防火墙NAT智能选举综合实验

已于 2024-07-16 19:02:18 修改
阅读量926 收藏 7
点赞数 16
文章标签: 服务器 linux 网络
于 2024-07-16 18:56:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_69863399/article/details/140473020
版权

一、实验拓扑图

0c53e7cb13544a5fbde6558b68622579.png

二、实验要求

1、DMZ区的服务器,办公区仅能在办公时间内(9:00-18:00)可以访问,生产区设备全天都是可以访问的

2、生产区不允许访问互联网,办公区和游客区允许访问互联网

3、办公区设备10.0.2.20不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10

4、办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;

游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权利,门户网站地址10.0.3.10

5、生产区访问DMZ区时,需要进行protal认证,设立生产区用户架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,

首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用

6、创建一个自定义管理员,要求不能拥有系统管理的功能

7、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)

8、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

9、多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;

10、分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;

11、游客区仅能通过移动链路访问互联网

三、实验思路

1、配置多对多NAT策略:

        a.保留IP地址不变,实现设备之间的相互访问。

        b.配置双向NAT,确保数据流能够双向传输

        c.设置智能选路策略,根据不同目的地优化数据传输路径。

2.进行服务测试。

四、实验步骤

1.FW2的网络相关配置

所有的防火墙开启都是一样的,第一次输入默认的账户和密码(账户:admin;密码:Admin@123)后,对密码进行修改。然后修改默认的ip,和自己的网卡要在同一个网段内,然后在g0/0/0的端口里面配置开启所有的服务:server-manage all permit。

FW2g1/0/0:

7326f84d59cc493e8941de5addbff014.png

g1/0/1:

aabfec666a504c3e85298331366c3770.png

2.多对多的NAT,并且需要保留一个公网IP不能用来转换,实现办公区设备可以通过电信链路和移动链路上网。

在防火墙(FW1)上面创建两块安全区域[移动、电信]。

f84bb4f5a3764557b0bb035eeefb39ab.png

c0b9cd2cb26f48869a4b219d7bfaf1f7.png

修改防火墙FW1的g1/0/1和g1/0/2的安全区域:

dfaccaf7dc76479abf220e1b410d372e.png

27ed93ead11b4762b444c5df56571534.png

做NAT策略,并且需要保留一个公网IP不能用来转换。

先创建一个源转换地址池:

413eea37915343098bd4e6112b69dd35.png

NAT策略:

b76820d8f7c44eecb2f063eccaf62ae0.png

测试一下:

用Client4去ping路由器的换回地址,使用display firewall server-map:

7759fa200f1b456f9ee0af09919809ec.png

3.分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

防火墙FW2上做NAT:

10298d54f8bb46a9a863dc511cdca66a.png

安全策略以及NAT策略:

aea0b331fef4415e9f4667c5002abcea.png

2de687d0aab4428a83c890736b49e578.png

在防火墙FW2上面做目标NAT:

创立一个地址转换池以及策略:

be9d31113ec841c49a6e623a94d1ad62.png

f8cb09b616e347fb82b86beb4c1a6593.png

80408ec962934e7997e41a0a4548d3e8.png

4.智能选路:

修改g1/0/1的接口配置

9ab77becdfad432eb180cd929392bc97.png

修改g1/0/2的接口配置

f0a23cd71b934ea79ed94072346eb0ac.png

在创建一个电信和移动的链路接口:

6e262c33f873416ea8ce350d31913e36.png

aa32a7eaa8fc4ca0be00cfe97211cc09.png

在新建一个策略:

93f6c6adbe794a98b820159a66a7a56e.png

5.分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

首先修改公网client5,和分公司server5和client6的域名服务器地址,并且公网中的server4(NDS服务器)开启DNS服务,和分公司的server5开启http服务器。在FW2上面做目标NAT,使公网设备也可以通过域名访问到分公司内部服务器

2013fb2baf94470aab46553487ee5669.png

6. 分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;

NAT策略:

30c1517a9a6541759a0d92ff29f8eb12.png

7.游客区仅能通过移动链路访问互联网

安全策略以及NAT策略:

01abd110a2cf4a13a397e4b13791a0ed.png

6e5f4694c2c14a71a24b9fa1609b2488.png

 

 

