华为模拟器防火墙配置实验(二)

于 2024-07-13 18:08:32 发布
阅读量539 收藏 8
点赞数 5
文章标签: 智能路由器 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74848570/article/details/140399326
版权

一.实验拓扑

二.实验要求

1,DMZ区内的服务器,办公区仅能在办公时间内(9:00 - 18:00)可以访问,生产区的设备全天可以访问.
2,生产区不允许访问互联网,办公区和游客区允许访问互联网
3,办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4,办公区分为市场部和研发部,市场部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123
5,生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次
登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
6,创建一个自定义管理员,要求不能拥有系统管理的功能

7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
9,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
11,游客区仅能通过移动链路访问互联网

三.实验材料

        AR2440路由器,SW5700交换机,PC,Server服务器,client客户端,USG6000V防火墙若干

四.实验思路

        本次实验需求是在上次实验的基础下延续,因此第一步检查上次配置并修改正确

1.需求7

办公区设备可以通过总公司上网,多对多的NAT,使用源NAT的动态NAT策略

新建地址池

新建NAT策略

 

新建安全策略

 

路由器接口配置IP地址

[AR]dis ip int brief 
*down: administratively down
^down: standby
(l): loopback
(s): spoofing
The number of interface that is UP in Physical is 5
The number of interface that is DOWN in Physical is 1
The number of interface that is UP in Protocol is 4
The number of interface that is DOWN in Protocol is 2

Interface                         IP Address/Mask      Physical   Protocol  
GigabitEthernet0/0/0              12.0.0.2/24          up         up        
GigabitEthernet0/0/1              unassigned           up         down      
GigabitEthernet0/0/2              21.0.0.2/24          up         up        
GigabitEthernet3/0/0              100.0.0.2/24         up         up        
GigabitEthernet4/0/0              unassigned           down       down      
NULL0                             unassigned           up         up(s)

 防火墙接口配置出口ip

 配置静态路由能收到回包

[AR]ip route-static 12.0.0.0 24 12.0.0.1
[AR]ip route-static 21.0.0.0 24 21.0.0.1

公网设备ip地址配置

 

 

 

2.需求8

分公司下的设备可以访问DMZ区域的HTTP服务器

首先登入分公司防火墙,创立区域分公司

 新建地址池

 新建NAT策略

 去往公网接口划到untrust区域

 新建安全策略,要求只能访问HTTP服务器

网关上配置静态回包路由与网关接口ip

[AR]dis ip int brief 
*down: administratively down
^down: standby
(l): loopback
(s): spoofing
The number of interface that is UP in Physical is 6
The number of interface that is DOWN in Physical is 1
The number of interface that is UP in Protocol is 6
The number of interface that is DOWN in Protocol is 1

Interface                         IP Address/Mask      Physical   Protocol  
GigabitEthernet0/0/0              12.0.0.2/24          up         up        
GigabitEthernet0/0/1              23.0.0.1/24          up         up        
GigabitEthernet0/0/2              21.0.0.2/24          up         up        
GigabitEthernet3/0/0              100.0.0.1/24         up         up        
GigabitEthernet4/0/0              unassigned           down       down      
LoopBack0                         1.1.1.1/24           up         up(s)     
NULL0                             unassigned           up         up(s)     
[AR]ip route-static 23.0.0.0 24 23.0.0.2

 配置分公司内网设备

 

3.需求9

 10.0.2.10只能走电信,单独建立一条策略,改为禁止就行

这里应该选移动网段,选了网关地址

开启过载保护

 

4.需求10

要求内部和外部都可以通过域名访问分公司内部的服务器,内部访问要做双向NAT,外部公网访问做一个服务器映射也就是基于目标的NAT

新建服务器映射

新建安全策略

 

新建双向NAT策略

 

 

新建安全策略

5.需求11

要求游客区只能通过移动链路访问互联网,配置安全策略禁止游客区流量走移动即可

注:配置的策略交叉时,小范围在大范围上,否则小范围可能失效 

 

 

