一、实验拓扑图和需求如下图所示
二、实验分析
(1)需求分析
1,在华为模拟器防火墙配置实验(一)上我们已经完成了需求1和需求2的实验配置可以点击链接查看相关配置http://t.csdnimg.cn/bBI5D
2,现在我们只需要对需求3,4,5,6进行实验配置即可剩下需要配置的需求如下:
(3)生产区在工作时间内可以访问服务器区,仅可以访问HTTP服务器
(4)办公区全天可以访问服务器区,其中10.0.2.10可以访问FTP服务器和HTTP服务器,
10.0.2.20仅可以ping通10.0.3.10
(5)办公区在访问服务器区时采用匿名认证的方式进行网上行为管理
(6)办公区可以访问公网其他区域不可以
三、实验配置
(1)针对需求3进行的相关配置
一、 要满足需求3的要求我们只需配置一条生产区前往服务器的安全策略即可,图中我们可以发现有两个服务器,需求中并未提到是那个服务器我们就默认是所有服务器都配置,恰好服务器都在DMZ区域,我们只需写一条生产区通往DMZ区域的安全策略就可以满足需求3
实验相关配置截图如下:
1、通过浏览器登录防火墙过后进行安全策略配置
2、策略配置完成过后我们进行测试配置安全策略是否生效
(1)首先我们需要给服务器启用http 服务功能
这样Server1服务器的http服务就开启了,同样的方式我们给Server2也开启http服务,这里我就不演示Server2开启http服务截图了,按照Server1的开启方式开启就行
(2)安全策略验证测试
点击客户端选择客户端信息
(2)针对需求4进行的相关配置
需求4 :办公区全天可以访问服务器区,其中10.0.2.10可以访问FTP服务器和HTTP服务器, 10.0.2.20仅可以ping通10.0.3.10。很明显要达到需求4的要求我们需要创建两条安全策略,一条是10.0.2.10可以访问FTP服务器和HTTP服务器,另外一条就是 10.0.2.20仅可以ping通10.0.3.10。
1、在新建安全策略之前我们需要增加针对需求4所要用到的IP地址
2、开始创建安全策略
3、实验测试
(1)先给两台服务器开通ftp服务,因为http服务之前已经开启过所以不需要再次开启
(2)开始测试
另外一台服务器测试我就不测试了,执行方式都是相同的。
(3)针对需求5进行的相关配置
需求5:办公区在访问服务器区时采用匿名认证的方式进行网上行为管理
(4)针对需求6进行的相关配置
在对需求6配置之前我们需要将与公网相连的的防火墙对应接口IP进行配置,以及公网路由器上面对应IP进行配置
1.接口IP划分
防火墙 g1/0/2接口IP:12.0.0.1 /24
防火墙 g1/0/2接口IP:21.0.0.1 /24
ISP路由器G0/0/0接口:12.0.0.2 /24
ISP路由器G0/0/1接口:21.0.0.2 /24
ISP路由器环回接口:1.1.1.1 /24
2.防火墙接口配置
3.ISP路由器配置
<Huawei>sys //进入系统视图 Enter system view, return user view with Ctrl+Z. [Huawei]int g0/0/0 //进入g0/0/0接口 [Huawei-GigabitEthernet0/0/0]ip address 12.0.0.2 24 //接口配置IP地址 [Huawei-GigabitEthernet0/0/0]int g0/0/1 //进入g0/0/1接口 [Huawei-GigabitEthernet0/0/1]ip address 21.0.0.2 24 //接口配置IP地址 [Huawei-GigabitEthernet0/0/1]qu //退出 [Huawei]int LoopBack 0 //创建换回接口 [Huawei-LoopBack0]ip address 1.1.1.1 24 //配置环回IP地址为1.1.1.1 子网掩码为24位
4.NAT策略配置
5.开始测试