防御(5)-防火墙综合实验(nat、双机热备、带宽、选路)

已于 2024-04-11 16:10:03 修改
阅读量550 收藏 11
点赞数 10
分类专栏: 防御作业 文章标签: 网络 安全 服务器
于 2024-01-31 18:55:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vt_yjx/article/details/135892680
版权
文章详细描述了一个企业网络环境的配置,涉及多个技术环节,包括双链路上网、NAT转换、流量限制(包括办公区和销售部)、双机热备防火墙设置以及带宽优先级策略。
摘要由CSDN通过智能技术生成

目录

拓扑图

要求

1

2

3

4

5

办公区上网用户限制流量不超过60M

销售部限流

6

7

拓扑图

说明:基本配置完成。所有设备均可出网。

要求

1.办公区设备可以通过电信和移动两条链路上网,且需要保留一个公网ip不能用来转换。

2.分公司设备可以通过两条链路访问到dmz区域的http服务器。

3.分公司内部客户端可以通过公网地址访问到内部服务器。

4.FW1和FW3组成主备模式的双击热备。

5.办公区上网用户限制流量不超过60M,其中销售部人员在其基础上限制流量不超过30M,且销售部一共10人,每人限制流量不超过3M。

6.销售部保证email应用在办公时间至少可以使用10M的带宽,每人至少1M。

7.多出口环境基于带宽比例进行选路,但办公区中的10.0.2.20只能通过电信链路访问外网。

1

通过两条链路上网,我这里采用的方式是分别给电信和移动两条链路各创建一个安全区域,然后配置一个源nat转换;因为还要保留地址,所以使用地址池。

创建两个安全区域并把对应接口划进去,以电信为例:

创建nat策略:

测试:

两个链路的接口都抓包来看:

关闭一个接口,数据会从另一个接口出去:

配置保留地址后,可以看到ip从10.0.4.4变成了10.0.4.3:

2

这里我创建了两个目标nat转换来对应两条链路,具体配置:

以电信这条链路为例:

移动链路同理,这里就不展示了。

测试:

3

这种场景下如果只是单纯配置两次nat的话会导致对象变化,连tcp握手都无法完成。所以需要配置双向nat。具体配置:

转换模式选择原地址与目标地址同时转换即可,剩下就是配置ip地址了:

这里直接一键新建安全策略,自动配置好安全策略。

测试:

用客户端访问nat转换前的公网地址10.0.7.1,成功访问到服务器。

再查看会话表,可以看到目标地址是http服务器地址,源地址是内部客户端。

4

这里将FW1作为主,FW3作为备。FW1的配置如下:

FW3的配置如下:

查看效果:

可以看到两台防火墙分别是主状态和备状态了

5

办公区上网用户限制流量不超过60M

销售部限流

其中销售部人员在其基础上限制流量不超过30M,且销售部一共10人,每人限制流量不超过3M。

6

销售部保证email应用在办公时间至少可以使用10M的带宽,每人至少1M。

7

基于带宽比例进行选路的配置,以dx为例子:

显示结果:

办公区的pc只能通过电信链路访问外网:

  

