防火墙源NAT配置

已于 2024-01-26 14:19:32 修改
阅读量1.3k 收藏 8
点赞数 14
分类专栏: 网络安全之防御保护 文章标签: 网络 网络协议 huawei
于 2024-01-26 07:45:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61802503/article/details/135852366
版权
本文详细描述了一个企业网络的配置,包括生产区和办公区对服务器的访问权限(如HTTP访问限制),办公区的匿名认证策略,以及防火墙、NAT策略和ISP配置,确保不同区域间的网络隔离与安全措施。
摘要由CSDN通过智能技术生成

拓扑

在这里插入图片描述

需求

  1. 生产区在工作时间内可以访问服务器区,仅可以访问HTTP服务器。
  2. 办公区全天可以访问服务区,其中,10.0.2.20可以访问FTP服务器和HTTP服务器
    10.0.2.10仅可以ping通10.0.3.10
  3. 办公区在访问服务区时采用匿名认证方式进行上网行为管理。
  4. 办公区设备可以访问公网,其他区域不行。
  5. 分公司部分暂不涉及。

配置

IP配置

DMZ

  • HTTP服务器
    在这里插入图片描述

  • FTP服务器
    在这里插入图片描述

办公区

  • BG_PC
    在这里插入图片描述
  • BG_Client
    在这里插入图片描述

生产区

  • SC_PC
    在这里插入图片描述
  • SC_Client
    在这里插入图片描述

总公司交换配置

#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 10 20
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 20
#

防火墙子接口配置

在这里插入图片描述

DMZ网关配置

在这里插入图片描述

安全策略

需求一

生产区在工作时间内可以访问服务器区,仅可以访问HTTP服务器。

  • 配置
    在这里插入图片描述

测试

  • 把时间段改成any后测试
    在这里插入图片描述
    在这里插入图片描述

需求二

办公区全天可以访问服务区,其中,10.0.2.20可以访问FTP服务器和HTTP服务器
10.0.2.10仅可以ping通10.0.3.10

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

需求三

办公区在访问服务区时采用匿名认证方式进行上网行为管理

认证策略

在这里插入图片描述

在线用户

  • 匿名认证成功
    在这里插入图片描述

需求四

办公区设备可以访问公网,其他区域不行。

ISP配置

#
interface GigabitEthernet0/0/0
 ip address 12.0.0.1 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 21.0.0.1 255.255.255.0 
#
interface LoopBack0
 ip address 1.1.1.1 255.255.255.0 
#

