2021-11-31 防火墙的Web界面配置+NAT访问外网

最新推荐文章于 2024-07-11 02:37:30 发布
最新推荐文章于 2024-07-11 02:37:30 发布
阅读量4.8k 收藏 35
点赞数 3
分类专栏: 数通基础 文章标签: 防火墙配置 OSPF NAT 路由 安全区域
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58489132/article/details/121638764
版权

本文章仅供学习和参考!

欢迎交流~

目录

一、实验拓扑图:

二、实验要求:

 1. 防火墙基础配置(基于命令行):

 2. 防火墙IP地址和安全区域配置(基于Web界面):

3. 边界安全设备FW5配置路由可达(基于Web界面):

4. 外网设备IP地址配置:

5. R6和R7-OSPF配置,RID=255.X.X.X,X为设备编号:

6.配置NAT让内网主机可以访问外网:

三、实验步骤:

1. 配置环回适配器(基于安全性原则)​

 2. 配置Cloud1

 3.配置客户端

(1)配置PC1

(2)配置PC2

(3)配置Client1

(4)配置Client2

4.配置服务器 

(1)配置Server1

(2)配置Server2

5. 配置防火墙

6. 配置路由器

(1) 配置R1

(2)配置R2

(3)配置R3

(4)配置R4

(5)配置R6

(6)配置R7

一、实验拓扑图:

二、实验要求:

 1. 防火墙基础配置(基于命令行):

(0)启动防火墙出现###五行左右正常显示登录界面后,如果五行###出现完还没有出现登录界面,请关闭eNSP再重新打开eNSP实验图;
(1)设置eNSP的云(udp+GE点增加,本地网卡IP+GE点增加),通道 上1下2点勾双向通道,将防火墙的G0/0/0桥接到本地网卡所在的网络;
(2)基于CLI命令行访问设备,第一次访问设备使用用户名=admin和密码=Admin@123进行登录,并需要修改密码=Admin@123456;
(3)修改防火墙设备系统名=FW5,并设置登录设备后的超时时间=0分和0秒;
(4)FW5-G0/0/0=192.168.100.2xx/24    安全区域属于Trust,其中xx为学号,例如:学号=36,则FW5-G0/0/0=192.168.100.236/24;
(5)FW5-G0/0/0允许所有支持服务管理协议进行访问管理;
(6)从本地PC的cmd下>ping 192.168.100.2xx,结果应该是可以ping通,如果不通请进行故障排错;
(7)从本地PC打开谷歌浏览器或火狐浏览器,输入192.168.100.2xx,在Web中是否有登录界面;
(8)请用命令查看并填写Trust安全区域优先级=( 85  ),untrust安全区域优先级=( 5  ),DMZ安全区域优先级=(   50),local安全区域优先级=(  100 );

 2. 防火墙IP地址和安全区域配置(基于Web界面):

(1)FW5-G1/0/0=192.168.5.1/24          安全区域属于Trust,仅允许服务管理ping/SNMP进行访问管理;
(2)FW5-G1/0/1=192.168.45.5/24         安全区域属于Trust,允许除开NETCONF协议外的其他支持协议进行访问管理;
(3)FW5-G1/0/2=192.168.35.5/24         安全区域属于Trust,仅允许服务管理SSH/Telnet/ping进行访问管理;
(4)测试:在Server1上ping 192.168.5.1能通,R3上ping 192.168.35.5能通,R4上ping 192.168.45.5能通;

3. 边界安全设备FW5配置路由可达(基于Web界面):

(1)FW5上配置OSPF进程号=1,Router-ID=123.5.5.5,区域ID=0,把G1/0/0、G1/0/1、G1/0/2三个接口精确通告进OSPF;
(2)R5上配置静态缺省路由通往外部网络,下一跳IP地址=202.103.56.6;
(3)R5上配置OSPF 缺省路由,就算本地路由表没有0.0.0.0/0也能总是下放OSPF默认路由给OSPF邻居设备;
(4)测试:PC1和PC2通过ping 192.168.5.100能通,PC1和PC2通过Tracert 192.168.5.100分别走左边和右边;
(5)测试:R1/R2/R3/R4上通过display ip routing-table 查看R1/R2/R3/R4路由表应存在0.0.0.0/0 的O_ASE路由;
(6)测试:R1/R2/R3/R4上测试ping 200.1.1.200或ping 100.1.1.100结果不通(因为还没有做NAT);

4. 外网设备IP地址配置:

(1)FW5-G0/0/0=192.168.100.2xx/24    安全区域属于Trust,R6-G2/0/0=202.103.56.6/24,其他IP按照图示配置;
(2)测试:在R6上测试ping 202.103.56.5结果是能通;
(3)Client2=100.1.1.100/24,网关=100.1.1.1/24;

