【华为ensp防火墙】双机热备+NAT+外网访问内部服务器(http、ftp) ...

立山  金牌会员 | 2024-12-22 07:34:36 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题

主题 983|帖子 983|积分 2949

防火墙理论:


1、路由、透明、混合
2、地区:Local、Trust、Dmz、Untrust
3、安全策略,地区操纵,IP
   条件、操纵、配置文件(根据现今情况,别的的安全产品替代)
   NAT策略:源所在、目的所在、双向
            静态、动态、NAPT、Easy-IP
            Nat Server
双机热备+NAT+外网访问内部服务器实行要求:


1、PC1、Server 模拟内网装备,位于防火墙的Trust地区;
2、Client1模拟Internet,位于防火墙的Untrust地区;
3、防火墙部署双机热备,工作方式为主备,正常情况下FW1为主,FW2为备;
4、要求PC1可以或许访问位于外网的PC2,并且访问时需举行NAT源所在转换,
使用的所在池区间是200.1.1.10至200.1.1.20;PC2可以或许以200.1.1.29为目的所在访问Server的FTP服务
5、要求Client1访问DMZ地区Server3 HTTP服务,以200.1.1.100为目的所在
以下是拓扑图:

基础配置:

FW1
sys
sysname FW1
undo info en
#VRRP配置,针对trust
int g1/0/0
ip add 192.168.1.253 24
vrrp vrid 1 virtual-ip 192.168.1.254 24 active
q
#VRRP配置,针对untrust
int g1/0/5
ip add 200.1.1.3 24
vrrp vrid 3 virtual-ip 200.1.1.1 24 active
q
int g1/0/6
ip add 1.1.1.1 24

#防火墙双机热备,新建地区ha
firewall zone name ha
set priority 99
add interface g 1/0/6
q
firewall zone trust
add interface g 1/0/0
q
firewall zone untrust
add interface g 1/0/5
q

FW2:
sys
sysname FW2
undo info en
#VRRP配置,针对trust
int g1/0/0
ip add 192.168.1.252 24
vrrp vrid 1 virtual-ip 192.168.1.254 24 active
q
#VRRP配置,针对untrust
int g1/0/5
ip add 200.1.1.2 24
vrrp vrid 3 virtual-ip 200.1.1.1 24 active【active是抢占式,这里也可以设置standy】
q
int g1/0/6
ip add 1.1.1.2 24

hrp int g1/0/6 remote 1.1.1.2
hrp enable

我这是FW1是主(M),FW2是备(S)
【如果你的主备机和我的不一样,则是因为前面我们前面设置vrrp的时候,vrid1和vrid3都设置的active,这是抢占式,如果你的FW2是主,不用担心,这只是因为你的FW2先抢到了主而已】
此时disable界面是因为另一端没有举行双机热备,此时我们去另一端举行配置
hrp int g1/0/6 remote 1.1.1.1
hrp enable

dis hrp state检察情况             

FW1
security-policy(只能在主上实行,备上不行)
rule name TtoU
source-zone trust
source-address 192.168.1.0 24
destination-zone untrust
action permit
int g1/0/0
service-manage ping permit(没开之前不答应)
如今尝试用PC1ping网关(192.168.1.254)看看
PC1 ping Client(200.1.1.30)试试
发现ping不通,到g1/0/5开启权限
int g1/0/5
service-manage ping permit


如今我们尝试一下主备切换
原本FW1是主(M),FW2是备(S)--【如果你的主备机和我的不一样,则是因为前面我们前面设置vrrp的时候,vrid1和vrid3都设置的active,这是抢占式,如果你的FW2是主,不用担心,这只是因为你的FW2先抢到了主而已】
如今我们将FW1酿成S(备),FW2酿成M(主)

如今再看FW1和FW2


undo shutdown就可以开启g1/0/5,取消主备切换


FTP配置:

NAT源所在转换 先配置源所在池
nat address-group 1
section 200.1.1.10 200.1.1.20  #所在区间
q
nat-policy
rule name TtoU
source-zone trust
source-address 192.168.1.0 24
destination-zone untrust
action source-nat address-group 1
q

nat server zone untrust protocol tcp global 200.1.1.29 21 inside 192.168.1.100 21
firewall zone untrust
detect ftp

security-policy
rule name toFTP
source-zone untrust
destination-zone trust
destination-address 192.168.1.100 32
action permit
q

然后我们打开server1的ftp服务,使用Client举行登录,以下是登录成功的页面

HTP配置:

FW1:
int g 1/0/1
ip add 172.168.1.253 24
vrrp vrid 5 virtual-ip 172.168.1.254 24 active

FW2:
int g 1/0/1
ip add 172.168.1.252 24
vrrp vrid 5 virtual-ip 172.168.1.254 24  active  standby

FW1:
firewall zone name dmz
add interface g 1/0/1
q
#NAT策略
nat-policy
rule name DtoU
source-zone dmz
source-address 172.168.1.0 24
destination-zone untrust
action source-nat address-group 1
#NAT Server配置HTTP服务
#HHTP服务,数据接口80
#意味着必要开放端口,NAT Server开放了80口,通过untrust地区转发,开放了80口
nat server zone untrust protocol tcp global 200.1.1.100 80 inside 172.168.1.20 80
firewall zone untrust
detect httpd
q
#配置安全策略,答应访问HTTP服务器
security-policy
rule name tohttp
source-zone untrust
destination-zone dmz
destination-address 172.168.1.20 32
action permit
int g0/0/0
service-manage all permit
然后如今就可以测试了
打开server2的http服务,然后用Client举行访问,看看是否成功


如果对您有帮助贫苦点个关注点个赞~~~

 

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
回复

使用道具 举报

0 个回复

倒序浏览

快速回复

您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

立山

金牌会员
这个人很懒什么都没写!
快速回复 返回顶部 返回列表