day21、2 - 防火墙的部署实验

一、总实验说明

• 要求如图所示

  

二、防火墙部署说明

• 先在防火墙上创建区域，创建好后将对应的端口划分到对应的区域。
• 写策略：一般都是高区域向低区域写策略，只允许高区域主动去访问低区域，不允许低区域与向高区域主动访问。高到低：inside > DMZ > outside

三、环境搭建说明

• 命名规则：防火墙的接口和路由器交换机的接口命名不太一样，防火墙的大部分厂家的接口命名为eth0/1/2/3，因为大部分的防火墙都是基于linux开发的，linux中eth就是接口的意思。inside即内部区域、outside为外部区域、DMZ为为DMZ区域

• 我们怎么用虚拟机模拟防火墙：硬件防火墙也是买硬件然后在其中装防火墙软件，然后配置好，来模拟一个简单的硬件防火墙。一般天融信的防火墙出厂时就给第一个端口–名为eth0配置了IP，目的就是为了方便我们配置防火墙的内置功能，比如现在eth0为防火墙的第一个接口，配置的IP为192.168.1.254，且端口一般为80/443。那么我们可以插一根网线到防火墙的eth0端口，另一端连接我们的PC，将我们的PC的IP地址配置与防火墙的端口在同一网段的IP地址，打开浏览器地址栏输入192.168.1.254:80或者443来访问防火墙的配置页面，配置相关的内置功能即可。我们使用的模拟硬件防火墙的虚拟机中接口的端口号默认为8080，所以输入IP:8080即可访问。

• 但是如果是最新的防火墙，可能不支持版本太低的浏览器去访问配置页面，所以就选把xpIP配置同网段，也无法访问。但是我们知道我们的真实机有一块虚拟网卡，打开后是可以桥接到vmnet1的，所以我们可以用真实机打开vmnet1虚拟网卡，配置IP与防火墙第一个端口IP在同一网段，用真实机的浏览器访问防火墙配置页面即可

  

• 如何给实验中的网络设置模拟不同的区域不同的网段：我们可以把防火墙的每个端口和其连接的PC桥接到同一个vmnet，但是防火墙的不同端口桥接到不同vmnet。如图中防火墙的eth0端口与xp端口都桥接到vmnet1；防火墙的eth1端口与2003端口都桥接到vmnet2；防火墙的eth2端口与下面的2003都桥接到vmnet3。那么此时三台PC虚拟机相互通信都要经过防火墙，把防火墙对应连接的接口当网关

四、实验一

1.环境搭建

• 在网上找FortiGate镜像，https://blog.csdn.net/B_E_A_S_T/article/details/117573687?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522163722321316780261974980%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fall.%2522%257D&request_id=163722321316780261974980&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2_allfirst_rank_ecpm_v1~rank_v31_ecpm-1-117573687.first_rank_v2_pc_rank_v29&utm_term=%E6%9C%89%E5%85%B3fortigate&spm=1018.2226.3001.4187，下载好后代替实验中的topgate镜像防火墙

• 开启连接防火墙的三个端口，从上到下依次是eth0，eth1，eth2；分别桥接到v1，v2，v3

  

• 将xp虚拟机桥接到v1，2003-1桥接到v2，2003-2桥接到v3

  

• 开启防火墙，登录成功（飞塔防火墙的默认用户名为 admin ，密码为空）

  

• 开启真实机的vmnet1虚拟网卡

  

2.实验步骤

1）PC配置IP及网关

• xp，win2003-1，win2003-2

  

2）进入防火墙配置页面

• 给真实机的v1虚拟接口配IP，与eth0（fortigate防火墙的第一个端口名为port1）以及xp在同一网段，但是不用配置网关，因为我们只是用真实机访问防火墙的页面而不需要访问其他网段的几个虚拟机

  

• 打开真实机浏览器，输入防火墙port1端口出厂自带的IP地址，真实中默认是80端口（没有的话打开命令行输入命令配置好即可）

  

• 输入port1IP，再输入账号密码访问防火墙配置页面

  

• 防火墙创建区域，接口加入区域

  

• 并给接口配置IP（本实验不需要配置路由表，因为没涉及到有路由器网络）

  

• 写策略并验证：inside --> outside inside --> dmz dmz --> outside 放行

  

  此时192.168.1.1可以ping通172.16.1.1和100.1.1.1，但是反过来就不行；172.16.1.1可以ping通100.1.1.1，但是反过来就不行

五、实验二

1.环境搭建

• 模拟一个互联网的公网IP环境：将外网PC的网关去掉，则外网PC现在只能访问同网段的，访问不同网段的由于没指网关，则无法访问。

2.实验步骤

• 此时如果在防火墙上添加PAT功能，将内网IP转换为外网IP，那么内部区域PC就可以直接访问外网服务器了，因为防火墙利用PAT做了一个IP地址转换的功能。

• 根据区域的方向来做地址转换，不用定义内外网端口！

  

• 验证inside区域和dmz区域的员工依然可以上网

六、实验三

1.实验步骤

• 将DMZ区域的2003部署为web服务器并发布出去

  1）做目标转换–即做静态端口转换：从外网进来的流量目标IP为172.16.1.1且端口号为80，即可转换地址，转换成172.16.1.1

  2）还需要写策略：outside–>dmz:172.16.1.1:80

• 使用outside区域2003通过访问http://100.1.1.88

七、实验四

1.实验步骤

完成应用层的过滤

• 外网的2003部署成公网的某色情web服务器和dns服务器

• 给DMZ区域以及inside区域员工指公网的DNS，然后在浏览器输入域名访问某色情网站，可以访问

• 现在再在外网2003发布一个百度的网站

• 现在要求做URL过滤，url为一般的网站可以访问，黑名单url禁止访问，即在inside到outside的策略里和在dmz到outside策略里再设置一个内容安全策略：

  

• http内容过滤，结果包含敏感词汇，禁止访问网站