实验二:通过防火墙代替路由器实现内外网互联

郭卫东  金牌会员 | 2024-9-22 00:08:39 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题
楼主

主题 857|帖子 857|积分 2571

通过防火墙搭建相对安全的网络环境

一、实验拓扑

相关配置详见下图,内网区域为防火墙FW1以内设备,外网区域以路由器AR1代替进行实验测试。

二、实验要求

通过防火墙配置实现以下功能:
1.内网主机可以正常访问互联网,放行;外网的陌生数据包,禁止通行;
2.内网主机访问服务器,服务器回包,放行;内网主机未访问服务器,服务器自动连接内网主机,禁止。
注:任何厂家的防火墙,只要没配置答应,划一禁止通过。
三、配置步调分析

1.配置安全域:进入安全域的配置页面,添加接口
(1)内网区域--trust区域(信任区域);
(2)外网区域--untrust(非信任区域);
(3)dmz--服务器区域;
2.配置安全策略;
3.配置nat策略。
注:eNSP中华为防火墙默认用户名(admin)和密码(Admin@123)。
四、实验配置

(一)基础配置
1.登录防火墙
        用户名:admin
        初始密码:Admin@123
2.防火墙各接口ip配置
  1. [USG6000V1]
  3. [USG6000V1]interface g1/0/0
  5. [USG6000V1-GigabitEthernet1/0/0]ip address 10.1.1.254 255.255.255.0
  7. [USG6000V1-GigabitEthernet1/0/0]interface g1/0/1
  9. [USG6000V1-GigabitEthernet1/0/1]ip address 192.168.1.254 24
  11. [USG6000V1-GigabitEthernet1/0/1]interface g1/0/2
  13. [USG6000V1-GigabitEthernet1/0/2]ip address 1.1.1.254 255.255.255.0
  15. [USG6000V1-GigabitEthernet1/0/2]
复制代码
(二)配置安全域
一般语法:进入安全域配置,添加相应接口。
  1. [USG6000V1]
  3. [USG6000V1]firewall zone trust #进入信任域
  5. [USG6000V1-zone-trust]add interface g1/0/1 #添加接口1
  7. [USG6000V1-zone-trust]firewall zone untrust #进入非信任域
  9. [USG6000V1-zone-untrust]add interface g1/0/2 #添加接口2
  11. [USG6000V1-zone-untrust]firewall zone dmz #进入dmz域
  13. [USG6000V1-zone-dmz]add interface g1/0/0 #添加接口0
  15. [USG6000V1-zone-dmz]
复制代码
(三)配置安全策略
1.内网主机可以正常访问互联网,放行;外网的陌生数据包,禁止通行;
  1. [USG6000V1]
  3. [USG6000V1]security-policy #进入安全策略的配置
  5. [USG6000V1-policy-security]rule name permit_internet #创建策略,名称叫permit_internet
  7. [USG6000V1-policy-security-rule-permit_internet]source-zone trust #从trust(信任区域)来
  9. [USG6000V1-policy-security-rule-permit_internet]destination-zone untrust #到untrust(外网)去
  11. [USG6000V1-policy-security-rule-permit_internet]action permit #动作-允许
  13. [USG6000V1-policy-security-rule-permit_internet]quit
  15. [USG6000V1-policy-security]
复制代码
2.内网主机访问服务器,服务器回包,放行;内网主机未访问服务器,服务器自动连接内网主机,禁止。
  1. [USG6000V1-policy-security]
  3. [USG6000V1-policy-security]rule name dmz
  5. [USG6000V1-policy-security-rule-dmz]source-zone trust
  7. [USG6000V1-policy-security-rule-dmz]destination-zone dmz
  9. [USG6000V1-policy-security-rule-dmz]action permit
  11. [USG6000V1-policy-security-rule-dmz]q
  13. [USG6000V1-policy-security]
复制代码
(四)配置nat策略
  1. [USG6000V1]
  3. [USG6000V1]nat-policy #进入防火墙nat配置
  5. [USG6000V1-policy-nat]rule name permit_internet #创建一个nat规则,名字为permit_internet
  7. [USG6000V1-policy-nat-rule-permit_internet]source-zone trust #从trust(信任区域)来
  9. [USG6000V1-policy-nat-rule-permit_internet]destination-zone untrust #到untrust(外网)去
  11. [USG6000V1-policy-nat-rule-permit_internet]action source-nat easy-ip #执行源地址转换,easy-ip意思为自动转换成设备出接口的公网ip地址。
  13. [USG6000V1-policy-nat-rule-permit_internet]
复制代码
五、实验结果

(一)完成安全策略配置后的测试结果
1.安全域pc去ping服务器

2.服务器ping安全域pc

3.安全域pc去ping外网

(二)完成nat策略配置后的测试结果
安全域pc去ping外网1.1.1.100



免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
回复

使用道具 举报

0 个回复

倒序浏览
返回列表

快速回复

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

郭卫东

金牌会员
这个人很懒什么都没写!

楼主热帖

标签云

挺好的 服务器
微信订阅号
微信服务号
微信客服
小程序
H5
关于我们 商务合作 网站地图
©Copyright 2022-2024 杭州祥升科技有限公司 版权所有 浙ICP备20004199号
快速回复 返回顶部 返回列表