vt_yjx
关注
  • 10
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防火墙双机热备实验.zip
03-03
防火墙双机热备实验
防火墙双机热备实验
weixin_74452917的博客
02-06 875
双机热备状态成功建立后,FW1的安全策略配置会自动备份到FW2上。在防火墙FW1上行业务接口GE1/0/0上配置VRRP备份组1,并设置其状态为Standby。在防火墙FW1上行业务接口GE1/0/1上配置VRRP备份组2,并设置其状态为Standby。在防火墙FW1上行业务接口GE1/0/0上配置VRRP备份组1,并设置其状态为Active。在防火墙FW1上行业务接口GE1/0/1上配置VRRP备份组2,并设置其状态为Active。企业的两台防火墙的业务接口都工作在三层,上下行分别连接二层交换机。
防火墙双机热备配置实验
ChenD的学习笔记
12-12 2642
一、实验拓扑 二、配置云 三、配置防火墙 四、分配FW的接口地址与安全区域 五、按图示进行配置 六、双机热备的配置 七、配置NAT 八、模拟双机热备的切 防火墙双机热备配置实验
防火墙综合实验NAT、双击热备)
m0_70638961的博客
02-19 543
先用PC2ping公网1.1.1.1 ping 1.1.1.1 -t一直ping,然后再断开FW1也就是主状态防火墙的上联口两个,g1/0/0和g1/0/5,shutdown 丢了两个包,之后正常上网。销售部人员在其基础上限制流量不超过30M,且销售部一共10人,每人限制流量不超过3M。这里的IP配置和二层交换机配置和上次的配置一样。根据拓扑划分的IP配置。移动与电信的相同,IP地址池是20.0.0.4-20.0.0.5。电信移动接口宽带100M。FW2同理,选择备用。办公区流量限制60M。
ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】
JohnnyG2000的博客
05-18 1万+
防火墙综合实验一、实验要求1. 总部需要通过VPN与分支和合作伙伴进行通信2. 分支机构(Branch)员工使用NGFW接入总部。要求实现分支机构安全访问IPSec保护的总部内网服务器。3. 合作伙伴(Partner)使用NGFW接入总部。要求实训合作伙伴通过GRE隧道与总部进行通信。4. 所有的客户端可以通过公网IP地址来访问WEB服务器二、实验拓补三、实验配置1. 防火墙安全区域划分(包括Tunnel接口)2. 静态路由3. GRE配置4. IPSec VPN配置5. Easy-ip配置6. NAT S
ensp防火墙综合实验lab
enterprise2333的博客
12-20 1万+
实验要求: 1.完成防火墙组网基础配置(IP,安全域,路由(可配置动态路由,只可宣告防火墙untrust所在网段)ISP路由器不能存在防火墙非untrust区域内路由),校本部和南校区防火墙管理地址分别为192.168.0.1/24,192.168.0.2/24 2.校本部防火墙1/0/1设置为二层接口,在防火墙上配置SVI分别为vlan 10和vlan 20的网关,两SVI安全域均为trust 3.PC2可以使用防火墙出接口地址上网访问到百度服务器(可ping通6.6.6.6即可) 4.使用校本部防火墙
防火墙技术综合实验
weixin_34168880的博客
05-15 410
扩展ACL 一,实验拓扑 二,实验步骤: (1)测试网络连通性,PC1 ping 服务器。 (2)配置路由器R0 R0(config)#access-list 110 remark this is an example for extended acl//添加备注,增加可读性 R0(config)#access-list 110 deny tcp ...
防火墙NAT地址转换的四种应用实验与防火墙双机热备实验
qq_68163788的博客
07-25 2658
NAT(Network Address Translation)地址转换是一种网络协议,用于将私有IP地址转换为公共IP地址,以便在互联网上进行通信。以下是四种常见的NAT地址转换场景:隐藏内部网络多对一映射,一对多映射,双向通信,防火墙双机热备是一种高可用性解决方案,通过在网络中部署两个防火墙设备,实现实时数据同步和状态同步。主防火墙负责处理网络流量和安全策略,备用防火墙处于待命状态。当主防火墙发生故障时,备用防火墙能够立即接管工作,保持网络的连通性和安全性。这种热备机制能够提供无缝切换,减少网络中断时间
防御保护---防火墙(安全策略、NAT策略实验)
M372109150的博客
01-25 1736
