网络安全防御 -- 防火墙NAT智能选举综合实验

实验拓扑：

实验目的：

1，DMZ区内的服务器，办公区仅能在办公时间内（9：00 - 18：00）可以访问，生产区的设备全天可以访问
2，生产区不允许访问互联网，办公区和游客区允许访问互联网
3，办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器，仅能ping通10.0.3.10
4，办公区分为市场部和研发部，市场部IP地址固定，访问DMZ区使用匿名认证，研发部需要用户绑定IP地址，访问DMZ区使用免认证；
游客区人员不固定，不允许访问DMZ区和生产区，统一使用Guest用户登录，密码Admin@123
5，生产区访问DMZ区时，需要进行protal认证，设立生产区用户组织架构，至少包含三个部门，每个部门三个用户，用户统一密码openlab123，首次
登录需要修改密码，用户过期时间设定为10天,用户不允许多人使用
6，创建一个自定义管理员，要求不能拥有系统管理的功能

7，办公区设备可以通过电信链路和移动链路上网(多对多的NAT，并且需要保留一个公网IP不能用来转换)
8，分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
9，多出口环境基于带宽比例进行选路，但是，办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护，保护阈值80%；
10，分公司内部的客户端可以通过域名访问到内部的服务器，公网设备也可以通过域名访问到分公司内部服务器；
11，游客区仅能通过移动链路访问互联网

实验配置：

前六条具体操作可参考 网络安全防御 -- 防火墙安全策略用户认证综合实验-CSDN博客

开启防火墙后需要登录用户名和密码，第一次默认的用户名：admin，密码：Admin@123（初始）;

登录成功之后需要修改你的密码才能进入防火墙的用户视图。

公网ISP配置：

[ISP]int g3/0/0
[ISP-GigabitEthernet3/0/0]ip add 100.0.0.1 24
[ISP-GigabitEthernet3/0/0]int g0/0/2
[ISP-GigabitEthernet0/0/2]ip add 23.0.0.1 24
Jul 12 2024 17:19:45-08:00 ISP %%01IFNET/4/LINK_STATE(l)[0]:The line protocol IP
 on the interface GigabitEthernet0/0/2 has entered the UP state. 
[ISP-GigabitEthernet0/0/2]dis ip int b
*down: administratively down
^down: standby
(l): loopback
(s): spoofing
The number of interface that is UP in Physical is 6
The number of interface that is DOWN in Physical is 1
The number of interface that is UP in Protocol is 6
The number of interface that is DOWN in Protocol is 1
 
Interface                         IP Address/Mask      Physical   Protocol  
GigabitEthernet0/0/0              12.0.0.1/24          up         up        
GigabitEthernet0/0/1              21.0.0.1/24          up         up        
GigabitEthernet0/0/2              23.0.0.1/24          up         up        
GigabitEthernet3/0/0              100.0.0.1/24         up         up        
GigabitEthernet4/0/0              unassigned           down       down      
LoopBack0                         1.1.1.1/24           up         up(s)     
NULL0                             unassigned           up         up(s)     

7.办公区设备可以通过电信链路和移动链路上网(多对多的NAT，并且需要保留一个公网IP不能用来转换)

创建移动网络和电信网络的安全区域

 将对应接口放入相应区域并配置相应ip地址

 新建NAT策略 ---- 多对多的NAT：

新建转换地址池

保留一个ip地址

为保证设备顺利转发NAT业务，需要配置安全策略

相同操作配置办公区通过移动链路上网

NAT策略：

安全策略：

8.分公司设备可以通过总公司的移动链路和电信链路访问到dmz区的http服务器

配置分公司防火墙：

[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip add 172.168.100.5 24
[USG6000V1-GigabitEthernet0/0/0]
Jul 14 2024 02:49:42 USG6000V1 DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.25
.191.3.1 configurations have been changed. The current change number is 1, the c
hange loop count is 0, and the maximum number of records is 4095.
[USG6000V1-GigabitEthernet0/0/0]dis th
2024-07-14 02:49:50.320 
#
interface GigabitEthernet0/0/0
 undo shutdown
 ip binding vpn-instance default
 ip address 172.168.100.5 255.255.255.0
 alias GE0/METH
#
return
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit 

接口：

NAT策略：

总公司防火墙上配置，开放dmz区域的http服务器

新建安全策略：

9.多出口环境基干带宽比例进行选路，但是，办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护，保护國值80%

配置智能选路：

链路过载保护，设置阈值：

对于10.0.2.10 新建策略路由：

10.分公司内部的客户端可以通过域名访问到内部的服务器，公网设备也可以通过域名访问到分公司内部服务器

做双向NAT

分公司防火墙的 NAT策略：

11.游客区仅能通过移动链路访问互联网

NAT策略：

安全策略：