5. R6和R7-OSPF配置,RID=255.X.X.X,X为设备编号:

(1)R7上配置OSPF 1 Area 0,把G0/0/0、G0/0/1、G0/0/2精确通告进OSPF;
(2)R6上配置OSPF 1 Area 0,把G0/0/1精确通告进OSPF;
(3)R6上配置OSPF 缺省路由,就算本地路由表没有0.0.0.0/0也能总是下放OSPF默认路由给OSPF邻居设备;
(4)测试:R7上通过display ip routing-table 查看R7路由表应存在0.0.0.0/0 的O_ASE路由;
(5)测试:Server2和Client2测试ping 202.103.56.6能通,Server2和Client2测试ping 202.103.56.5不能通;

6.配置NAT让内网主机可以访问外网:

三、实验步骤:

1. 配置环回适配器(基于安全性原则)

 2. 配置Cloud1

 3.配置客户端

(1)配置PC1

(2)配置PC2

(3)配置Client1

(4)配置Client2

4.配置服务器 

(1)配置Server1

(2)配置Server2

5. 配置防火墙


修改设备名称
sysname FW5


配置IP
interface GigabitEthernet0/0/0
 ip address 192.168.100.242 255.255.255.0
interface GigabitEthernet1/0/0
 ip address 192.168.5.1 255.255.255.0
interface GigabitEthernet1/0/1
 ip address 192.168.45.5 255.255.255.0
interface GigabitEthernet1/0/2
 ip address 192.168.35.5 255.255.255.0
interface GigabitEthernet1/0/6
 ip address 202.103.56.5 255.255.255.0


添加防火墙接口权限
interface GigabitEthernet0/0/0
 service-manage http permit
 service-manage https permit
 service-manage ping permit
 service-manage ssh permit
 service-manage snmp permit
 service-manage telnet permit
interface GigabitEthernet1/0/0
 service-manage ping permit
 service-manage snmp permit
interface GigabitEthernet1/0/1
 service-manage http permit
 service-manage https permit
 service-manage ping permit
 service-manage ssh permit
 service-manage snmp permit
 service-manage telnet permit
interface GigabitEthernet1/0/2
 service-manage ping permit
 service-manage ssh permit
 service-manage telnet permit
interface GigabitEthernet1/0/6
 service-manage ping permit


添加信任区域
firewall zone trust
 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet1/0/0
 add interface GigabitEthernet1/0/1
 add interface GigabitEthernet1/0/2


添加不信任区域
firewall zone untrust
 add interface GigabitEthernet1/0/6


配置OSPF
ospf 1 router-id 123.5.5.5
 default-route-advertise always
 area 0.0.0.0
  network 192.168.5.1 0.0.0.0
  network 192.168.35.5 0.0.0.0
  network 192.168.45.5 0.0.0.0
  network 192.168.100.250 0.0.0.0


在G1/0/6接口配置默认路由(内网出口一定要配置默认路由)
ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/6 202.103.56.6


配置NAT源转换地址池
nat address-group add1 0
 mode pat
 section 0 202.103.56.1 202.103.56.50


配置安全策略
security-policy
 rule name policy1
  source-zone trust
  destination-zone untrust
  action permit


配置NAT策略
nat-policy
 rule name nat1
  source-zone trust
  destination-zone untrust
  action source-nat address-group add1

补充:防火墙在Web界面配置NAT(上面是用命令配置NAT,下面用Web配置,两种方法都可以)

        配置NAT源转换地址池

        配置NAT

6. 配置路由器

(1) 配置R1

修改设备名称
sysname AR1


配置IP
interface GigabitEthernet0/0/0
 ip address 192.168.10.1 255.255.255.0
interface GigabitEthernet0/0/1
 ip address 192.168.13.1 255.255.255.0 


配置ospf
ospf 1 router-id 123.1.1.1 
 area 0.0.0.0 
  network 192.168.10.1 0.0.0.0 
  network 192.168.13.1 0.0.0.0


配置VRRP
interface GigabitEthernet0/0/0
 vrrp vrid 10 virtual-ip 192.168.10.254
 vrrp vrid 10 priority 105
 vrrp vrid 10 preempt-mode timer delay 120
 vrrp vrid 10 track interface GigabitEthernet0/0/1
 vrrp vrid 10 track ip route 0.0.0.0 0.0.0.0 
 vrrp vrid 10 track ip route 192.168.5.0 255.255.255.0 reduced 20
 vrrp vrid 20 virtual-ip 192.168.10.253

(2)配置R2

修改设备名称
 sysname AR2


配置IP
interface GigabitEthernet0/0/0
 ip address 192.168.10.2 255.255.255.0
interface GigabitEthernet0/0/1
 ip address 192.168.24.2 255.255.255.0 


配置VRRP
interface GigabitEthernet0/0/0
 vrrp vrid 10 virtual-ip 192.168.10.254
 vrrp vrid 20 virtual-ip 192.168.10.253
 vrrp vrid 20 priority 105
 vrrp vrid 20 preempt-mode timer delay 120
 vrrp vrid 20 track interface GigabitEthernet0/0/1


配置OSPF
ospf 1 router-id 123.2.2.2 
 area 0.0.0.0 
  network 192.168.10.2 0.0.0.0 
  network 192.168.24.2 0.0.0.0

(3)配置R3


修改设备名称
 sysname AR3


配置IP
interface GigabitEthernet0/0/1
 ip address 192.168.13.3 255.255.255.0 
interface GigabitEthernet0/0/2
 ip address 192.168.35.3 255.255.255.0 


配置OSPF
ospf 1 router-id 123.3.3.3 
 area 0.0.0.0 
  network 192.168.13.3 0.0.0.0 
  network 192.168.35.3 0.0.0.0

(4)配置R4


修改设备名称
 sysname AR4


配置IP
interface GigabitEthernet0/0/1
 ip address 192.168.24.4 255.255.255.0 
interface GigabitEthernet0/0/2
 ip address 192.168.45.4 255.255.255.0 


配置OSPF
ospf 1 router-id 123.4.4.4 
 area 0.0.0.0 
  network 192.168.24.4 0.0.0.0 
  network 192.168.45.4 0.0.0.0

(5)配置R6


修改设备名称
 sysname AR6


配置IP
interface GigabitEthernet0/0/1
 ip address 202.103.67.6 255.255.255.0 
interface GigabitEthernet2/0/0
 ip address 202.103.56.6 255.255.255.0 


配置OSPF
ospf 1 router-id 255.6.6.6 
 default-route-advertise always
 area 0.0.0.0 
  network 202.103.67.6 0.0.0.0

(6)配置R7


修改设备名称
 sysname AR7


配置IP
interface GigabitEthernet0/0/0
 ip address 200.1.1.1 255.255.255.0 
interface GigabitEthernet0/0/1
 ip address 202.103.67.7 255.255.255.0 
interface GigabitEthernet0/0/2
 ip address 100.1.1.1 255.255.255.0


配置OSPF
ospf 1 router-id 255.7.7.7 
 area 0.0.0.0 
  network 100.1.1.1 0.0.0.0
  network 200.1.1.1 0.0.0.0 
  network 202.103.67.7 0.0.0.0
夕阳的街道
关注
  • 3
    点赞
  • 35
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
锐捷防火墙WEB)——单线上网
君逍遥o
09-20 512
外网接口使用ADSL拨号,内网为192.168.1.0/24网段,实现基本上网功能。
H3C防火墙开局配置基本上网功能配置案例
最新发布
u013787089的博客
07-29 1074
华三 H3C F100-C-G 防火墙配置基本上网功能配置案例
网络地址转换--动态NAT配置
热门推荐
青红造了个大白之成长记
07-04 5万+
2.1 实验目的(1)理解动态NAT和静态映射的区别;(2)掌握NAT地址池的配置;(3)掌握NAT转换中访问控制列表的应用;(4)掌握静态NAT配置2.2 实验原理1.动态NAT动态转换(亦称NAT pool)是指不建立内部地址和全局地址的一对一的固定对应关系。而通过共享NAT地址池的IP地址动态建立NAT的映射关系。当内网主机需要进行NAT地址转换时,路由器会在NAT地址池中选择空闲的全局地...
防火墙基本配置
天上掉馅饼
02-27 3049
防火墙基本配置
防火墙--防火墙的组网及一些配置
banliyaoguai的博客
07-11 1129
环境实验环境:华为模拟器ensp防火墙型号:USG6000V。
ENSP防火墙进入web登陆界面
随便写写
12-22 1929
输入指令:ping 我们防火墙的ip地址【Firefox兼容性较好,chrome也可以】新增两个绑定:一个绑定选择默认,一个绑定选择本地连接,端口类型选择GE。然后在user下进行save【直接输入save即可】端口设置:参照途中所示,必须勾选双向通道。输入指令:ping 我们防火墙的ip地址。进入FW设置ip地址。我们在系统的cmd上面。我们在系统的cmd上面。
NAT配置
wada64的博客
07-17 609
如图所示。
防火墙设置与配置开放端口
冷晨四点的太阳
05-12 4465
一、iptables防火墙 1、 查看防火墙状态 service iptables status 出现Active: active (running)高亮显示则表示是启动状态。 出现 Active: inactive (dead)灰色表示停止状态。 2、 CentOS6关闭防火墙使用以下命令: # 临时关闭 service iptables stop # 禁止开机启动 chkconfig iptables off # 重启防火墙 service iptables re...
华为安全-防火墙-双向NAT
w2685797168的博客
11-12 1948
在一些特殊的场景,可以将源NAT与SERVER NAT同时使用,以实现特殊的通讯,这就是本文介绍的双向NAT。双向NAT根据作用的ZONE不一样,可以分为域间双向NAT和域内双向NAT
华为防火墙USG6000通过WEB图形界面配置案例,2024年最新耗时两个礼拜8000字Python面试长文
m0_60635321的博客
04-19 244
不知道你们用的什么环境,我一般都是用的Python3.6环境和pycharm解释器,没有软件,或者没有资料,没人解答问题,都可以免费领取(包括今天的代码),过几天我还会做个视频教程出来,有需要也可以领取~给大家准备的学习资料包括但不限于:Python 环境、pycharm编辑器/永久激活/翻译插件python 零基础视频教程Python 界面开发实战教程Python 爬虫实战教程Python 数据分析实战教程python 游戏开发实战教程Python 电子书100本。
华为防火墙USG6000系列多ISP上网(通过WEB界面设置)
daxihe880的博客
03-23 1万+
华为防火墙多ISP上网,内网分区上网。内网多网段不同上网方式。
防火墙NAT功能的典型配置.pdf
01-12
防火墙NAT功能的典型配置.pdf防火墙NAT功能的典型配置.pdf
ASA/PIX防火墙NAT配置
weixin_33841722的博客
11-29 143
1、配置一个公网地址池的NAT转换nat (inside) 1 10.0.0.0 255.255.255.0global (outside) 1 222.172.200.20-222.172.200.30 //这个命令可能无法用?和tab键不全,不过不用管,照着输完即可。或者global (outside) 1 222.172.200.202、公网只有1个固定IP的NAT转...
防火墙_动态路由-OSPF】
yuxue_cn的博客
05-26 1131
防火墙_动态路由-OSPF 一、网络拓扑图 二、需求描述 USG-A与USG-B之间通过配置动态路由OSPF使全网进行互通。 USG-A与USG-B之间OSPF使用MD5进行加密,密钥使用venustech。 三、实验步骤: 1.配置USG-A。 在USG-A上,将接口eth1、eth2配置为路由模式,并配置所需的IP地址 配置一条全通安全策略 进入OSPF配置界面,将接口eth1、eth2认证方式配置为MD5,密钥设为venustech 配置OSPF 2.配置防火墙USG-B。 在USG-
防火墙NAT策略
微笑的段嘉许的博客
09-30 1575
NAT技术是用来解决当今IP地址资源枯竭的一种技术,同时也是IPv4到IPv6的过渡技术,绝大多数网络环境中在使用NAT技术。关于NAT技术的原理在之前的文章中已经有所提及,本文的重点放在华为相关的NAT知识和实验配置上。
(3)防火墙的应用----NAT和ACL
lzlz70707的专栏
02-27 2649
首先要了解一下ACL规则。前一篇已经提及ACL这个玩意,它定义了安全域之间的报文过滤规则。 其中,ACL分为基本ACL、高级ACL和二层ACL。一个ACL中可以包括多个RULE,RULE规定了过滤规则,我们这里只使用基本ACL。 基本ACL编号由2000开始到2999结束。Rule编号由0开始,默认规则步长为5,这个不用太关心,一般每个规则的代号我们都会手动指定。 举个栗子。 acl ba
基于nat协议下通过端口映射实现外网访问内网网站
m0_65463546的博客
07-15 2603
4在ABR路由器(R1)上配置nat和acl(来获取兴趣流量)实现内网可以访问外网外网可以访问内网的网站。2因为涉及终端数量较少,不适用DHCP自动获取,手动配置终端、路由器、client、服务器地址。3因为本次实验模拟外网访问内网网站,所以在内网ABR服务器写一条指向外网的缺省路由。1R2为ISP设备,只能再该设备上配置ip,不得在进行其它任何配置。1ip地址规划(因为涉及网段较少,ip地址在拓扑图可直接查看)3R1仅拥有一个共有ip地址,在G0\0\1接口上。通过ip地址端口映射访问。...
华为防火墙USG6000V---内网访问外网---外网访问内网服务器(NAT服务器)示例配置
lehe99的专栏
11-03 2万+
华为防火墙USG6000V示例配置,展示了访问防火墙、内网服务器、外网外网访问内网服务器(NAT服务器)的配置
简单的网络架构实施手册
m0_60397036的博客
05-19 224
小型网络交付实施详细步骤,适合初级网络安全工程师参考。
Comware V7防火墙DHCP上网配置教程(Web界面版)
本文档详细介绍了如何在Comware V7系列防火墙,如F100-X-G2、F1000-X-G2、F100-X-WiNet等产品上,通过Web界面配置防火墙以使用DHCP方式连接外网并实现内外网通信。配置过程分为以下几个关键步骤: 1. **配置需求与...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值