防御实验补充1

增补实验，完成条件7、8、9，我们先配置FW2。

总公司防火墙配置

第一步:删除之前写得办公区和游客区的上网策略，重写安全策略 （也可以直接修改）

因为这次需要分为电信网络和移动网络来写，所以我们直接写两个，方便管理。因为最后一条也需要修改安全策略，所以一起完成。因为游客区只能通过移动网络访问，所以在源地址处只勾选办公区就行，目标地址只选电信。

 接下来是移动的上网策略，因为游客区与办公区都允许通过，所以在源地址出将两个都选上就行，目标地址只选移动。

然后写实现第九条中的限制10.0.2.10只能从电信上网，而后的链路保护等会再弄。因为办公区有一个允许移动上网的策略，所以我们直接写不允许10.0.2.10通过移动的安全策略并移动到移动上网策略前

第二步，配置NAT策略

为了实现顺利上网还需要写相关的地址转换，地址转换还是分成电信与移动来写，两者的差别旨在于源地址于源安全区勾选的不同，为了实现条件一中的保留一个IP地址所以我们在创建地址池的时候，需要在高级选项中的保留地址池中输入想要保留的地址（配置黑洞路由也需要勾选，可以防止出现路由黑洞还可以减少不必要的开销）。

到此，看似配置大多完成了，但是好有一个问题，由于没有做路由策略，现在两个接口还是负载均衡，就会导致游客区ping外网部分IP是匹配不上安全策略了，他匹配的路由是去往电信的路由策略，自己去往电信的那条链路了。所以我们还需要在网络的路由模块中编写一条路由策略。入接口选择游客区的接口。

这样内外网的访问就成功了。还满足了条件7和10。（如果你还是不通，可以用办公区或者游客区域设备ping外网设备，ping后查看安全策略和NAT策略触发没有，如果安全策略和NAT策略都触发了就去查看每个结点上的IP配置好了没有，没触发则说明策略写得可能有问题，倘如再三确定没错而且两个策略都没触发，就可以从内向外一点一点ping如果连接防火墙的IP能ping通而后面的不通，说明路由有问题，直接在网络模块中查看路由表有没有缺省路由，如果过没有则需要在接口中将网关和缺省路由勾选上，如果还是不行可以将用户认证关闭试试。）

第三步，编写端口映射

为了实现分公司可以通过两条链路访问总公司的HTTP服务器，为了方便所以我们写两个映射就行

可以直接点击新建安全策略就行。

如果和我一样写得是另外一个IP地址，与端口不在一段IP地址中，就需要在路由器上再写一条静态路由，这样就实现了外网以及分公司访问DMZ区的HTTP服务器。（点击第一次可能会失败，再试一次获取就行了）

第四步链路保护

然后就是总公司防火墙的最后一步，链路保护，在网络的接口模块中，点击电信的接口进行编辑然后勾选多出口选项，带宽是必须填的一项，填了之后才能天过载保护。

 至此总公司配置完成，然后配置分公司防火墙。

分公司防火墙配置

相比起总公司，分公司在配置好IP后就只需要配置两个NAT策略和两条安全策略

第一步，配置安全策略

一条允许外网访问HTTP2服务器的安全策略，目标地址只需要编写服务器地址就行。一条允许内网访问外网的策略。

至此安全策略配置完成。

第二步，NAT策略配置

需要配置两条策略，一条内网访问外网的策略，一条双向访问策略（由于DNS服务器在外网，双向NAT是为了实现内网设备使域名访问设备。目的地址最好写与外网接口同一网段的，可以少写一条路由）

实验完成阶段性完成。