防御保护--安全策略与NAT配置实验

已于 2024-02-19 05:48:18 修改
阅读量359 收藏 5
点赞数 9
分类专栏: 网络安全 文章标签: 网络安全
于 2024-02-19 05:43:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_68374338/article/details/135923672
版权
一、实验拓扑图

二、实验需求

1.生产区在工作时间内可以访问服务器区,仅可以访问http服务器。

2.办公区全天可以访问服务器区,其中10.0.2.20可以访问FTP服务器和HTTP服务器,10.0.2.10仅可以ping通10.0.3.10。

3.办公区在访问服务器区时采用匿名认证的方式进行上网行为管理。

4.办公区设备可以访问公网,其他区域不行。

三、实验配置

本实验通过web界面进行配置,使用云将让本机与防火墙进行连接。

1、总公司的LSW1配置

<Huawei>sys
[Huawei]vlan 10  //创建vlan 10
[Huawei-vlan10]vlan 20  //创建vlan 20
[Huawei-vlan20]int g0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access 	//设置该接口模式为access模式
[Huawei-GigabitEthernet0/0/2]port default vlan 10 	//将该接口划分给vlan 10
[Huawei-GigabitEthernet0/0/2]interface g0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type access 	 //设置该接口模式为access模式
[Huawei-GigabitEthernet0/0/3]port default vlan 20	//将该接口划分给vlan 20
[Huawei-GigabitEthernet0/0/3]int g0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type trunk	 //设置该接口模式为trunk模式
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20  //设置该接口允许vlan 10、vlan 20的数据通过

2、Cloud1和防火墙(FW1)配置

(1)Cloud1配置

(2)开启防火墙web登录服务

<USG6000V1>sys
[USG6000V1]int g0/0/0	
[USG6000V1-GigabitEthernet0/0/0]ip address 192.168.0.11 24	  //IP地址要与网卡的IP地址在同一网段内
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit    //开启管理口web登录服务

(3)使用防火墙Web界面进行相关配置

浏览器导航栏输入https://192.168.0.11:8443 ,然后登录防火墙,登录后进行如下操作:

1)创建安全区域(SCQ--生产区和BGQ--办公区)

2)配置子接口

3)配置DMZ接口

3.配置安全策略使防火墙能进行相应的流量控制

(1)策略1:生产区在工作时间内可以访问服务区,仅可以访问http服务器。

(2)办公区全天可以访问服务区,其中,10.0.2.20可以访问FTP服务器和HTTP服务器,10.0.2.10仅可以ping通10.0.3.10。

(3)办公区在访问服务器区时采用匿名认证的方式进行上网行为管理。

(4)办公区设备可以访问公网,其他区域不行。

1)配置公网路由器AR1的IP

[Huawei]sys ISP
[ISP]int g0/0/0
[ISP-GigabitEthernet0/0/0]ip address 12.0.0.2 24
[ISP]int LoopBack 0
[ISP-LoopBack0]ip address 1.1.1.1 24    //配置环回,模拟公网

