防火墙小试——部分(书接上回)NAT

已于 2024-07-14 16:51:04 修改
阅读量637 收藏 12
点赞数 18
分类专栏: 下一代防火墙 文章标签: 服务器 网络 运维
于 2024-07-13 17:43:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aimnr/article/details/140403299
版权

toop接上回

1.实验拓扑及要求

前情回顾

  1. DMZ区内的服务器,办公区仅能在办公时间内(9:00 - 18:00)可以访问,生产区的设备全天可以访问.

  2. 生产区不允许访问互联网,办公区和游客区允许访问互联网

  3. 办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10

  4. 办公区分为市场部和研发部,市场部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证,游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123

  5. 生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用

  6. 创建一个自定义管理员,要求不能拥有系统管理的功能

书接上回

  1. 办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)

  2. 分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

  3. 多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%

  4. 分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;

  5. 游客区仅能通过移动链路访问互联网

实验思路

  1. 创建电信,移动安全区,将对应接口划入其中,创建移动、电信线路的办公区指向ISP的多对多的NAPT,创建源地址转换池,保留一个

  2. 总公司区,创建分公司(分公司的源nat转化地址)访问HTTP服务起的安全策略,分别创建移动,电信的目标NAT指向HTTP服务器,目标地址为接口地址,采用NAPT方式;分公司,创建访问电信,移动地址的安全策略,创建内网到移动、电信地址的源NAT,采用多对多NAPT

  3. 分别创建移动、电信的链路接口,移动、电信接口分别开启多出口,设置限制带宽和过载保护阈值;设置智能选路为依据带宽,将移动、电信链路接口加入;设置10.0.2.10走电信的策略路由

  4. 配置DNS服务器,添加解析条目;分公司,设置双向nat用于内网域名访问;设置目标NAT指向HTTP服务器,用于公网访问,采用接口地址NAPT;添加外网到HTTP的安全策略

  5. 添加游客区走移动链路的源NAT,添加游客区走移动链路的策略路由

实验过程

1.完善toop图配好IP地址

FW2的基础配置

办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)

FW1

移动 源NAT

电信 源NAT

测试

分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

总公司FW1

安全策略

电信 目标NAT

移动目标NAT

分公司FW2

安全策略

源NAT

测试
电信线路

FW1

FW2

移动线路

FW1

FW2

多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%

多出口环境基于带宽比例进行选路 FW1

办公区中10.0.2.10该设备只能通过电信的链路访问互联网

测试

  • 增加可行度添加一条走移动的静态路由

  • 10.0.2.10测试

  • 10.0.2.20测试

分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;

分公司内部的客户端可以通过域名访问到内部的服务器

搭建DNS服务器

FW2
安全策略:添加DNS的IP地址

源NAT 添加DNS的IP地址

双向NAT

测试

公网设备也可以通过域名访问到分公司内部服务器;

