gns3 pix防火墙大作业
目录
实验要求
作为一个大型企业信息中心部门的安全管理员,公司对现有网络进行安全加固,要求对本公司内部增加边界防火墙,公司内部有多个部门,包括技术部、财务部和售后部等。由安全管理员实施防火墙的网络拓扑结构设计,通过为公司添加网络设备防火墙、路由器等设备,从而实现可分离可监控可追溯的网络流量管理,公司各个部门之间可以安全且有效的通信。完成下列访问控制策略:
1、设计合适的网络拓扑结构,用防火墙划分内网,外网等区域,并在图中标注安全区域、接口和IP 地址等信息。
2、公司只有4 个公用IP 地址202.115.100.4-10/24,内部地址每个部门的私有地址网段不同;
3、公司有3 台服务器,内部和外部都可以访问。FTP 服务器是172.16.3.2,www 服务器172.16.3.3, mail 服务器172.16.3.4,安全策略要求企业的官网、邮件服务器、FTP 等公共服务资源可以提供给外网用户进行访问;
4、公司内部分主机有网络访问限制10.10.10.100 限速1M,10.10.10.200限速10M,要求10.10.10.99 禁止所有网络访问;
5、安全策略要求内部网络中4 台主机访问外部互联网时候需要身份认证;
6、安全策略要求记录所有网络活动的运行情况;
7、安全策略要求防火墙技术为公司的财务部门提供不同的访问控制的安全服务,与其他流量隔离。
实验拓扑图
其中c1-c5由路由器模拟,修改名称和标识符后显示为pc
ftp、www、mail由pc模拟,详情见下文
实验配置
虚拟pc(服务器)
使用vpcs来完成dmz区域三台服务器的模拟,选择普通pc,连接时使用nio-udp网卡,连接完成后,打开“tools-vpcs”,代码如下:
VPCS[1]> ip add 172.16.3.2 255.255.255.0 gateway 172.16.3.1
//vpcs后方括号中的数字代表当前在第几台pc,我们可以通过直接输入数字来切换pc。
对应vpcs与拓扑图中pc的方法:
LPORT与拓扑图中连接时使用的nio-udp对应
将所有pc配好后,输入以下代码
VPCS[1]> save project 5
......... done
//save后接保存配置的对应文件名,下次打开时load project5即可加载出之前的配置
查看一下此时的服务器ip配置
inside部分主机
C1
C1#conf t
C1(config)#no ip routing //关闭路由功能
C1(config)#int f0/0
C1(config-if)#ip add 10.10.10.100 255.255.255.0
C1(config-if)#no sh
C1(config-if)#exit
C1(config)#ip default-gateway 10.10.10.1 //设置网关
C1(config)#end
C1#wr //保存配置
查看一下路由情况
C2
与C1基本一样
C2#conf t
C2(config)#no ip routing
C2(config)#int f0/0
C2(config-if)#ip add 10.10.10.200 255.255.255.0
C2(config-if)#no sh
C2(config-if)#exit
C2(config)#ip default-gateway 10.10.10.1
C2(config)#exit
C2#wr
C3
C3#conf t
C3(config)#no ip routing
C3(config)#int f0/0
C3(config-if)#ip add 10.10.10.99 255.255.255.0
C3(config-if)#no sh
C3(config-if)#exit
C3(config)#ip default-gateway 10.10.10.1
C3(config)#end
C3#wr
C4
C4#conf t
C4