此次实验主要是以web界面的形式来配置防火墙,所以在上图中防火墙与cloud连接(不需要交换机也可),为了在web界面管理防火墙,web界面相对来说比较友好,可以直观的看出各种配置及条目。1.生产区在工作时间内可以访问服务器区,仅可以访问http服务器; 2.办公区全天可以访问服务器区,其中10.0.2.20可以访问FTP服务器和HTTP服务器,10.0.2.10仅可以ping通10.0.3.10 3.办公区在访问服务器区时采用匿名认证的方式进行上网行为管理 4.办公设备可以访问公网,但是其他区域不行。
URL、DNS过滤,AV---防火墙综合实验
求大佬师傅带
02-20 655
URL、DNS过滤,AV---防火墙综合实验
华为防火墙综合案例(IPSec、SSL、NAT、ACL、安全防护)
ywc0825的博客
03-14 4467
华为防火墙综合案例(IPSec、SSL、NAT、ACL、安全防护)
防御保护--防火墙综合实验
M372109150的博客
02-19 903
1,FW2和FW4组成主备模式的双机热备 2,DMZ区存在两台服务器,现在要求生产区的设备仅能在办公时间访问,办公区的设备全天都可以访问 3,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换) 4,办公区上网用户限制流量不超过60M,其中销售部人员在其基础上限制流量不超过30M,且销售部一共10人,每人限制流量不超过3M 5,销售部保证email应用在办公时间至少使用10M的带宽,每个人至少1M 6,多出口环境基于带宽比例进行选路,但是办公区中10.0.2.10
防火墙配置【最详细的实验演示】
热门推荐
weixin_62107875的博客
09-08 2万+
2.如何进入防火墙防火墙安全域 1.防火墙的5个安全域 2.如何自定义安全域3.接口加入安全域 ​4.防火墙配置接口ip 配置防火墙策略 1.内网到公网2.内网到服务器3.公网到服务器 4.内网到公网NAT转换 5.服务器映射
第一天防火墙综合大实验
weixin_62870380的博客
03-13 142
防火墙第一天综合实验
华为防火墙综合实验
super_tool_man的博客
02-19 482
从图中可以看到要求1.办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)2.分公司设备可以通过总公司的移动链路和电信链路访问到DMZ区的http服务器3.分公司内部的客户端可以通过公网地址访问到内部的服务器4.FW1和FW3组成主备模式的双机热备5.办公区上网用户限制流量不超过60M,其中销售部人员在其基础上限制流量不超过30M,且销售部一共10人,每人限制流量不超过3M6.销售部保证email应用在办公时间至少可以使用10M的宽带,每人至少1M。
防火墙配置实验
m0_64112419的博客
12-09 1773
iptables -I INPUT -p ICMP –icmp-type 0 -d 192.168.110.0/24 ACCEPT:这条规则是用来配置防火墙,指示允许从目标地址为192.168.110.0/24的网络发送过来的ICMP回显应答(类型为0)的数据包进入系统。防火墙的规则都是双向的,而且ping使用的是ICMP报文,他的ICMP type 为8,而它的响应ICMP报文的type为0,我们要实现以上功能,只需要让ICMP type 8 报文进不来,但出得去;动作可以是允许通过、阻止或修改数据包。
H3C防火墙及IPsec综合实验
qq_45049184的博客
03-08 6638
我们知道IPsec需要配置感兴趣流来抓取本端私网到达对端私网的流量,NAT转换抓取的同样也是本端私网流量,且NAT的优先级高于IPsec的优先级,如此一来会导致需要被IPsec封装的流量被NAT抓取且当做正常流量导向了公网。所以为了避免这种情况,我们需要在用于匹配NAT的ACL再加上一条ACL用于匹配IPsec的感兴趣流,成功匹配则将其丢弃,这样即使访问对端私网的流量到达了NAT也会被其丢弃,同时也不会影响NAT的正常工作。按照拓扑图所示配置,业务网段全配置在设备的loopback接口,配置过程略。
防火墙综述以及实验
m0_72286569的博客
07-22 119
防火墙(英语:Firewall)技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
防火墙直连交换机双机热备负载均衡
最新发布
06-18
防火墙直连交换机的双机热备和负载均衡技术是一种常见的网络架构设计,用于提高网络的可用性和可靠性。以下是这些概念的基本介绍: 1. 防火墙防火墙是一种网络安全设备,主要用于控制进出网络的数据流量,过滤出...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值