FW2
安全策略

目标NAT

测试

游客区仅能通过移动链路访问互联网

FW1

添加YK区源NAT转换走移动区域

为了保险添加策略路由

测试
为了测试添加一条走向电信的静态

游客区

非游客区

一些小发现

当把游客那条策略路由禁用后,保留指向电信的静态缺省。那么就会优先看路由,发现电信这个接口没有配关于游客区的nat那么就不会转换地址

城南敢死队
关注
专栏目录
防火墙小试——部分接上)流量控制
aimnr的博客
07-16 304
对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1 办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M 销售部保证email应用在办公时间至少可以使用10M的带宽,每个人至少1M 移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分
牛刀小试——五分钟入门Spring Boot
2401_83384536的博客
05-20 710
在一个程序员的眼里,万物皆可Hello World。Spring Boot当然也不例外。下面一起来完成我们的第一个Spring Boot程序。新建项目:在 首 次 运 行 Intellij IDEA 时 , 或 者 取 消 勾 选 Reopen projects onstartup(启动时重新打开项目)复选框时,你会看到如图3-1所示的界面,选择New Project选项。在非首次运行Intellij IDEA时,你可以选择File→New→Project菜单命令来创建一个工程。
python——pygame小试——hangman
eddatt的博客
12-07 1087
嘛,python期末要做个pj,hangman,开学时wxp老师展示了两个据说是上届的作品,用的pygame,心血来潮,也自己做了个 但是昨晚发现他发的东西有这个开头: # Four-In-A-Row (a Connect Four clone) # By Al Sweigart al@inventwithpython.com # http://inventwithpython.com/p
小试Python——爬虫抓取大众点评上的数据
热门推荐
Wang & Young Build Things
12-11 2万+
前言 我开通了一个微信公共号“王和阳的航海日志”,在上面记录着自己的学习、思考、实践和成长的过程,欢迎关注、交流和拍砖。 碎碎念:某一天妹子突然说要让我帮她写个爬虫,貌似在她眼里,所有和电脑相关的事儿,程序员都能搞的定…….哈哈,作为一个立志要改变世界的程序员,用Python写爬虫当然是so easy的一件事!废话不多说,直接上正文吧。 1、目标 爬取大众点评上“武汉”这个城市...
小试牛刀——链表第三篇
buhuisuanfa的博客
10-04 6080
对于一个链表,请设计一个时间复杂度为O(n),额外空间复杂度为O(1)的算法,判断其是否为文结构。 给定一个链表的头指针A,请返一个bool值,代表其是否为文结构。保证链表长度小于等于900。
小试牛刀——链表第一篇
buhuisuanfa的博客
09-22 5298
输入两个递增的链表,单个链表的长度为n,合并这两个链表并使新链表中的节点仍然是递增排序的。
存储过程小试——结账
飞翔的肥仔
03-05 1116
存储过程小试
开学小试——素数
u012369021的专栏
09-02 941
#include using namespace std; bool fun(int n) { int b=1; for(int i=2; i<=n/2; i++) { if(n%i==0) b=0; break; } return b; } int main()
开学小试——文数
u012369021的专栏
09-02 666
#include #include #include using namespace std; int main() { int n,j=0,i; char a[50],b[50]={0};//这里需要赋初值,循环是i-- gets(a); n=strlen(a); for(i=n-1; i>=0; i--) {
零基础学FPGA(十)牛刀小试——串行口通信电路设计
08-30
以上各部分的实现涉及到Verilog或VHDL等硬件描述语言,通过编写代码来定义逻辑功能。程序包括对信号的检测、计数器的使用、状态机的设计等。 6. **RTL视图与测试**: 完成代码编写后,通过仿真工具生成RTL...
RD算法(二)小试牛刀 —— 距离时域处理
lightninghenry的博客
03-24 1053
编写MATLAB代码,实现RDA算法,使用真实SAR卫星数据进行成像处理。
android矢量地图画法_TWaver矢量小试——Android演进路线图
weixin_32647107的博客
12-23 220
还有半个多月就到春节了,年底相信很多公司都会进行年度总结以及公司发展状况总结,在这过程中难免会用到RoadMap,在这我们也使用TWaver的矢量部分绘制一个Android系统的发展历程。先看效果:什么,最里面Android 1.0的气泡看不清?没关系,放大下ok。先来绘制一条road:twaver.Util.registerImage('road', {w: 880,h: 370,origin:...
python rot13解密_牛刀小试——Python 2.7下的rot13编码与解码
weixin_39703773的博客
12-10 933
rot13是什么?它是一种很好玩的编码技术。可以参考[wiki](https://en.wikipedia.org/wiki/ROT13)。其实我更想叫它“加密”,不过因为它太容易破解了,所以我还是自己这么叫它吧。原理rot13,展开说就是“rotate by 13 places”,也就是向后移动13个位置。我们都知道,英文字母一共有26个。如果你把它们想象成一个圈圈,让a和z手拉着手,此时从a往...
chattr:修改文件的特殊属性
qq_38641599的博客
09-12 890
​chattr​命令用于改变文件的特殊属性,也称为"chattr 属性"。这些属性可以提供额外的安全性和控制,如设置文件为不可修改、只允许在文件末尾添加数据等。‍。
通过TensorBoard查看服务器训练过程
记录图像处理中遇到的点点滴滴
09-12 283
在本地查看服务器训练代码过程
运维的基本概念:服务器网络基础知识
Echo_Wish的博客
09-12 925
服务器网络是现代IT系统的基础设施,运维工程师需要掌握这些基础知识,才能有效地管理和维护系统。希望本文能够帮助读者更好地理解运维的基本概念,并提供一些实用的服务器网络管理示例。通过不断学习和实践,运维工程师可以提升自己的技能,为企业的IT系统保驾护航。
怎么选择适合的服务器
最新发布
2403_86998484的博客
09-14 563
大家都知道,不管是公司还是个人,在数字化浪潮已经席卷全球的环境下,大家对服务器的需求是日渐增长的。很多人在买服务器的时候,多少都有点选择困难,今天我们就来对比下物理服务器和弹性云服务器,看看选哪个更省心。业务规模:如果你的业务还在起步阶段,或者只是想自己倒腾点东西,比如建steam游戏的服务器、建个人博客、论坛等,那么云服务器应该更适合你。想象一下,物理服务器就像你家的老式冰箱,虽然样子有点过时,但性能稳定,用起来心里踏实。而弹性云服务器,就像是你的智能手机,随时随地,想怎么用就怎么用。
Zabbix自定义监控项与触发器
henanchenxuyuan的博客
09-11 1612
Zabbix 中内置了很多监控参数(Key),我们可以通过在客户端配置文件中定义 key,获取监控对象中的系统、CPU、网络、内存、文件系统等信息。Key(键)是 zabbix 标记 item 的键,是一种标识符。利用 key 可以定义一个监控对象,那么这个监控对象肯定是采集数据的,但是采集数据的时候可能存在很多节点与 server 交互,那么需要具体采集哪个节点,就可以用 key 进行采集。
linux防火墙之牛刀小试
05-31
Linux防火墙是一种网络安全机制,可以保护主机免受恶意攻击和未经授权的访问。在Linux系统中,有多种防火墙可供选择,如iptables、firewalld等。 如果你想进行牛刀小试,可以使用iptables来配置Linux防火墙。以下是一些基本的iptables命令: 1. 查看当前iptables规则: ``` iptables -L ``` 2. 清除当前iptables规则: ``` iptables -F ``` 3. 允许某个IP地址访问特定端口: ``` iptables -A INPUT -s <IP地址> -p tcp --dport <端口号> -j ACCEPT ``` 4. 禁止某个IP地址访问特定端口: ``` iptables -A INPUT -s <IP地址> -p tcp --dport <端口号> -j DROP ``` 5. 允许所有IP地址访问特定端口: ``` iptables -A INPUT -p tcp --dport <端口号> -j ACCEPT ``` 6. 禁止所有IP地址访问特定端口: ``` iptables -A INPUT -p tcp --dport <端口号> -j DROP ``` 以上是一些基本的iptables命令,可以让你快速入门Linux防火墙的使用。当然,对于复杂的网络环境,你需要更深入地了解iptables的规则语法和命令参数,才能更好地保护你的主机。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值