学习HCIA的小白
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ENSP安装华为防火墙模拟器(附USG模拟设备安装包)
悦分享
03-19 1294
防火墙是位于两个网络中间的系统,它在这些网络之间实施访问控制策略。例如,您的系统正在连接的专用 LAN 和不安全的公共网络。它管理进出系统的进出网络的数据流量。用外行的话来说,防火墙可以被视为您网络的安全卫士,或者可以被视为可以强制执行安全和审计的单个节点。除了过滤数据外,它还确定违规尝试,监控传入和传出流量的来源以及流量。阻止能够包含黑客攻击的传入数据。它通过假装所有传出流量都来自防火墙而不是网络来掩盖所有与网络相关的信息。这被称为网络地址转换。
华为防火墙进入Web网操作—eNSP模拟器
m0_54475066的博客
05-11 2064
操作目的:能够搭建好网络进入Web网操作 1、添加6000v防火墙
虚拟机中安装华为eNSP模拟器运行USG6000防火墙
最新发布
imtech的博客
05-23 1074
至此配置完成,好像使用host-only网卡的方式可以互相ping通,我这种方式ping不通,但实际上已经可以使用。估计也有响应解决办法。
华为模拟器防火墙配置实验(二)--安全策略配置部分以及NAT服务
m0_64402992的博客
01-26 1495
1,在上我们已经完成了可以点击链接查看相关配置2,现在我们只需要对进行实验配置即可剩下需要配置的需求如下:(3)生产区在工作时间内可以访问服务器区,仅可以访问HTTP服务器(4)办公区全天可以访问服务器区,其中10.0.2.10可以访问FTP服务器和HTTP服务器,10.0.2.20仅可以ping通10.0.3.10(5)办公区在访问服务器区时采用匿名认证的方式进行网上行为管理(6)办公区可以访问公网其他区域不可以。
华为模拟器eNSP 防火墙 USG6000V10
08-18
USG6000系列防火墙的固件, 解压文件,在模拟器上启动USG6000时会提示加载固件,选择解压后的vdi文件,导入后再次点击启动。 注意:命令窗口#号增加属于正常现象,起码跑三四行#号后正常启动。 帐号:admin 密码:Admin@123 首次登陆需要更改密码
华为ENSP模拟器USG6000防火墙
08-28
解压后获得vfw_usg.vdi文件,直接导入ensp模拟器即可,新建USG6000V防火墙时会弹出导入界面
华为USG5500防火墙配置实验一.pdf
11-18
华为USG5500防火墙配置实验一.pdf
华为模拟器eNSP超级手册
12-03
在“华为模拟器eNSP超级手册”中,您将深入学习到以下几个核心知识点: 1. **eNSP介绍**:了解eNSP的基本概念,包括其功能、特点和适用场景,如网络设备的仿真、网络拓扑的构建、故障模拟以及性能测试等。 2. **...
华为eNSP静态路由项配置实验报告(网络技术基础与计算思维实验教程)
11-17
**华为eNSP静态路由项配置实验报告** 本实验报告主要针对华为eNSP平台,旨在帮助软件工程专业学生理解并掌握网络技术基础,特别是静态路由配置和IP分组的逐跳转发过程。实验旨在通过实际操作提升对路由器静态路由...
最新版华为模拟器eNSP下载与安装指南
03-20
这款模拟器可以帮助用户在不实际部署硬件的情况下,进行网络设计、配置、优化以及故障排查等工作,对于学习华为网络技术、进行认证考试准备以及企业内部的培训具有极大的价值。 **下载与安装** 1. **获取eNSP**:...
华为模拟器eNSP安装
06-14
华为eNSP(Enterprise Network Simulation Platform)是一款强大的网络仿真软件,专为华为网络设备的测试、学习和实验设计。它提供了真实环境下的网络模拟功能,让使用者能够在虚拟环境中配置、管理和优化华为的网络...
华为ensp模拟器防火墙镜像下载
11-12
华为原厂模拟器eNSP eNSP_V100R002C00B390_Setup.7z 命令参考手册 USG6000镜像 web网关教程操作步骤
华为USG防火墙配置实例
03-24
USG5500系列产品是华为技术有限公司面向大中型企业和下一代数据中心推出的新一代电信级统一安全网关设备。可广泛应用于运营商、企业、政府、金融、能源、学校等领域的网络边界。USG5500系列产品部署于网络出口处,有效阻止Internet上的黑客入侵、DDoS攻击,阻止内网用户访问非法网站,限制带宽,为内部网络提供一个安全可靠的网络环境。
很好用的防火墙模拟器
08-04
很好用的东西,模拟防火墙的相关端口,能使用常规的命令
【网络实验】通过eNSP模拟器实验总结的华为防火墙相关配置的问题记录
Vector_seven的博客
08-29 656
路由重分发的配置、接防火墙口服务开启、防火墙0/0/0口管理口
【华为和华三模拟器使用web管理防火墙配置脚本】
lvshiliang123的博客
05-25 277
默认密码帐户:amdin/Admin@123。
华为ensp模拟器防火墙桥接保姆级教程
白话聊网络的博客
02-19 4000
华为ensp模拟器防火墙桥接
防火墙虚拟系统
jc1112323的博客
10-09 2075
虚拟防火墙就是可以将一台防火墙在逻辑上划分成多台虚拟的防火墙,每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备。
华为防火墙NAT配置实验与技巧
第二步,配置防火墙NAT。需要配置NAT地址池,将内部私有地址转换为公网地址。同时配置NAT Server,将DMZ区域中的服务器的服务发布给外部用户。具体配置方法如下: ``` nat address-group 1 1.1.1.100 1.1.1.100 nat ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值