空白者@
关注
防火墙上的NAT实验
qq_65975148的博客
03-28 623
NAT、server nat、域内双向NAT、域间双向NAT防火墙
防火墙NAT Server & 源NAT实验.zip
03-03
防火墙NAT Server & 源NAT实验
CheckPoint防火墙Nat配置讲解
10-31
CheckPoint防火墙Nat配置讲解
山石防火墙目的NAT配置举例.docx
08-31
山石防火墙目的NAT配置举例
华为防火墙nat端口映射
06-07
对应主页文章名称
Linux特种文件系统--tmpfs文件系统
刘元林的博客
10-29 987
tmpfs类似于RamDisk(只能使用物理内存),使用虚拟内存(简称VM)子系统的页面存储文件。tmpfs完全依赖VM,遵循子系统的整体调度策略。说白了tmpfs跟普通进程差不多,使用的都是某种形式的虚拟内存,至于数据存储在物理内存中还是在交换分区中,全权交由VM子系统。定义: 是一个基于内存的文件系统,它在 RAM 中存储数据,因此访问速度非常快。用途: 通常用于存储临时文件,这些文件不需要永久保存,而且频繁读写。使用 可以减少对物理磁盘的磨损,并提高性能。示例路径:常见的 挂载点包括 、、 等。持
国产服务器平台离线部署k8s和kubesphere(含离线部署新方式)
11-02 514
国产服务器平台离线部署k8s和kubesphere(含离线部署新方式)
web服务器
最新发布
2202_75593514的博客
11-02 599
(域名分别为www.jio.com和zj.de.wang,首页目录为/www/jio,/www/jioz,首页内容分别为my name is jio,my name is jioz)端口分别为80和10000,首页目录为/www/port/80,/www/port/10000,首页内容分别为the port is 80,the port is 10000)主机位为100和200,首页目录为/www/ip/100,/www/ip/200,首页内容分别为this is100,this is 200)
Linux防火墙和selinux对服务的影响
qq_73704466的博客
11-02 388
文件夹的访问将自定义文件夹的角色改为我们nginx可以访问的httpd_sys_t便可以访问了。
Zypher Network:全栈式 Web3 游戏引擎,服务器抽象叙事的引领者
2401_84996894的博客
11-02 758
当开发者基于 Zypher Network 搭建游戏时,游戏的逻辑是部署在链上(基于 Zytron 构建的 Layer3 链)的 ZKP 电路中,当游戏运行时,玩家的一些连续游戏行为所产生的动作日志在一定的周期内进行聚合,并由链下的计算网络生成零知识证明(每一个计算节点都具备生成零知识证明以及通信等能力,能够为游戏提供强有力的计算支持,该网络基于通证经济来驱动))来运行游戏逻辑,并且不涉及交易以及 Gas 费,如果需要更高的效率,可以直接在节点中编写游戏逻辑,而无需使用虚拟机,并获得链上的支持。
DNS域名解析服务器
Samsung.的博客
10-27 1197
DNS(Domain Name System)是互联网上的一项服务,它作为将域名和IP地址相互映射的一个分布式 数据库,能够使人更方便的访问互联网。DNS系统使用的是网络的查询,那么自然需要有监听的port。DNS使用的是53端口, 在/etc/services(搜索domain)这个文件中能看到。通常DNS是以UDP这个较快速的数据传输协议来查 询的,但是没有查询到完整的信息时,就会再次以TCP这个协议来重新查询。所以启动DNS时,会同时 启动TCP以及UDP的port53。
DNS查询服务器的全流程解析
qq_63728673的博客
11-02 404
**服务器端设置响应头**:在服务端的响应中添加 `Access-Control-Allow-Origin` 头部,指定允许访问的源。- **递归查询中的缓存**:递归DNS服务器会缓存查询结果,这意味着后续相同的查询请求可以直接从缓存中获取,无需再次进行全程查询,显著减少查询时间和负载。3. **不同的端口**:比如从 `http://example.com:3000` 发送请求到 `http://example.com:4000`。- **安全性**:分层查询可以提高系统的安全性和抗攻击能力。
nfs服务器
2301_77122050的博客
11-02 141
NFS( Network File System ,网络文件系统)是 FreeBSD 支持的文件系统中的一种,它允许网络中的计算机(不同的计算机、不同的操作系统)之间通过TCP/IP 网络共享资源,主要在 unix 系列操作系统上使用。在NFS的应用中,本地 NFS 的客户端应用可以透明地读写位于远端 NFS 服务器上的文件,就像访问本地文件一样。
Linux】信号三部曲——产生、保存、处理
m0_74808907的博客
11-02 1365
一文带你由浅入深掌握信号产生、保存、处理!
VMware workstation的3种网络类型
但行好事,莫问前程
10-29 482
虚拟机想要和主机进行通信必须借助网桥或者交换机,VMware workstation提供了3种网络交换机:仅主机类型交换机、NAT类型交换机、桥接类型交换机。
服务器文件访问协议
小琳猫的博客
10-29 1205
本篇博客参考网上文档和博客,对基于网络服务器/主机的文件访问、共享协议进行简要总结,完整内容将会不断更新,以便加深理解和记忆
[运维] 服务器本地网络可用性检查脚本
欢迎来到Dangks的博客!
11-02 726
之前遇到登录远程终端后无法拉取网络资源的问题,以致于我常常在工作前需要先手动检查服务器网络情况,为了简化这项工作,我编写了一个简单的 Shell 脚本,这个脚本可以帮助我在工作前快速检测服务器网络连接情况,快速发现和定位网络问题。
项目模块1~12总结:服务器大模块梳理
qhy850716的博客
11-02 180
分析完通信套接字的回调函数后分析监听套接字的读回调,监听套接字需要对接收的通信套接字进行处理(用 Connection 管理,设置通信套接字的5种回调,开启超时连接销毁,启动连接,添加连接),处理的过程中就有设置通信套接字的5种回调,所以这就是为什么 TcpServer 模块也要有传入外部4个回调函数的原因。总结:外部传入的是三个回调函数:连接建立,连接关闭,业务处理,用于设置 TcpServer 模块内部的监听套接字读回调和通信套接字的5种回调:读,写,任意,错误,关闭。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值