防火墙出接口配置

在这里插入图片描述
在这里插入图片描述

NAT策略

在这里插入图片描述

安全策略

在这里插入图片描述

测试

在这里插入图片描述

CyberSecure
关注
专栏目录
防火墙NAT配置实战
悦分享
10-05 273
5] : 如果符合NAT策略中地址.目的地址信息校验,检验后目的匹配,那么创建session table 会将转换前和转换后的地址都加入到session table。当内网PC访问Internet时,如果FW采用五元组NAT(NAPT)方式进行地址转换,外部设备无法通过转换后的地址和端口主动访问内部PC。对于NAPT来说防火墙不创建server-map表,因为NAPT需要转换的端口,每一次端口ID不同,所以无法创建server-map。-PAT使用server-map表,不转换端口速度较快。
360网神防火系统 配置端口映射_Linux系统——iptables网络安全服务:实现共享上网方法...
weixin_39719749的博客
11-24 2757
实现共享上网方法两台虚拟机服务器模拟测试:其中一台作为共享上网的服务器,需要可以连接网络,可以正常上网。另一台关闭外网网卡,只留下内网网卡,并且让内网网卡的网关设置为共享上网服务器的内网网卡地址。防火墙NAT表示配置说明iptables NAT:(配置NAT表示就是配置以下两个链)01. postrouting02. preroutingiptables实现共享上网方法第一步:配置内网服务器,设置...
NAT网络地址转换和配置
chenzhivhao的博客
06-08 5590
NAT网络地址转换,是用于在本地网络中使用私有地址,在连接互联网时转而使用全局 IP 地址的技术。将内网的IP地址转换为可以通外网的IP地址。缓解可用IP不够用的状况,增强内网的网络安全。作用在路由器或防火墙上。(从内到外,改IP地址,从外到内,改目标IP地址)
防火墙配置gre隧道
qq_44757725的博客
12-25 753
防火墙配置gre隧道 gre隧道简介 通用路由封装(GRE: Generic Routing Encapsulation)是通用路由封装协议,可以对某些网络层协议的数据报进行封装,使这些被封装的数据报能够在IPV4网络中传输。简单来说就是,将原数据包进行封装,添加上GRE包头及公网包头,使原报文的 IP地址及目的IP地址变为公网IP地址,使其能够被运营商的公网路由识别并进行传输。属于VPN 技术...
防火墙 NAT 实验
征途是星辰大海
08-16 1569
防火墙 NAT 实验
防火墙双向NAT配置
Code-5的博客
02-01 1707
双向NAT(Bidirectional NAT)是指在NAT转换过程中同时转换报文的信息和目的信息。
H3C防火墙NAT配置
weixin_54171196的博客
04-10 3844
H3C防火墙NAT配置
华为防火墙NAT配置
2301_76769137的博客
04-15 1112
所示,某企业在网络边界处部署了DeviceA作为安全网关,并从运营商处购买了宽带上网服务,实现内部网络接入Internet的需求。想要更多网工专业学习资料,可直接找我领取。通过静态IPv4地址接入Internet组网图。(没有领取门槛,主要是一个个发邮件太麻烦了)如果需要系统深入的学习网工知识。视频课程(部分示意)实验拓扑(部分示意)
华为ensp实现防火墙NAT策略
m0_63884865的博客
07-16 371
在上一篇的前提下,增加的要求7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器9,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;11,游客区仅能通过移动链路访问互联网。
山石防火墙目的NAT配置举例.docx
08-31
山石防火墙目的NAT配置举例
防火墙NAT设置(神州数码)
04-20
很简单明了的NAT技术设置过程,估计大家都能看懂吧
Linux 再入门整理:详解 /etc/fstab 文件
一只奋斗的猪
10-01 1193
`/etc/fstab` 文件是 Linux 系统中用于定义和管理文件系统的挂载信息的配置文件。它的作用是告诉系统在启动时,应该如何自动挂载各种文件系统。挂载是 Linux 操作系统中一种将存储设备与目录树关联的操作。通过挂载,存储设备中的文件可以通过目录访问。
毕业设计——springboot+netty+websocket实现一个简单的ChatGpt机器人聊天
【CSDN】
09-29 859
WebSocket是html5开始浏览器和服务端进行全双工通信的网络技术。在该协议下,与服务端只需要一次握手,之后建立一条快速通道,开始互相传输数据,实际是基于TCP双向全双工,比http半双工提高了很大的性能,常用于网络在线聊天室等。申请key的教程在项目resources目录readme.md文件中。1、接入了chatGpt接口,只需要替换成自己的key就行。2、实现了与机器人的聊天,可以优化做成智能客服。
项目管理-信息技术发展
最新发布
GAVIN
10-04 384
对称加密:DES 3DES AES RC5 IEDA SM1 SM4。2)分类:PAN LAN MAN WAN 公用网 专用网。4)数据结构模型 层次模型 网状模型 关系模型。1)存储 分类:DAS FAS NAS SAN。物联网(IoT) 感知层 网络层 应用层。8) 5G 高速率 低时延 大连接。设备安全 数据安全 内容安全 行为安全。4.信息安全 保密性 完整性 可用性。3)网络协议 语法 语义 时许。5)IEEE 802 规范。6)TCP/IP 协议。4)网络标准协议 7层。
从零开始实现RPC框架---------项目介绍及环境准备
qq_41934502的博客
10-02 396
从零开始实现rpc架构项目介绍
HTTP协议讲解,请求报文与响应报文都是什么?网络控制台查看HTTP请求
m0_70325779的博客
09-30 963
服务器拒绝用户请求,有可能因为用户的权限不足,没有相应的访问权限,紧接着刚才的401,401是用户没有验证身份,如果用户验证了身份,但是没有访问权限,就会爆出403。而我们本地启动自己的项目代码的时候,是可以看到HTML文件和JS文件的,还可以在JS文件中打断点进行调试,如下图,我启动了本地的前端项目,可以看到这里就有JS文件和HTML文件,我们将鼠标点击在行头,就可以标记断点进行调试,如下图蓝色的三行几位断点,当JS代码运行到此处时,就会卡住,和我们使用IDEA进行DEBUG一样的道理。
MQTT--EMQX入门+MQTTX使用
CJPSR的博客
09-30 1219
EMQ X基于 Erlang/OTP 平台开发的MQTT 消息服务器,是开社区中最流行的 MQTT 消息服务器。EMQ X 是开百万级分布式。
Linux下send函数和recv函数
威桑的博客
10-01 423
Linux下send和recv
华为usg防火墙pool nat配置实验
06-09
好的,我可以为你提供一些关于华为USG防火墙PoolNAT配置的实验步骤。下面是具体步骤: 1. 首先,登录到华为USG防火墙的Web管理界面,并选择“配置向导”选项卡。 2. 在“配置向导”页面中,选择“网络配置”选项...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

CyberSecure

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值