vt_yjx的博客

所以在fw1上写一条静态路由：这样流量就会先走到fw1上，然后丢到fw5上进行封装（注意这是两个区域，做安全策略要放通区域），然后走缺省找网关发给fw1，然后fw1又走缺省走网关就出去了。现在esp的流量已经放通了，在fw5和fw3上拆开esp的隧道封装以后还需要做一个放通策略：放通两个网段的流量，这样才能进到网段里。fw1只是帮传的，放通500和4500，因为fw5在fw1上的子接口是trust区域，所以放通T和U。fw1上也是要放通esp，跟安全策略匹配的，区域是电信到trust。

VPN --- 虚拟专用网 --- 一般指依靠ISP或者其他NSP，也可以是企业自身，提供的一条虚拟网络专线。这个虚拟的专线是逻辑上的，而不是物理上的，所以称为虚拟专用网。VPN诞生的原因：1，物理网络不适用，成本太高，并且如果位置不固定，则无法构建物理专线2，公网安全无法保证VPN的分类：根据建设的单位不同分类：1，企业自建的VPN专线：GRE，IPSEC，SSL VPN，L2TP --- 这种VPN构建成本较低，因为不需要支付专线的费用，仅需要承担购买VPN设备的费用。

10.我们需要针对办公区用户进行上网行为管理，要求进行URL过滤，要求在上班时间仅能访问教育/科研类，搜索/门户类网站，以及一个www.example.com/working相关URL都可以访问。DNS过滤跟URL过滤基本一样，所以这里不展示了，思路就是先定义一个dns分类，然后到安全配置文件里新建dns过滤，最后新建安全策略调用即可。9.假设内网用户需要通过外网的web服务器和pop3邮件服务器下载文件和邮件，内网的FTP服务器也需要接受外网用户上传的文件。位置：对象-安全配置文件-url过滤-新建。

通过两条链路上网，我这里采用的方式是分别给电线和移动两条链路创建一个安全区域，然后配置一个源nat转换；因为还要保留地址，所以使用地址池。5.办公区上网用户限制流量不超过60M，其中销售部人员在其基础上限制流量不超过30M，且销售部一共10人，每人限制流量不超过3M。其中销售部人员在其基础上限制流量不超过30M，且销售部一共10人，每人限制流量不超过3M。6.销售部保证email应用在办公时间至少可以使用10M的带宽，每人至少1M。再查看会话表，可以看到目标地址是http服务器地址，源地址是内部客户端。

（VGMP的报文也是通过这条心跳线发送的）。认证方式包括本地认证（用户信息在防火墙上，整个认证过程都在防火墙上执行）、服务器认证 （对接第三方服务器，防火墙将用户信息传递给服务器，之后，服务器将认证结果返回，防火墙执行对应的动作即可）、单点登录 （和第三方服务器认证类似）。认证策略包括Portal （仅需要流量触发对应的服务时，弹出窗口，输入用户名和密码进行认证）、免认证（需要在IP/MAC双向绑定的情况下使用）、匿名认证（登录者不需要输入用户名和密码，直接使用IP地址作为其身份进行登录）。

2.办公区全天可以访问dmz区域，其中10.0.2.10仅可访问http，10.0.2.20都可以访问。注意要点击“新建安全策略”然后就会自动创建一条安全策略（先走安全策略再走源nat策略）了，方便快捷。1.生产区在工作时间内可以访问dmz区域，仅可以访问http服务器。3.办公区在访问dmz区域时采用匿名认证的方式进行上网行为管理。各设备ip和接口已配好，均可可ping通防火墙。4.办公区设备可以访问公网，其他区域不行。

然后进入isp的路由器配个ip。1.防火墙向下使用子接口分别对应两个内部区域。2.所有分区设备可以ping通网关。按本实验要求只用做前两个步骤，而且不做安全策略。3.配置dmz区域的服务器映射供外网访问内网。1.先配ip、接口、区域、安全策略。4.配置nat供内网访问外网。5.针对外网的安全策略。2.内网配置回包路由。

1.只能用6000那个防火墙2.初始用户名密码：admin/ADMIN@1233.开启所有服务4.与电脑联通：添加个云，然后增加1个udp并绑定创建的环回网卡4.5.让云可以连接：端口映射错开，设置一个1和25.浏览器登录ip+8443端口。