防御保护课-nat策略实验

最新推荐文章于 2024-08-31 21:24:29 发布
最新推荐文章于 2024-08-31 21:24:29 发布
阅读量403 收藏 9
点赞数 5
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_75040884/article/details/140655194
版权

一、实验拓扑

二、实验要求

1.生产区在工作时间(9:00-18:00)内可以访问DMZ区,仅可以访问http服务器;
2.办公区全天可以访问DMZ区,其中10.0.2.10可以访问FTP服务器和HTTP服务器,10.0.2.20仅可以ping通10.0.3.10;
3.办公区在访问服务器区时采用匿名认证的方式进行上网行为管理;
4.到公网的nat配置。

四、实验过程

1.配置终端IP地址、划分vlan

LSW3

[SW3]vlan batch 2 to 3
[SW3]int g0/0/2
[SW3-GigabitEthernet0/0/2]port link-type access
[SW3-GigabitEthernet0/0/2]port default vlan 2
[SW3-GigabitEthernet0/0/2]int g0/0/3
[SW3-GigabitEthernet0/0/3]port link-type access
[SW3-GigabitEthernet0/0/3]port default vlan 3
[SW3]interface GigabitEthernet0/0/1
[SW3-GigabitEthernet0/0/1]port link-type trunk
[SW3-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 to 3
[SW3GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1

server1、server2、pc1client1、client2、pc2配置IP地址

AR1

[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip ad 12.0.0.2 24 
[Huawei-GigabitEthernet0/0/1]int g0/0/2
[Huawei-GigabitEthernet0/0/2]ip ad 21.0.0.2 24	
[Huawei]int LoopBack 0
[Huawei-LoopBack0]ip ad 1.1.1.1 24
2.防火墙和cloud配置

FW1

[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip ad 172.16.10.10 24	
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit

在浏览器中输入 https://172.16.10.10:8443

即可进入防火墙

3.新建安全区域(办公区和生产区)

生产区同理

新建子接口对应安全区域

将1/0/0接口划分到DMZ区

4.防火墙安全策略

创建地址方便管理

以此类推创建 生产区、办公区、DMZ区域的ftp和http、办公区的pc和client

5.完成需求1

创建策略

测试生产区可以访问服务器区中的http服务器,不能访问ftp服务器,只放通http服务,并没有放通icmp服务,所以pc端ping不通

6.完成需求2
(1)10.0.2.20可以访问FTP服务器和HTTP服务器

(2)10.0.2.10仅可以ping通10.0.3.10

7.完成需求3
 8.完成需求4

测试:

