防火墙虚拟系统实验

于 2025-03-14 15:56:20 发布
阅读量148 收藏
点赞数 3
文章标签: 安全防御 虚拟系统 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_74874800/article/details/146259526
版权

防火墙虚拟系统实验

一、实验拓扑

在这里插入图片描述

二、需求

安全策略要求:
1、只存在一个公网IP地址,公司内网所有部门都需要借用同一个接口访问外网
2、财务部禁止访问Internet,研发部门只有部分员工可以访问Internet,行政部门全部可以访问互联网
3、为三个部门的虚拟系统分配相同的资源类

三、配置思路

1、由根系统管理员创建虚拟系统abc并且为其分配资源以及配置管理员
2、根系统管理员为内网用户创建安全策略和NAT策略
3、由abc三个虚拟系统各自完成IP、路由、安全策略配置

四、配置

1、命令行
#配置IP
FW:
	int g 1/0/1
	ip ad 10.3.0.254 24
	int g 1/0/2
	ip ad  10.3.1.254 24
	int g 1/0/3
	ip ad 10.3.2.254 24
	int g 1/0/0
	ip ad 11.1.1.1 24
	int v 1
	ip ad 172.16.1.1 24
R1:
	int 0/0/0
	ip ad 11.1.1.2 24
	int  l 0-----进入环回接口0 
	ip ad 100.1.1.1 24
PC1:
	ip ad 10.3.0.1 24
PC2:
	ip ad 10.3.1.1 24
PC3:
	ip ad 10.3.2.1 24

#开启虚拟系统
FW:
	vsys enable

#创建资源类
FW:
	resource-class r1-----创建资源类r1
	resource-item-limit session resverved-number 500 maximum 1000-----设定会话数保证 值与最大值
	resource-item-limit policy resverved-number 200-----设置策略数200
	resource-item-limit user resverved-number 100-----限制用户数100
	resource-item-limit bandwidth 2 outbound-----设置出方向带宽2Mbps

	resource-class r2-----创建资源类r2
	resource-item-limit session resverved-number 500 maximum 1000
	resource-item-limit policy resverved-number 200
	resource-item-limit user resverved-number 100
	resource-item-limit bandwidth 2 outbound

	resource-class r3-----创建资源类r3
	resource-item-limit session resverved-number 500 maximum 1000
	resource-item-limit policy resverved-number 200
	resource-item-limit user resverved-number 100
	resource-item-limit bandwidth 2 outbound
	
#接入虚拟系统
FW:
	vsys name vsysa ---创建虚拟系统,名称为vsysa
	assign resource-class r1 ---设定使用的资源类
	assign interface GigabitEthernet 1/0/1 ---将接口划入虚拟系统

	vsys name vsysb 
	assign resource-class r2 
	assign interface GigabitEthernet 1/0/2

	vsys name vsysc 
	assign resource-class r3 
	assign interface GigabitEthernet 1/0/3
	
#配置管理员
FW:
	switch vsys vsysa-----切换vsysa系统中
	aaa
	manager-user admin@@vsysa-----创建vsysa虚拟系统管理员,@@其固定值,前为用户名,后为虚拟系统名称
	password-----配置密码,需要输入两次(先设置后确认),密码不会显示---admin@123
	level 15-----设定权限
	service-type web telnet ssh-----设定登录服务,一般选择ssh和web即可
	quit-----需要退出一步
	bind manager-user admin@@vsysa role system-admin-----定义admin@@vsysa用户为系统管理员

#配置根策略
FW:
	#安全策略
	security-policy 
	rule name to_internet
	source-zone trust 
	destination-zone untrust 
	action permit

	#nat策略:
	nat-policy
	rule name nat1
	source-zone trust 
	egress-interface GigabitEthernet 1/0/0
	source-address 10.3.0.0 16
	action source-nat easy-ip 
#配置虚拟系统
#a
FW:
	switch vsys vsysa      
	int Virtual-if 1
	ip add 172.16.1.1 24

	#安全区域:
	firewall zone trust 
	add int g 1/0/1
	firewall zone untrust     
	add int Virtual-if 1

	#路由:
	ip route-static 0.0.0.0 0 public 

	#地址组:
	ip address-set ip_add01 type object 
	add range 10.3.0.1 10.3.0.10

	#策略:
	security-policy
	rule name to_vsysb
	source-zone trust
	destination-zone untrust
	source-address 10.3.0.0 mask 255.255.255.0
	destination-address 10.3.1.0 mask 255.255.255.0
	action permit
	
	rule name to_internet
	source-zone trust
	destination-zone untrust
	source-address 10.3.2.0 mask 255.255.255.0
	source-address address-set ip_add01
	action permit
	  
	rule move to_vsysb before to_internet   ----移动规则

#b
FW:
	switch vsys vsysb
	int g 1/0/2
	ip add 10.3.1.254 24    
	int Virtual-if 2
	ip add 172.16.2.1 24

	#安全区域设置:
	firewall zone untrust 
	add interface Virtual-if 
	firewall zone trust 
	add int g 1/0/2

	#安全策略:
	security-policy
	rule name vsysa_tosource-zone untrust
	destination-zone trust
	source-address 10.3.0.0 mask 255.255.255.0
	destination-address 10.3.1.0 mask 255.255.255.0
	action permit

	#路由:
	ip route-static 0.0.0.0 0 public 

#c
FW:
	switch vsys vsysc
	int g 1/0/3
	ip add 10.3.2.254 24    
	int Virtual-if 3
	ip add 172.16.3.1 24

	#安全区域设置:
	firewall zone untrust 
	add interface Virtual-if 
	firewall zone trust 
	add int g 1/0/3

	#安全策略:
	security-policy
	rule name vsysa_tosource-zone untrust
	destination-zone trust
	destination-address 10.3.2.0 mask 255.255.255.0
	action permit

	#路由:
	ip route-static 0.0.0.0 0 public
2、云

在这里插入图片描述

在这里插入图片描述

资源类r2、r3同样配置

在这里插入图片描述

配置资源类r1
在这里插入图片描述

配置接口
在这里插入图片描述

r2、r3同理
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

易水寒181
关注
防火墙虚拟系统与交换机虚拟系统防火墙旁挂)
earthtoearth的博客
06-22 1461
3、路由规划:采用OSPF路由,交换机对应不同用户的虚拟系统VRF_A和VRF_B分布对应区域1和区域2,防火墙上的两个虚拟系统VRF_A和VRF_B分布对应区域1和区域2,防火墙上的根系统和路由器接口对应区域0。2、交换机与防火墙之间使用链路聚合,分别设置4个逻辑接口,这四个接口分别两两对应两个防火墙虚拟系统实例VRF_A和VRF_B,其中交换机侧使用VLANIF接口,防火墙侧使用子接口。在虚拟系统VRF_B中与在VRF_A总相同,此处省略............在虚拟系统中设置接口等内容。
防火墙虚拟系统综合实验1
earthtoearth的博客
08-13 1121
1、接口地址配置:防火墙接口地址外网为.12,内网虚拟墙侧均为.254,内网PC1和server均为.10,外网PC为.105,如图所示配置相应接口地址及终端地址。在根系统上配置路由使外网能够访问内网服务器端、使内网客户端访问内网服务器端,使内网能够访问外网。在两个虚拟系统设置路由使其能够访问根系统。3、nat server配置。虚拟系统连接服务器端。
防火墙虚拟系统
jc1112323的博客
10-09 2307
虚拟防火墙就是可以将一台防火墙在逻辑上划分成多台虚拟的防火墙,每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备。
防火墙设置模拟实验
jasmine1__的博客
07-24 517
5,生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次。4,办公区分为市场部和研发部,市场部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;1,DMZ区内的服务器,办公区仅能在办公时间内(9:00 - 18:00)可以访问,生产区的设备全天可以访问.游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123。
很好用的防火墙模拟
08-04
很好用的东西,模拟防火墙的相关端口,能使用常规的命令
linux防火墙模拟,linux防火墙之牛刀小试
weixin_31423295的博客
05-12 206
上一篇文章“iptables之语法初步”有说到iptables的基本命令,配合实际的操作指令应该可以实现基本的iptables操作。那么如果要实现将规则应用于实际的生产环境中,还需要了解以下的内容。匹配注意:? Ip地址或者主机名(主机名必须可以解析)? 端口号码或者是服务名字22 or ssh( 对应到/etc/service )? 排除可以用“!”iptables –A INPUT –s ! ...
eNSP:防火墙设置模拟公司配置(二)
qq_73704466的博客
07-12 1017
