防火墙NAT策略实验

已于 2024-07-16 00:13:44 修改
阅读量336 收藏 4
点赞数 3
分类专栏: 网络安全防御实验 文章标签: 服务器 安全 网络
于 2024-07-13 17:39:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Thewei666/article/details/140398641
版权

拓扑:

实验内容:

  1. DMZ区内的服务器,办公区仅能在办公时间内(9:00 - 18:00)可以访问,生产区的设备全天可以访问.
  2. 生产区不允许访问互联网,办公区和游客区允许访问互联网
  3. 办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
  4. 办公区分为市场部和研发部,市场部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123
  5. 生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
  6. 创建一个自定义管理员,要求不能拥有系统管理的功能
  7. 办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
  8. 分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
  9. 多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
  10. 分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
  11. 游客区仅能通过移动链路访问互联网

内容1~6条于防火墙实验完成,本次实验完成内容7~11

内容七

内容八

总公司将服务器地址映射到私网地址,然后安全策略放通分公司访问总公司服务器的流量

分公司访问外网时放通流量,并将自己的私网地址转换成公网地址

实验结果
电信链路:

移动链路:

内容九

移动和电信链路接口都设置为多出口和阈值:

内容十

访问的设备都设置DNS服务器地址100.0.0.10,放行公网和私网对服务器的访问,NAT采用双向绑定来让防火墙充当中间人,防止内网用户和服务器直接建立连接导致的三角恋

结果:

内容十一

魏大橙
关注
专栏目录
华为防火墙NAT策略
weixin_45724795的博客
02-13 3121
前言:NAT技术是用来解决当今IP地址资源枯竭的一种技术,同时也是IPv4到IPv6的过渡技术,绝大多数网络环境中在使用NAT技术 文章目录一、理论1.NAT分类1)NAT NO-PAT2)NAPT3)Easy-IP4)NAT Server5)Smart NAT6)三元组NAT2.黑洞路由1)如何解决源地址转换环境下的环路和无效ARP问题3.Sever-map表1)区别2 )配置4.NAT对报文的...
centos7 为所有接口配置 ip rule 源进源出 和 关闭 rp_filter
某呆
11-23 2669
rp_filter参数用于控制系统是否开启对数据包源地址的校验。 内核参数文档中显示该参数默认关闭,某些发行版会开启。 根据文档得知: rp_filter参数有三个值,0、1、2,具体含义: 0:不开启源地址校验。 1:开启严格的反向路径校验。对每个进来的数据包,校验其反向路径是否是最佳路径。如果反向路径不是最佳路径,则直接丢弃该数据包。 2:开启松散的反向路径校验。对每个进来的数据包,校验其源地址是否可达,即反向路径是否能通(通过任意网口),如果反向路径不同,则直接丢弃该数据包 在 Linux 系统中
防火墙NAT策略
微笑的段嘉许的博客
09-30 1612
NAT技术是用来解决当今IP地址资源枯竭的一种技术,同时也是IPv4到IPv6的过渡技术,绝大多数网络环境中在使用NAT技术。关于NAT技术的原理在之前的文章中已经有所提及,本文的重点放在华为相关的NAT知识和实验配置上。
防火墙nat策略实验和多出口实验和智能选路实验
dongxuK的博客
07-13 365
10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器。使用策略路由禁止访问移动。
防火墙NAT配置实验
ChenD的学习笔记
11-16 5942
防火墙NAT配置实验,no-pat,NAPT,easy-ip,NAT Sever
华三防火墙-策略NAT
qq_53146347的博客
05-01 3426
到达防火墙匹配源和目的转换后,将源地址10.1.1.2更改为80.38.1.16;目的地址80.38.1.16:8080更改为192.168.20.20:81进行访问。1.新建策略NAT,规则类型选择NAT44,源和目的根据流向选择,源IP填写源网段或指定IP,目的IP填写需要访问的地址或any,转换方式使用动态IP+端口的形式,地址类型使用easy ip。通过宿主机在浏览器上访问防火墙的外网接口8080端口能正常访问到服务器的内容,验证成功。注意:策略NAT和接口NAT互斥;查看防火墙的会话转换过程。
防火墙NAT Server实验
征途是星辰大海
08-16 2311
防火墙NAT Server实验
华为ensp实现防火墙NAT策略
m0_63884865的博客
07-16 272
在上一篇的前提下,增加的要求7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器9,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;11,游客区仅能通过移动链路访问互联网。
防火墙NAT策略以及智能选路
qwer2193940422的博客
07-13 367
2、将分公司内部设备与内部服务器做源地址和目标地址同时转换,保证内部设备通过域名正常访问内部服务器安全区域都是分公司,可不配置安全策略)10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器。1、将公网与分公司内部服务器做端到端的目标NAT。4、配置客户端上配置域名服务器地址。
防火墙NAT策略实验报告.docx
11-13
本文档介绍FW在典型项目中的应用及配置方法。本文档并不覆盖所有的场景,您可以以本文档所提供的案例为...本文档适用于负责配置和管理防火墙设备的网络管理员。您应该熟悉以太网基础知识,且具有丰富的网络管理经验。
设备安全——防火墙策略实验NAT、备份】
Miracle_ze的博客
09-12 2358
本次实验在第一次基础策略实验的基础上进行nat与双机热备的实验。掌握了对其防火墙NAT和双机热备的实验步骤。
华为防火墙NAT策略原理+实验验证!
CN_TangZheng的博客
02-11 4892
华为防火墙主要分为NAT NO-PAT ,NAPT,出接口地址( Easy-IP),Smart NAT,三元组NAT
基于高通主板的ARM架构服务器
D404234的博客
09-11 1323
但高通在服务器市场面临激烈竞争,联发科在手机芯片市场挑战高通,苹果加快自研芯片使用步伐给高通压力,服务器市场英特尔占主导,高通要成功需克服诸多困难。高通在服务器芯片领域面临挑战,有收购与专利问题,博通收购后高通削减“非核心业务”支出,Intel 市占率高且 Arm 生态和软件不完善,高通在 Arm 服务器芯片市场进展不大,2018 年高通服务器芯片部门裁员约 280 名,占部门总人数一半左右,业务前景充满不确定性。易获取部署,众多供应商,90%主流软件适配,兼容性强,常见系统和程序可顺畅运行。
Linux:五种IO模型
MaoRuofeng的博客
09-09 1185
阻塞IO: 在内核将数据准备好之前,系统调用会一直等待.所有的套接字,默认 都是阻塞方式。非阻塞 IO: 如果内核还未将数据准备好, 系统调用仍然会直接返回, 并且返回EWOULDBLOCK 错误码。 非阻塞 IO 往往需要循环的方式反复尝试读写文件描述符(对于CPU会有较大的浪费), 这个过程称为轮询。 信号驱动 IO: 内核将数据准备好的时候, 使用 SIGIO 信号通知应用程序进行 IO操作。IO 多路转接: 虽然从流程图上看起来
chattr:修改文件的特殊属性
qq_38641599的博客
09-12 441
​chattr​命令用于改变文件的特殊属性,也称为"chattr 属性"。这些属性可以提供额外的安全性和控制,如设置文件为不可修改、只允许在文件末尾添加数据等。‍。
Windows电脑A远程连接电脑B
weixin_44750594的博客
09-11 218
3. 打开电脑A,如果默认没有搜索图标出来,可以利用Windows+X调用出搜索命令,之后输入“远程桌面连接”,打开远程桌面把B电脑的IP输入。ip看以无线局域网适配器 WLAN里面的本地链接IPV6地址:X.X.X.X(这是那个地址的格式就是,例如为10.222.1.2)4. 如果电脑B有密码和名字,把电脑的名字和电脑密码输入给A,这样就可以连接。
怎么选择适合的服务器
最新发布
2403_86998484的博客
09-14 363
大家都知道,不管是公司还是个人,在数字化浪潮已经席卷全球的环境下,大家对服务器的需求是日渐增长的。很多人在买服务器的时候,多少都有点选择困难,今天我们就来对比下物理服务器和弹性云服务器,看看选哪个更省心。业务规模:如果你的业务还在起步阶段,或者只是想自己倒腾点东西,比如建steam游戏的服务器、建个人博客、论坛等,那么云服务器应该更适合你。想象一下,物理服务器就像你家的老式冰箱,虽然样子有点过时,但性能稳定,用起来心里踏实。而弹性云服务器,就像是你的智能手机,随时随地,想怎么用就怎么用。
【银河麒麟高级服务器操作系统】虚拟机服务器执行systemctl提示timeout——分析全过程及处理建议
银河麒麟操作系统的博客
09-10 1223
了解全新产品,请点击访问产品信息产品名称银河麒麟高级服务器操作系统(海光版)V10ISO环境信息主机型号虚拟机systemd崩溃,后续systemd连接异常,systemctl失败。需要查明systemd崩溃原因根据sosreport中的messages信息,systemd发生了coredump,收到了信号SIGQUIT。见图2.1.1图2.1.1使用gdb分析systemd的coredump文件,显示systemd是收到了SIGQUIT后发生的coredump。并未调用错误处理函数。
ensp中防火墙nat实验
07-27
在ENSP中进行防火墙NAT实验,你可以按照以下步骤进行配置: 1. 首先,根据需要划分防火墙安全区域。可以使用命令`firewall zone trust add interface GigabitEthernet1/0/0`将接口GigabitEthernet1/0/0添加到可信区域,使用命令`firewall zone untrust add interface GigabitEthernet1/0/2`将接口GigabitEthernet1/0/2添加到不可信区域,使用命令`firewall zone dmz add interface GigabitEthernet1/0/1`将接口GigabitEthernet1/0/1添加到DMZ区域。\[3\] 2. 配置NAT服务器。可以使用命令`nat server global 202.100.1.1 inside 192.168.1.1`将全局地址202.100.1.1映射到内部地址192.168.1.1,以实现外部客户端通过公网IP地址访问内部的WEB服务器。\[2\] 3. 配置安全策略。可以使用命令`firewall policy 1 permit source 192.168.1.0 0.0.0.255 destination 0.0.0.0 0.0.0.0`设置允许源地址为192.168.1.0/24的流量访问任意目的地。\[2\] 4. 验证配置结果。可以通过以下方式进行验证: - 使用client3访问FTP服务器,确保连接成功并能够正常传输文件。\[2\] - 使用client1访问FTP服务器,确保连接成功并能够正常传输文件。\[2\] - 使用client2访问client4,确保连接成功并能够正常通信。\[2\] - 验证GRE隧道的配置是否正确。\[2\] - 验证IPSec隧道的配置是否正确。\[2\] - 验证所有客户端能够通过公网IP地址访问WEB服务器。\[2\] 请注意,以上步骤仅为示例,具体的配置步骤可能会因ENSP版本和网络拓扑而有所不同。在进行实验前,请确保你已经熟悉ENSP的操作和防火墙的基本配置。 #### 引用[.reference_title] - *1* *3* [ENSP防火墙的配置实验防火墙配置安全策略和GRE以及配置NAT进行路由通信](https://blog.csdn.net/milu_nff/article/details/124806004)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】](https://blog.csdn.net/JohnnyG2000/article/details/124834586)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

魏大橙

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值