2)配置防火墙g1/0/1接口IP

3)增加nat策略

3、根据实验拓扑图配置PC1、PC2、Client1、Client2、Server1、Server2的IP地址。

码上方舟
关注
  • 9
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全技术- NAT-06 在路由器上配置PAT.mp3
07-04
网络安全技术- NAT-06 在路由器上配置PAT.mp3
网络安全技术- NAT-07 在Windows上配置NAT 准备环境.mp3
07-04
网络安全技术- NAT-07 在Windows上配置NAT 准备环境.mp3
网络安全技术- NAT-11 在路由器上配置端口映射.mp3
07-04
网络安全技术- NAT-11 在路由器上配置端口映射.mp3
网络安全技术-NAT分类_静态NAT_动态NAT(PooL)基本配置实验.mp3
07-05
网络安全技术-NAT分类_静态NAT_动态NAT(PooL)基本配置实验.mp3
防火墙的安全区域及安全策略NAT 配置
Qconfig100的博客
10-18 2345
公司总部的网络分成了三个区域,包括内部区域(Trust)、外部区域(Untrust)和服务器区域(DMZ)。你设计通过防火墙来实现对数据的控制,确保公司内部网络安全,并通过DMZ区域对外网提供服务。并且需要将DMZ区域中的一台服务器(IP地址为10.0.3.3)提供的Telnet服务和FTP服务发布出去,对外公开的地址为10.0.10.254/24。
华为防火墙NAT配置策略管理
qq_60654159的博客
11-19 6931
人类对计算机网路的使用已经拓展到各个领域,而计算机网络的设计者在当时无法想象网络能有今天的规模。任何一个接入互联网的计算机、ipad、手机及安卓电视,要想在互联网中畅游,必须有一个合法的IP地址。而IP地址,曾经认为足以容纳全球的计算机,但是在今天看来,已经严重枯竭。IPv6的出现就是为了解决地址不足的问题,但在IPv6普及之前,需要有一个过渡技术ーNATNAT的出现缓解了地址不够用的情况,它可以让同一局域网内60000多用户同时使用一个合法IP地址访问互联网,NAT技术不是新技术,对于我们来说也不陌生
2021-07-14
qq_55803921的博客
07-14 989
07/14课堂笔记 NAT转换在这里可以分为四种: 源NAT: no-pat pat ease-ip 目标NAT: server nat 暂且不明: 双向nat alg特性 如果在防火墙上的是源NAT转换,则防火墙先匹配安全策略,再匹配NAT策略 如果在防火墙上的是目标NAT转换,则防火墙先匹配NAT策略,再匹配安全策略 实验总结概述: 防火墙上做NAT: 第一步: 将接口划分好所属区域,做好基础配置 第二步: 创建一个nat地址池,并将模式改为no-pat(虽然不节省地址,但是实验要求),将地址池的范围规
防御保护---防火墙(安全策略NAT策略实验)
最新发布
M372109150的博客
01-25 1500
此次实验主要是以web界面的形式来配置防火墙,所以在上图中防火墙与cloud连接(不需要交换机也可),为了在web界面管理防火墙,web界面相对来说比较友好,可以直观的看出各种配置及条目。1.生产区在工作时间内可以访问服务器区,仅可以访问http服务器; 2.办公区全天可以访问服务器区,其中10.0.2.20可以访问FTP服务器和HTTP服务器,10.0.2.10仅可以ping通10.0.3.10 3.办公区在访问服务器区时采用匿名认证的方式进行上网行为管理 4.办公设备可以访问公网,但是其他区域不行。
华为防火墙配置NAPT:在华为防火墙上配置安全策略NAT策略(NAPT),使Client1能够访问Server1的Web服务。
彭淦淦的博客
04-28 1319
4.2 方案 搭建实验环境,如图-18所示。 图-18 4.3 步骤 实现此案例需要按照如下步骤进行。 1)配置接口,如图-19所示。 图-19 2)配置安全策略,如图-20所示。 图-20 3)配置NAT策略,如图-21和图-22所示。 图-21 图-22 4)测试可以访问。 ...
网络安全技术- NAT-09 在Windows上配置连接共享.mp3
07-04
网络安全技术- NAT-09 在Windows上配置连接共享.mp3
华为防火墙如何为NAT开放安全策略
09-16
如何为NAT开放安全策略
4.安全与NAT策略-1
weixin_34377065的博客
06-27 956