办公区访问公网

生产区访问公网

JioJio~z
关注
  • 5
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
CCIE Security实验指南
03-28
这个指南涵盖了实验部分的所有关键知识点,包括但不限于网络基础、访问控制、身份验证、加密技术、网络监控、事故响应以及安全策略实施。 一、网络基础 网络基础是理解所有安全措施的基础,包括TCP/IP协议栈、路由...
NAT网络地址转换和配置
chenzhivhao的博客
06-08 5512
NAT网络地址转换,是用于在本地网络中使用私有地址,在连接互联网时转而使用全局 IP 地址的技术。将内网的IP地址转换为可以通外网的IP地址。缓解可用IP不够用的状况,增强内网的网络安全。作用在路由器或防火墙上。(从内到外,改源IP地址,从外到内,改目标IP地址)
防火墙源NAT配置
Code-5的博客
01-26 1290
办公区全天可以访问服务区,其中,10.0.2.20可以访问FTP服务器和HTTP服务器。生产区在工作时间内可以访问服务器区,仅可以访问HTTP服务器。10.0.2.10仅可以ping通10.0.3.10。办公区在访问服务区时采用匿名认证方式进行上网行为管理。办公区设备可以访问公网,其他区域不行。
360网神防火系统 配置端口映射_Linux系统——iptables网络安全服务:实现共享上网方法...
weixin_39719749的博客
11-24 2727
实现共享上网方法两台虚拟机服务器模拟测试:其中一台作为共享上网的服务器,需要可以连接网络,可以正常上网。另一台关闭外网网卡,只留下内网网卡,并且让内网网卡的网关设置为共享上网服务器的内网网卡地址。防火墙NAT表示配置说明iptables NAT:(配置NAT表示就是配置以下两个链)01. postrouting02. preroutingiptables实现共享上网方法第一步:配置内网服务器,设置...
防火墙配置gre隧道
qq_44757725的博客
12-25 721
防火墙配置gre隧道 gre隧道简介 通用路由封装(GRE: Generic Routing Encapsulation)是通用路由封装协议,可以对某些网络层协议的数据报进行封装,使这些被封装的数据报能够在IPV4网络中传输。简单来说就是,将原数据包进行封装,添加上GRE包头及公网包头,使原报文的 源IP地址及目的IP地址变为公网IP地址,使其能够被运营商的公网路由识别并进行传输。属于VPN 技术...
ccnp实验手册word编辑版
10-09
4. **网络安全**:涵盖ACL(访问控制列表)、IPS(入侵防御系统)和NAT网络地址转换)等内容,帮助读者了解如何保护网络免受攻击和确保数据安全。 5. **WAN(广域网)技术**:包括PPP(点对点协议)、L2TP(第二...
CCNP实验手册(工大瑞普版)
12-24
此外,也可能涉及到IPv4和IPv6地址规划、NAT转换、QoS策略网络服务的实现。 在网络安全领域,实验可能涵盖ACL(访问控制列表)、IPS(入侵防御系统)、IDS(入侵检测系统)的配置,以及SSL加密和身份认证机制。...
工大瑞普CCNP实验手册WORD版.rar
11-03
5. **网络安全**:讲解ACL(访问控制列表)、NAT网络地址转换)、IPS(入侵防御系统)等安全机制,以及如何防止和处理网络攻击。 6. **故障排查**:提供网络故障诊断方法,如使用show和debug命令,以及如何使用...
华为认证HCIA-Security(安全)PPT教材及实验手册V3.0.rar
01-07
信息安全概念、信息安全标准与规范、常见攻击手段、基础操作系统安全、防火墙安全策略、防火墙NAT技术、防火墙双机热备技术、入侵防御技术、密码学基础、PKI机制、IPSec/SSL VPN技术、数据监控与分析、电子取证技术...
网络压缩之网络剪枝(network pruning)
最新发布
前行居士
08-31 440
网络剪枝(network pruning)就是要把网络里面的一些参数剪掉。剪枝就是修剪的意思,把网络里面的一些参数剪掉。为什么可以把网络里面的一些参数剪 掉呢?这么大的网络里面有很多很多的参数,每一个参数不一定都有在做事。参数这么多的 时候,也许很多参数只是在划水,什么事也没有做。这些没有做的参数放在那边,就只是占空 间而已,浪费计算资源而已。为何就把它们剪掉呢?所以网络剪枝就是把一个大的网络中没 有用的那些参数把它找出来,把它扔掉。人刚出生的时候,脑袋是空空的,神经元跟神经元间 没什么连接
网络原理 - 初识
2302_77179144的博客
08-28 931
计算机之间通过网络来传输数据,也称为网络通信。根据网络互连的规模不同,可以划分为局域网和⼴域网。所谓 “局域网” 和 “广域网” 只是⼀个相对的概念。
如何将十六进制的乱码转换成汉字
2401_85258690的博客
08-28 1196
可以看出,接收到的报文第一行包含了我们想要的信息,我们需要将。在TCP通信时,抓包得到的请求报文,我们需要对其进行分析,中心思想为:剔除%,用strtol将16进制乱码进行转换。
服务器远程管理
m0_64827698的博客
08-26 1980
SSH两种级别的安全认证:基于口令(口令在网络上传播,易受中间人攻击),基于密钥(传公钥,公钥是否相同,公钥加密质询,私钥解密)(密钥不在网络上传)2.启用服务services.msc(telnet)/配置远程桌面服务gpedit.msc(rdp)/使⽤SSH,你可以把所有传输的数据进⾏加密,这样“中间 ⼈”这种攻击⽅式就不可能实现了。实验总结:在windows开启telnet服务(2019不支持),RDP服务,SSH。SSH协议允许⽤户通过配置⽂件⾃定义选择加密算法,以优化安全性和性能。
在vue3中封装WebSocket
qq_63026743的博客
08-28 641
vue3中封装WebSocket
33.python socket
笔生花的博客
08-27 1793
python socket 心跳包 数据包
Linux网络:TCP & UDP socket
盒马的博客
08-27 1256
讲解Linux中TCP与UDP的套接字相关接口
在Linux中杀死占用某个端口的进程
靖妖傩舞
08-28 574
选项表示强制终止进程,但这种方式可能会导致数据丢失或其他不良后果,所以在使用时要谨慎。确定要杀死的进程 PID。从上述步骤中获取到占用端口 9997 的进程 PID。
【CVPR‘24】BP-Net:用于深度补全的双边传播网络,新 SOTA!
梁瑛平的博客
08-28 652
深度补全任务旨在从稀疏的深度测量数据和同步的彩色图像中生成密集的深度图。现有的最先进方法多为基于传播的,通常作为对初始估计的密集深度的迭代改进。然而,这些初始深度估计通常直接将卷积层应用于稀疏深度图。在本文中,我们提出了一种双边传播网络(BP-Net),在最早阶段进行深度传播,以避免直接在稀疏数据上进行卷积。具体而言,我们的方法通过一个非线性模型从附近的深度测量中传播目标深度,该模型的系数由一个多层感知器生成,并基于辐射差异和空间距离进行调整。
SSH是什么?
思索的涟漪,突破自我
08-28 705
SSH的工作原理可以简单理解为,它在用户和服务器之间建立了一条“安全隧道”,通过这条隧道传输的数据都被加密,防止中间人攻击或数据泄露。公钥认证的原理是用户在本地生成一对密钥,其中公钥存放在服务器上,私钥则保存在本地。在现代互联网环境中,安全性越来越受到重视,SSH凭借其强大的加密能力和灵活的认证方式,成为了维护网络安全的重要工具之一。使用SSH时,用户只需要在终端或命令行界面输入简单的命令,就可以连接到远程服务器,执行各种操作,如文件传输、远程执行命令,甚至通过端口转发实现复杂的网络功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

JioJio~z

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值