找到NAT 勾选NAT,选择办公到电信,填写公网电信的IP范围,并且配置上路由黑洞。办公设备可以通过电信连接和移动上网(多对多NAT,并且需要保留一个公网IP)这里选电信和移动,不用快速建立安全策略,因为我们之前已经建立了。分公司通过公网移动电信,访问DMZ的http服务器。点击下方高级,配置转换的个数范围和保留的IP地址。接下来给ISP设备配置静态路由,方便公司间的通讯。成功,现在我们来配置分公司的NAT和安全策略。并点击下方的安全策略,配置上安全策略(电信。除此之外,还要配置上我们的NAT,
HCIE-Datacom防火墙虚拟系统LAB实验手册
03-12
HCIE-Datacom防火墙虚拟系统LAB实验手册
防火墙综合实验
earthtoearth的博客
08-05 947
1、在交换机1和交换机2之间设立trunk链路trunk12包含g/0/21和g/0/22,设置为trunk接口并允许所有VLAN通过。5、将交换机1和交换机2的g/0/12端口设置为两台防火墙之间的心跳线,将VLAN设置为254,端口类型为access。4、将交换机3的g/0/1、g/0/2、g/0/3口设置为access接口并设置VLAN为10、20、100。2、将交换机1的g/0/23和交换机2的g/0/24设置为trunk接口并允许所有VLAN通过。
山石防火墙模拟
10-02
山石防火墙模拟器,想练习使用山石防火墙的小伙伴的福音。
防火墙介绍及使用思科模拟模拟
weixin_43263566的博客
12-22 3859
◆ 隔离网络将需要保护的网络与不可信任网络进行隔离,隐藏信息并进行安全防护数据来源透明网桥模式若用户不想改变原有的网络拓扑结构和设置,可以将防火墙设置成桥模式。在桥模式下,防火墙的各个网口所连接的网络相互之间的访问是透明的,所有网口设备将构成一个网桥。路由模式是防火墙的基本工作模式。在该模式下,防火墙的各个网口设备的IP地址都位于不同的网段。混杂模式指防火墙部分网口在路由模式下工作,部分网口在透明桥模式下工作,即某些子网之间以路由方式通信,而某些子网可以透明通信。DMZ区。
安全防御——二、ENSP防火墙实验学习
热门推荐
钟言的博客
11-04 1万+
本篇为安全防御——二、防火墙的基本概念以及配置,Web界面的配置,使用,详细内容包含了:防火墙接口以及模式配置 1、untrust区域 2、trust区域 3、DMZ区域 4、接口对演示 防火墙的策略 1、定义与原理 2、防火墙策略配置 2.1 安全策略工作流程 2.2 查询和创建会话3.实验策略配置 3.1 trust-to-untrust 3.2 trust-to-dmz 3.3 untrust-to-dmz 、防火墙的区域等等
华为模拟防火墙配置实验(二)
m0_74848570的博客
07-13 918
5,生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次。4,办公区分为市场部和研发部,市场部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;1,DMZ区内的服务器,办公区仅能在办公时间内(9:00 - 18:00)可以访问,生产区的设备全天可以访问.10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
无需关闭防火墙虚拟机配置静态IP
jinpeng741143592的博客
09-22 610
虚拟机配置静态IP 打开vm虚拟机,点击编辑,选择虚拟网络编辑器,选择vmnet8方式,设置子网ip,随意设置子网ip ,选择默认也行,看自己心情。点击NAT设置。 查看NAT设置中的子网掩码与网关,后面需要用到。 打开电脑设置找到网络设置,找到VMnet8网卡,进行设置,宿主机ip设置自行设置,看心情就好。默认网关与子网掩码需根据上一步保持一致。(下图备注手误,就不想改了,将就看吧...
锐捷防火墙(WEB)——地址映射(1对1 IP映射)、端口映射(1对多 端口映射)
君逍遥o
09-21 4596
如下图所示,用户已完成了防火墙基础配置,现在需要将内网的一台web服务器(192.168.1.2)需要全映射到外网口的地址(202.1.1.11),让外网的用户能访问到此服务器。 同时内网用户也可以用公网地址访问服务器。
防火墙虚拟系统实验操作
最新发布
2302_81651427的博客
03-12 951
在最上面选择系统,最左边选择虚拟系统下的子功能资源类,然后点击新建,就可以配置资源类,在按照要求创建资源类2和3,如下两图所示。在最上面选择系统,最左边选择虚拟系统下的子功能虚拟系统,然后点击新建,就可以新建一个虚拟系统,r2,r3。创建虚拟系统管理员,在切换虚拟系统后,点击最上面的系统,在在左边的管理员那,点击新建就可以创建管理员了。在根系统上,为vsysa系统配置静态路由,指向vsysb,算是从虚拟系统虚拟系统的访问l。创建vsysa虚拟系统管理员,@@为固定,前为用户名,后为虚拟系统名称。
ENSP防火墙虚拟网卡 web
02-23
为了成功完成ENSP防火墙虚拟网卡的Web配置,需先准备好相应的实验环境。这通常涉及下载并导入USG6000V的镜像包到eNSP软件中[^2]。 #### 添加云组件 在eNSP界面上通过添加云的方式引入虚拟网络适配器(即虚拟网卡)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值