1.安全策略配置 1.1 基本概念 下一代防火墙流量处理流程 策略匹配规则 从上到下匹配 使用第一个匹配流量的策略规则 后面的策略规则不会匹配 三种类型的Policy Rule intraZone:流量在一个zone里面穿梭,默认允许。 InterZone:流量在不同的zone之间穿梭,默认拒绝。 Universal:policy rule默认的类型,可以是intraZone...
华为防火墙:五种NAT类型以及配置NAT策略
热门推荐
向上的信念
09-05 2万+
如图所示: 一.在R1上配置IP地址及静态路由。 Huawei:undo terminal monitor Huaweisystem-view [Huawei]sysname R1 [R1]user-interface console 0 [R1-ui-console0]idle-timeout 0 配置IP地址。 [R1]interface g 0/0/1 [R1-GigabitEther...
华为技术——防火墙NAT策略
weixin_45191791的博客
03-24 1769
实验要求: 在防火墙配置 NAT NO-PAT方式的地址转换 192.168.1.0/24 —> 202.96.1.10-11 在防火墙配置 NAPT方式的地址转换: 192.168.1.0/24 —> 202.96.1.10-11 在防火墙上配置接口地址方式的地址转换(easy-ip) 192.168.1.0/24 —>g1/0/0 NAT NO-PAT(...
浅谈华为防火墙NAT策略
:Struggle.
09-01 8010
博文目录 一、什么是NAT? 二、如何解决源地址转换环境下的环路和无效ARP问题? 三、什么是Server-map表? 四、NAT对报文的处理流程 五、开始配置NAT 一、什么是NATNAT技术是用来解决当今IP地址资源枯竭的一种技术,同时也是IPv4到IPv6的过渡技术,绝大多数网络环境中在使用NAT技术。此博文重点是华为相关的NAT知识上。 1、NAT分类 在内外网的...
华为防火墙NAT策略配置详解
小健健的博客
10-24 1万+
人类现在对计算机网络的使用已经扩展到各个领域,而计算机网络的设计者当时无法想象互联网能有今天这样的规模。任何一个接入互联网的计算机、手机以及智能电视,要想在互联网中畅游,必须有一个合法的IP地址。而IP地址,曾经以为足以容纳全球的计算机,但是在今天看来,已经严重枯竭。IPV6的出现就是为了解决地址不足的问题,但在IPV6普及之前,需要有一个过渡技术——NATNAT的出现缓解了地址不足的问题,它可...
4.安全与NAT策略-2
weixin_33736649的博客
06-26 227
2.NAT 2.1 NAT的类型 源NAT:用于内部用户上网 目的NAT--用于私有网络中的服务器为公有网络提供服务 2.2 源NAT的类型 静态IP 一对一固定转换(双向NAT:出去转源,进来转目的) 源IP改变,源端口不变(10.0.0.1:1025--->202.100.1.1:1025) 动态IP 源IP一对一动态转换,端口不变 动态IP/Port(DIPP) 多...
华为防火墙在NAT安全策略设置的解释
qq_47529104的博客
03-15 1685
1、no-pat 我们知道no-pat会产生相应的server-map表项,其主要作用是加快nat的转换,但是在一开始的时候防火墙是没有server-map表的,只有本次通信中的首包触发了链接的建立之后,才会产生相应的server-map表,也正是因为这样我们在no-pat的时候其对应的安全策略放行的是内网主机的IP地址。 2、NAT server 在nat server的情况下默认会生成正反两条server-map,且不需要有首包就存在,一条帮助外网主机进行目的地址的转换,另一条是帮助内网服..
华为防火墙配置Easy IP:在华为防火墙上配置安全策略NAT策略,使Client1能够访问Server1的Web服务。
彭淦淦的博客
04-28 2288
3.2 方案 搭建实验环境,如图-13所示。 图-13 3.3 步骤 实现此案例需要按照如下步骤进行。 1)配置接口,如图-14所示。 图-14 2)配置安全策略,如图-15所示。 图-15 3)配置NAT策略,如图-16所示。 图-16 4)测试可以访问并抓包,如图-17所示。 图-17 ...
锐捷NAT-PT配置
12-05
以下是锐捷设备进行NAT-PT配置的步骤: 1. 配置R1和R3的静态路由,将数据包发送到NAT-PT设备进行v6v4地址转换。 ``` [R1]ip route-static 2001:DB8:1:1::/64 10.1.1.2 [R3]ip route-static 10.1.1.0 255.255.255.0...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值