拓扑:
实验内容:
- DMZ区内的服务器,办公区仅能在办公时间内(9:00 - 18:00)可以访问,生产区的设备全天可以访问.
- 生产区不允许访问互联网,办公区和游客区允许访问互联网
- 办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
- 办公区分为市场部和研发部,市场部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123
- 生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
- 创建一个自定义管理员,要求不能拥有系统管理的功能
- 办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
- 分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
- 多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
- 分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
- 游客区仅能通过移动链路访问互联网
内容1~6条于防火墙实验完成,本次实验完成内容7~11
内容七
内容八
总公司将服务器地址映射到私网地址,然后安全策略放通分公司访问总公司服务器的流量
分公司访问外网时放通流量,并将自己的私网地址转换成公网地址
实验结果
电信链路:
移动链路:
内容九
移动和电信链路接口都设置为多出口和阈值:
内容十
访问的设备都设置DNS服务器地址100.0.0.10,放行公网和私网对服务器的访问,NAT采用双向绑定来让防火墙充当中间人,防止内网用户和服务器直接建立连接导致的三角恋
结果: