下一代防火墙--混合模式配置实验

于 2024-08-12 11:46:14 发布
阅读量70 收藏 2
点赞数 3
分类专栏: 网络安全 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_65150735/article/details/141126414
版权

实验背景

客户购买1台NGAF,连接内网和DMZ区域,DMZ区域的服务器配置公网IP,要求以混合模式部署,服务器通过网桥模式正常转发业务数据,内网通过防火墙路由模式上公网。

实验拓扑

实验步骤

VPC

指定vpc主机ip为192.168.10.1,网关为 192.168.10.254

VPCS>ip 192.168.10.1255.255.255.0 192.168.10.254
VPCS>ip dns 114.114.114.114   指定 dns 服务器

L2-Switch

接入层交换机

Switch(config)#vlan 10
Switch(config-vlan)#exit

Switch(config)#interface e0/0
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#exit

Switch(config)#interface e0/1
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk

L3-Switch

核心/汇聚层交换机

Switch(config)#vlan 10
Switch(config-vlan)#exit

Switch(config)#interface g0/0
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
Switch(config-if)#exit

Switch(config)#ip routing    启动路由功能

Switch(config)#interface vlan10
Switch(config-if)#ip address 192.168.10.254 255.255.255.0
Switch(config-if)#no shutdown

Switch(config)#interface gO/1
Switch(config-if)#no switchport 改为三层接口
Switch(config-if)#no shutdown
Switch(config-if)#ip address 10.1.1.1 255.255.255.252

Switch(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2    配置上网的缺省路由,下一跳为防火墙接口 e0/1 IP

防火墙

接下来,在物理主机上,通过浏览器访问管理IP,使用图形化管理下一代防火墙

创建安全区域,下一代防火墙默认已创建多个安全区域,如需自定义区域,可以如图新建安全区域

配置e0/2接口:绑定安全区域为L2二层安全区域(网桥式)等

配置e0/1接口:绑定安全区域为trust三层安全区域(路由模式)、IP地址等

配置 e0/0接口:修改绑定安全区域为L2-untrust 二层安全区域(网桥模式)等:

注意:L2-untrunst 接口 e0/0 与 L2-dmz 接口 e0/2 成为网桥模式的进\出接口

注意:此时 e0/0 变为二层接口,之前的管理IP会被清除,需回到命令行配置 vswitchif1 接口,作为网桥的管理接口及新管理IP,与公网区域及服务器区属于同一子网(vswitchif1 同时也作为路由模式的 untrust 区域接口,与 E0/1 接口成为路由模式的进\出接口)

SG-6000# configure

SG-6000(config)# interface vswitchif1
SG-6000(config-if-vsw1)# zone untrust
SG-6000(config-if-vsw1)# ip address dhcp setroute
SG-6000(config-if-vsw1)# manage https

SG-6000(config-if-vsw1)# show interface

接下来,在物理主机上,通过浏览器访问新管理IP,使用图形化管理下一代防火墙

为路由模式,配置路由,包括回程路由和缺省路由(通过vswitchif1 接口 dhcp已经获得)

为路由模式,配置源 NAT策略(即动态 NAT),实现内网  VPC 上公网需求

为路由模式,配置安全策略即包过滤策略(默认拒绝区域间访问),配置策略

让内网网段可以访问公网,即e0/1区域访问 vswitchif1 区域,而 vswitchif1 区域与公网服务器区同为一个三层 untrust 区。

接下来测试内网 VPC 主机可以上公网

至此,在混合模式部署的防火墙中,实现内网通过路由模式上公网,接下来实现公网用户通过网桥模式与服务器区进行正常业务转发,此时公网与服务器仅通过一个网桥模式进行互联,故防火墙无需路由配置和 NAT 配置,仅需配置安全策略,允许 L2-untrust 区域访间 L2-dmz 区域

服务器

用路由器模拟一台开启 TCP 80 端口的 web 服务器:

Router(config)#interface g0/0
Router(config-if)#ip add 192.168.32.158 255.255.255.0配置为vswitchif1同网段IP
Router(config-if)#no shutdown
Router(config-if)#exit

Router(config)#no ip routing 关闭路由功能,模拟一台服务器主机

Router(config)#ip default-gateway 192.168.32.2  给主机配置默认网关,与防火墙中缺省路由的下一跳一样
Router(config)#ip name-server 114.114.114.114  给主机配置 dns服务
Router(config)#ip httpserver 开启80端口

为网桥模式,配置安全策略,让公网用户可以访问服务器区 web 服务

实验结果

在物理主机上,测试是否可以访问服务器web,如图

测试1

测试2

无泡汽水
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
华为网络----防火墙理论+NAT策略理论与实验
weixin_45726050的博客
02-25 2173
文章目录前言:一、防火墙简介1.1 华为防火墙工作模式1.2 华为防火墙安全区域1.3 华为防火墙的inbound和outbound1.4 华为防火墙安全策略二、NAT概述2.1 NAT分类三、黑洞路由3.1 黑洞路由的产生3.2 黑洞路由应用场景3.3 黑洞路由配置命令四、Server-map表4.1 Server-map表简介4.2 Server-map和会话表的区别4.3 server-ma...
华为防火墙理论与管理
weixin_45724795的博客
02-11 805
前言:随着网络的发展,层出不穷的新应用虽然给人们的网络生活带来了更多的便利,但是同时也带来更多的安全风险,为了解决新网络带来的新威胁,华为防火墙(称叫 Next Generation Firewall 下一代防火墙)应运而生 文章目录一、华为防火墙理论1.特征2.防火墙外观结构1)百兆防火墙USG65072)千兆防火墙USG65503.防火墙的工作模式4.华为防火墙的安全区域划分5.防火墙的inb...
防火墙teardown/网安干货 | 深信服下一代防火墙 AF-1720_详细白客记录贴
程序员六七的博客
07-17 834
一、防火墙概述1、概述下一代防火墙(Next Generation Firewall,简称NG Firewall):是一种可以全面应对应用层威胁的高性能防火墙
计算机网络(二)ensp相关配置命令与实验
qq_33822166的博客
04-18 6325
深度是和普通的报文分析层次相比较而言,“普通报文检测”仅分析IP包的4层以下的内容,包括源地址,目的地址,源端口,目的端口以及协议类型,而深度包检测除了前面的层次分析外,还增加了应用层分析,从原来的二到四层(数据链路层-传输层)覆盖到了第七层,强化了传统的数据包检测技术SPI的深度和精确度,能够识别各种应用及其内容,是对传统数据流检测技术的延伸和加强。不同的网络受信任的程度不同,在华为防火墙上,每个安全区域都有一个唯一的安全级别,用1~100的数字表示,数字越大,则代表该区域内的网络越可信。
Linux-4.4-x86_64 内核配置选项简介
轮子工厂
10-15 4975
Linux-4.4-x86_64 内核配置选项简介 作者:金步国 64-bit kernel CONFIG_64BIT 编译64位内核.本文仅讲述x86_64(AMD64)平台的内核编译,所以这个是必选项. General setup 常规设置 Cross-compiler tool prefix CONFIG_CROSS_COMPILE 交叉编译工具前缀(比如"arm-linux...
【北京迅为】《iTOP-3588开发板网络环境配置手册》第1章 网络基础知识学习
BeiJingXunWei的博客
02-28 1108
在NAT网络中,会使用到VMnet8虚拟交换机,主机上的VMware Network Adapter VMnet8虚拟网卡被连接到VMnet8交换机上,来与虚拟机进行通信,但是VMware Network Adapter VMnet8虚拟网卡仅仅是用于和VMnet8网段通信用的,它并不为VMnet8网段提供路由功能,处于虚拟NAT网络下的虚拟机是使用虚拟的NAT服务器连接的Internet的。下面是虚拟机ubuntu的防火墙设置,虚拟机ubuntu的防火墙默认是关闭的,一般情况下是不需要进行设置的。
