1.1实验拓扑
本次实验使用华为USG6000V防火墙和Cloud以及AR2220路由器、交换机、客户机、PC机来搭建起网络安全拓扑图:
1.2 设备 IPv4 地址规划表:
| 序号 | 设备名称 | 接口 | IPv4 地址/掩码 |
| 1 | FW | GE0/0/0 | 192.168.0.1/24 |
| GE1/0/0 | 10.10.122.1/24 | ||
| GE1/0/1 | 192.168.122.254/24 | ||
| GE1/0/2 | 192.168.172.254/24 | ||
| 2 | AR1 | GE0/0/0 | 10.10.122.254/24 |
| GE0/0/1 | 100.1.122.1/ |
1.3 KM-TEST 环回适配器的安装:
(1)首先,我们需要在自己电脑上安装一个虚拟网卡,按win+R键然后输入 hdwwiz后回车添加新的硬件,点击搜索并自动安装硬件进入下一步安装。
(2)完成上一步后开始选择安装设备驱动点击Microsoft厂商的Microsoft KM-TEST 环回适配器后点击安装这时就安装成功了可以在电脑中查看。
1.4 完成网页访问eNSP防火墙的功能:
(1)双击 USG6000V 进入配置界面,输入账户 admin,初始密码:Admin@123 进行登陆,登录后需要对密码进行修改,完成后输入 sys 进入配置模式,输入命令dis ip int br查看防火墙端口配置详情。
(2)进入G0/0/0接口,输入 service-manage all permit 命令开启端口上的全部权限(也可以开启一个服务的端口)
(3)接着在刚刚创建好的KM-TEST环回适配器中配置如下的IP地址并且保证与防火墙端口上的 IP 地址再同一网段下
(4)在华为模拟器中将防火墙连接到一个云设备中进行如下的桥接配置:
(5)在完成以上步骤的基础上,在浏览器中输入防火墙 IP 地址会登录到防火墙的web界面输入修改后的用户名和密码就可以正常进入
2.实验基础配置:
(1)首先,配置客户机和服务器的IP地址和子网掩码以及网关地址的配置
(2)进入防火墙并配置各接口的地址和允许PING测的权限:
(3)根据实验的要求办公区的PC1需自动获取IP地址(DHCP服务配置)在配置完成后退出接口视图下输入dhcp enable命令
(4)完成以上操作后将防火墙接口加入安全区域
(5)配置防火墙的缺省路由和配置路由器的接口地址以及缺省路由
3.安全策略配置:
(1)配置TRUST区域的办公区可以访问外网UNTRUST的Cilent1的策略;
(2)第二条规则是TRUST区域的客户机可以访问DMZ区域的服务器server,而PC1不能访问服务器server;
(3)第三条规则是外网CLIENT可以访问DMZ区域的服务器server;
(4)DMZ区域的服务器server只能18:00至06:00访问外网进行升级;
注:将时间段设置后但是该规则还没有起作用是因为防火墙系统的时间段和所设置的时间段相悖进行改防火墙系统时间后就会起到作用
4.实验数据及结果分析:
(1)根据实验要求PC1只能通过DHCP来获取地址现在,上述配置完DHCP后在PC1中的命令行上输入ipconfig来进行地址获取;
(2)根据实验第一条策略是让trust区域的办公区可以访问外网Untrust这也就表示PC1和客户机都可以去访问外网当上述配置完该策略后在PC1和客户机上分别PING外网的客户及来进行测验;
(3)根据第二条规则是只让trust区域的客户机访问dmz区域的服务器其他不能进行访问在配置完成后可以在trust区域的客户机和PC机上进行PING测时会发现客户机可以和服务器正常通信而PC机不能因为PC机受规则限制;
(4)第三条规则是使用外网客户机可以访问DMZ区域的服务器server我们可以用外网的客户机来访问DMZ区域的FTP服务器来进行测验;
(5)第四条规则是DMZ区域的服务器只能在规定的时间去访问外网,可以使用服务器在规定的时间内去PING测客户机可以成功的进行通信;
(6)最后在用web来登录防火墙在策略里查可以清晰的查看到所配置的策略可以更好地让命令和web配置来作对比来加深理解;
注:需要源命令和具体内容请点赞加关注后私信或评论得源命令拓扑。
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
