旁挂式防火墙（USG6000V）实验

实验拓扑图

 实验目的和需求

目的：

        掌握在旁挂式防火墙的配置，使内网用户感知不到防火墙的存在，增强网络安全性。

需求：

1. 将内网用户访问外网的流量（回包）重定向到防火墙上。流量具体走向为：内网用户-->AR1-->服务器-->AR1-->FW1-->AR1-->内网用户。
2. 使用DHCP分发内网地址
3. Client1能获取到服务器的网页。

实验步骤

1. 按照实验拓扑图，搭建实验环境，连接路由器、PC机、服务器、防火墙、等设备。在路由器上配置DHCP服务，配置防火墙和路由器的接口地址和路由。
2. 在防火墙上划分安全区域，将接口（GE1/0/0)加入trust区域，将接口（GE1/0/1)加入DMZ区域。
3. 在防火墙上设置安全策略，允许或禁止不同区域之间的流量访问：
   允许dmz区域到trust区域的部分流量访问
   允许trust区域到dmz区域的访问
   其他流量默认拒绝
4. 在AR1配置策略，重定向流量的走向。
5. 验证实验结果，通过ping命令或者客户端获取网页，来观察流量走向。

1.按照实验拓扑图，搭建实验环境，连接路由器、PC机、服务器、防火墙、等设备。在路由器上配置DHCP服务，配置防火墙和路由器的接口地址和路由。 

AR1的接口ip配置如下：

GigabitEthernet0/0/0              100.1.1.254/24        
GigabitEthernet0/0/1              23.1.1.1/24         
GigabitEthernet0/0/2              12.1.1.1/24            
GigabitEthernet4/0/0              172.16.1.254/24            
GigabitEthernet4/0/1              172.17.1.254/24

dhcp服务配置命令如下：

[r1]interface GigabitEthernet4/0/1
 dhcp select interface

防火墙的ip地址配置如下：

GigabitEthernet1/0/0              23.1.1.2/24                
GigabitEthernet1/0/1              12.1.1.2/24      

防火墙的静态路由配置命令如下：

ip route-static 172.16.1.0 255.255.255.0 23.1.1.1
ip route-static 172.17.1.0 255.255.255.0 23.1.1.1

服务器的ip地址配置如下：

 客户端的ip地址配置如下：

 2.在防火墙上划分安全区域，将接口（GE1/0/0)加入trust区域，将接口（GE1/0/1)加入DMZ区域。

命令如下：

firewall zone trust
 add interface GigabitEthernet1/0/0
#
firewall zone dmz
 add interface GigabitEthernet1/0/1

3.在防火墙上设置安全策略，允许或禁止不同区域之间的流量访问

配置命令如下：

security-policy             
 rule name dtot
  source-zone dmz
  destination-zone trust
  service http               
  service icmp
  service tcp
  action permit
  qui
#
 rule name ttod
  source-zone trust
  destination-zone dmz
  action permit

4.在AR1配置策略，重定向流量的走向。

acl配置命令如下：

acl number 3000  
 rule 5 permit tcp source 100.1.1.1 0 source-port eq www destination 172.16.1.1 0 
 rule 10 permit icmp source 100.1.1.1 0

流行为配置命令如下：

traffic behavior 1
 redirect ip-nexthop 12.1.1.2

定义一个流类，配置命令如下：

traffic classifier 1
  if-match acl 3000

流策略配置，绑定流类和流行为，命令如下：

traffic policy 1
 classifier 1 behavior 1

配置完成后，先ping一下防火墙的12.1.1.2接口，让路由器有12.1.1.2的arp缓存。

[r1]ping 12.1.1.2 

查看arp表：

[r1]dis arp brief 
IP ADDRESS      MAC ADDRESS    EXPIRE(M) TYPE  INTERFACE           VLAN/CEVLAN 
------------------------------------------------------------------------------
100.1.1.254     00e0-fc55-67df           I -   GE0/0/0
100.1.1.1       5489-9883-4679 17        D-0   GE0/0/0
23.1.1.1        00e0-fc55-67e0           I -   GE0/0/1
23.1.1.2        00e0-fc5c-678c 4         D-0   GE0/0/1
12.1.1.1        00e0-fc55-67e1           I -   GE0/0/2
12.1.1.2        00e0-fc5c-678d 5         D-0   GE0/0/2
172.16.1.254    00e0-fc5f-67df           I -   GE4/0/0
172.16.1.1      5489-985c-6f8d 17        D-0   GE4/0/0
172.17.1.254    00e0-fc5f-67e0           I -   GE4/0/1

在出接口上应用流策略：

interface GigabitEthernet0/0/0
 traffic-policy 1 inbound 

5.验证实验结果，通过ping命令或者客户端获取网页，来观察流量走向。

在服务器上开启http服务：

 

让客户端去获取网页，获取成功。

 抓路由器上的GE0/0/2口的流量，没有问题。

在pc上tracert 100.1.1.1，tracert命令无法追踪到防火墙的IP地址，只能看到路由器的IP地址。

实验总结

本实验通过配置旁挂式防火墙，实现了内网用户访问外网的安全过滤功能。通过配置策略路由，将内网用户访问外网的流量（回包）重定向到防火墙上，使流量经过防火墙的安全检测后再返回交换机。通过配置DHCP服务，为内网用户分配IP地址。通过配置安全策略，控制不同区域之间的流量访问权限。本实验加深了对旁挂式防火墙的理解和应用，提高了网络安全性。