【北京迅为】《iTOP-3588开发板网络环境配置手册》第2章 电脑、开发板直连交换机或路由器
BeiJingXunWei的博客
02-28 1412
RK3588是一款低功耗、高性能的处理器,适用于基于arm的PC和Edge计算设备、个人移动互联网设备等数字多媒体应用,RK3588支持8K视频编解码,内置GPU可以完全兼容OpenGLES 1.1、2.0和3.2。RK3588引入了新一代完全基于硬件的最大4800万像素ISP,内置NPU,支持INT4/INT8/INT16/FP16混合运算能力,支持安卓12和、Debian11、Build root、Ubuntu20和22版本登系统。了解更多信息可点击【粉丝群】824412014。
什么是Web应用程序防火墙
weixin_43394724的博客
05-28 4876
Web应用程序防火墙/WAF简介 Web应用程序防火墙(WAF)为来自恶意安全攻击(例如SQL注入,跨站点脚本(XSS))的在线服务提供Web安全。 WAF安全性可以检测并过滤掉可能会使在线应用程序降级,损害或使在线应用程序遭受拒绝服务(DoS)攻击的威胁。 WAF安全性会在HTTP流量到达应用程序服务器之前对其进行检查。它们还可以防止未经授权从服务器传输数据。 近年来,Web应用程序安全性变得越来越重要,尤其是在Verizon Data Breach调查报告中将Web应用程序攻击列为最常见的破坏原因之后
防火墙
墨鱼菜鸡
07-11 1616
From :http://www.cnblogs.com/shijiaqi1066/p/3812510.htmlLinux数据包路由原理、Iptables/netfilter入门学习:https://blog.csdn.net/lihao1102150823/article/details/73331291 From:http://www.cnblo...
下一代防火墙-Web安全解决方案
05-05
下一代防火墙_Web安全解决方案
天融信NGFW下一代防火墙-管理手册.pdf
07-23
天融防火墙安装调试手册,详细描述了设备的开局配置和详细步骤。
Hillstone下一代防火墙基础配置手册StoneOS-5.5R2.pdf
02-01
Hillstone下一代防火墙基础配置手册StoneOS-5.5R2.pdf
Hillstone下一代防火墙基础配置手册StoneOS-5.5R2.docx
01-31
Hillstone下一代防火墙基础配置手册StoneOS-5.5R2.docx
深信服-下一代防火墙-终端上网安全防护解决方案
05-04
深信服_下一代防火墙_终端上网安全防护解决方案
深度解密CRLF注入与重定向漏洞:从原理到实践
2301_80064376的博客
08-08 880
重定向漏洞(Open Redirect)是一种安全漏洞,攻击者可以利用它将用户从受信任的网站重定向到恶意网站。这种漏洞通常出现在网站处理 URL 参数时,没有对用户输入进行适当验证。
开发android app用于移远模块读写IMEI 模组EC200DEULA-D08-SNNDA 支持socket连接读写IMEI
chenhao0568的专栏
08-07 352
发送{“function”: “write_imei”,“imei”: “860004050179648”}响应{“message”: “success”,“imei”: “860004050179648”}当结果正常时message为success,否则message给出英文具体原因,其它参数可能为空。发送{“function”: “read_imei”}响应{“message”: “success”}前面本地5902 转发到 后面设备为5902。PC与终端APP之间 json通信协议。
OSPF小实验
sgdhshshhs的博客
08-07 394
【代码】OSPF小实验
mpls vpn基础实验
最新发布
wudongfang666的专栏
08-10 375
场景:异地两个站点通过mpls vpn骨干网络实现安全通讯虚拟路由转发 VRF ,相当于在设备内建立一条虚拟通道,一个vpn的实例(vrf)可以简单的理解为一台虚拟设备。拓扑图。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值