png
(二)完成nat策略配置后的测试结果
安全域pc去ping外网1.1.1.100
https://i-blog.csdnimg.cn/blog_migrate/f894435482c94c4b0cc591fa166b8f76.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]