防御保护第二次作业：基于ENSP防火墙NAT策略的应用

第二次作业要求：

7.办公区设备可以通过电信链路和移动链路上网(多对多的NAT，并且需要保留一个公网IP不能用来转换)
8.分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
9.多出口环境基于带宽比例进行选路，但是，办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护，保护阈值80%；
10.分公司内部的客户端可以通过域名访问到内部的服务器，公网设备也可以通过域名访问到分公司内部服务器；
11.游客区仅能通过移动链路访问互联网

 NAT的原理与作用

在开始这次实验具体步骤前，我们先对3种转换类型进行解释 ：

1.只转换源地址：
        当内部的数据包到达防火墙后，防火墙会将数据包中的源地址转换成某个公网IP，然后达到网通的作用

2.只转换目的地址：
        当外部数据包到达防火墙后，防火墙会将数据包中的目的地址转换成内部的某个地址，（这个地址一般是服务器的）从而实现了公网的人可以访问内部的服务器

3.两个都转换：
        1：内部服务器A发送的包会到防火墙（这个包源是IP_A,目标是IP_公网，因为是域名，所以给DNS服务器转化成了公网IP）

        2：防火墙转化目标地址（B的地址），同时也会转化源地址为自己的内网接口IP地址，然后将这个包发送给内部服务器B（这个给B包的源地址是IP_防火墙，目标地址是IP_B）

        3：服务器B收到后以自己的IP为源地址给防火墙回包（这个B给的包的源是地址是IP_B,目标是IP_防火墙）

        4：防火墙收到B的包，这个包的源是地址是IP_B,目标是IP_防火墙，此时防火墙再次转化将源改为IP_公网，目标是IP_A

        5：A收到后完成！，注意这里是先匹配NAT在匹配路由转发

实验过程 

FW1防火墙建立NAT策略

办公区可以出去

子公司可以访问内部HTTPServer

FW1限制10.0.2.10访问移动在这里要注意策略的顺序，一般越精细的策略越上面，然后这条是精确到了这个IP访问外网的移动 

FW1过载保护 FW2外部可以访问内部的HTTPServer FW2配置两个都转换实现可以通过域名访问自己的服务器 

配置公网的DNS服务器内部自己通过域名访问自己的服务器子公司电信访问主公司的服务器

子公司移动访问主公司服务器