防御保护---防火墙(安全策略、NAT策略实验)

最新推荐文章于 2024-07-10 10:54:49 发布

Fly`

最新推荐文章于 2024-07-10 10:54:49 发布

阅读量1.7k

点赞数 32

分类专栏：安全防御 HCIP-DATACOM核心网络技术实验文章标签：网络

本文链接：https://blog.csdn.net/M372109150/article/details/135848570

版权

HCIP-DATACOM核心网络技术实验同时被 2 个专栏收录

14 篇文章 4 订阅

订阅专栏

安全防御

12 篇文章 0 订阅

订阅专栏

本文详细描述了一次防火墙配置实验，涉及IP地址、VLAN划分、安全区域设置、安全策略（允许生产区访问HTTP，办公区访问HTTP和FTP，并进行匿名认证）和NAT策略（限制办公区访问公网）。通过Web界面配置，实现了不同区域的访问控制和行为管理。

摘要由CSDN通过智能技术生成

防御保护---防火墙（安全策略、NAT策略实验）

在这里插入图片描述

1.实验需求

1.生产区在工作时间内可以访问服务器区，仅可以访问http服务器；
2.办公区全天可以访问服务器区，其中10.0.2.20可以访问FTP服务器和HTTP服务器，10.0.2.10仅可以ping通10.0.3.10
3.办公区在访问服务器区时采用匿名认证的方式进行上网行为管理
4.办公设备可以访问公网，但是其他区域不行。

2.实验说明及思路

此次实验主要是以web界面的形式来配置防火墙，所以在上图中防火墙与cloud连接（不需要交换机也可），为了在web界面管理防火墙，web界面相对来说比较友好，可以直观的看出各种配置及条目。
在防火墙与交换机SW7做三层，并且在防火墙部署三个区域的网关，向下使用子接口，分别对应生产区与办公区，然后在防火墙上做安全策略以及NAT策略，实现对路由的控制与转发。

3.实验配置

3.1 配置IP地址以及VLAN

AR2：

[Huawei]sys ISP
[ISP]int LoopBack 0
[ISP-LoopBack0]ip address 1.1.1.1 24
[ISP-LoopBack0]int g0/0/0
[ISP-GigabitEthernet0/0/0]ip address 12.0.0.2 24
[ISP-GigabitEthernet0/0/0]int g0/0/2
[ISP-GigabitEthernet0/0/2]ip address 21.0.0.2 24

SW7：

[SW7]vlan batch 2 to 3
[SW7]int g0/0/2
[SW7-GigabitEthernet0/0/2]port link-type access
[SW7-GigabitEthernet0/0/2]port default vlan 2
[SW7-GigabitEthernet0/0/2]int g0/0/3
[SW7-GigabitEthernet0/0/3]port link-type access
[SW7-GigabitEthernet0/0/3]port default vlan 3
[SW7]interface GigabitEthernet0/0/1
[SW7-GigabitEthernet0/0/1]port link-type trunk
[SW7-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 to 3
[SW7-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1

3.2 配置防火墙IP地址及划分区域

由于自身的环回网卡为172.16.10.10/24，所以在防火墙上更改默认G0/0/0接口的IP地址以及启用所有的服务，为了后面在web界面配置防火墙打基础

[FW2]int g0/0/0
[FW2-GigabitEthernet0/0/0]ip address 172.16.10.1 255.255.255.0
[FW2-GigabitEthernet0/0/0]service-manage all permit

cloud配置（可能有的人不知道cloud与防火墙咋样操作的，后续有时间会给大家出防火墙（web界面）步骤）

在这里插入图片描述
配置完成之后，在浏览器输入防火墙G0/0/0的IP地址就可以连接。
首先，新建俩个安全区域（办公区和生产区）

办公区域：

同理，生产区域：

然后在虚拟俩个子接口相对应，并且规划IP地址：

在这里插入图片描述
G1/0/2.1

G1/0/2.2接口同理：

在这里插入图片描述
把G1/0/0划分到DMZ区域并且规划IP地址：

在这里插入图片描述

至此，接口IP地址规划以及划分安全区域就完成了！

3.3 配置防火墙安全策略

接下来，按照实验需求部署安全策略
由于实验需求的各个区域中需要精准管理，所以先创建地址方便管理。
在这里插入图片描述

对DMZ区域的设备细致化

对办公区的设备细致化

根据实验需求配置安全策略：

1.生产区在工作时间内可以访问服务器区，仅可以访问http服务器；

在这里插入图片描述

测试：

可以看出生产区只可以访问服务器区中的HTTP服务器，访问ftp服务器失败，当然只放通http服务，并没有放通icmp服务，所以pc端ping不通，需求一就此完成！

2.办公区全天可以访问服务器区，其中10.0.2.20可以访问FTP服务器和HTTP服务器，10.0.2.10仅可以ping通10.0.3.10

需求二中可以看出有俩条需求，需要新建俩个安全策略才得以实现
策略一：10.0.2.20可以访问FTP服务器和HTTP服务器
在这里插入图片描述
测试：

可以看出办公区的client可以访问服务器区中的HTTP服务器和ftp服务器，当然只放通http服务和ftp服务，并没有放通icmp服务，所以client端ping不通。

策略二：10.0.2.10仅可以ping通10.0.3.10
在这里插入图片描述
测试：

需求二到此完成！

3.办公区在访问服务器区时采用匿名认证的方式进行上网行为管理
在这里插入图片描述

测试：首先用办公区的设备访问服务器区的设备（都可）

然后在在线用户中可以看到访问的用户，并且可以看出认证方式为匿名认证，需求三完成！

3.4 配置防火墙NAT策略

4.办公设备可以访问公网，但是其他区域不行。
在这里插入图片描述

完成之后点击确定即可
测试：办公区访问公网

生产区访问公网

由此可以看出只有办公区访问公网成功，而生产区访问失败！

实验至此就全部完成了！

Fly`

关注

32
点赞
踩
28

收藏

觉得还不错? 一键收藏
打赏
0
评论
防御保护---防火墙(安全策略、NAT策略实验)

此次实验主要是以web界面的形式来配置防火墙，所以在上图中防火墙与cloud连接（不需要交换机也可），为了在web界面管理防火墙，web界面相对来说比较友好，可以直观的看出各种配置及条目。1.生产区在工作时间内可以访问服务器区，仅可以访问http服务器；2.办公区全天可以访问服务器区，其中10.0.2.20可以访问FTP服务器和HTTP服务器，10.0.2.10仅可以ping通10.0.3.103.办公区在访问服务器区时采用匿名认证的方式进行上网行为管理4.办公设备可以访问公网，但是其他区域不行。
复制链接

扫一扫