安全防御,防火墙配置NAT转换智能选举综合实验

一、实验拓扑图

二、实验需求

1、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)

2、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

3、多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;

4、分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;

5、游客区仅能通过移动链路访问互联网

三、实验大致思路

1.设备的接口ip地址要配置全面,包括新增的设备的ip地址,同时做好防火墙FW2的网络配置

2.会做NAT转换,包括多对多,双向,以及智能选路策略

3.进行服务测试,验证策略是否配置正确

四、实验步骤

1、防火墙的相关配置

FW2配置:

连接ISP的接口:

选中ping选项,便于测试!!!

2、ISP的配置

2.1 接口ip地址配置:

3、新增设备地址配置

只展示以上部分的设备的配置,ip地址合理分配即可!!!

4、多对多的NAT策略配置,但是要保存一个公网ip不能用来转换,使得办公区的部分设备可以通过电信或者移动连理进行上网

4.1 在FW1上新建电信和移动的安全区域
4.2 修改FW1的g1/0/2和g1/0/3的区域
4.3 (需求1)做NAT策略,并保留一个公网地址不能用来转换使得办公区的部分设备可以通过电信或者移动连理进行上网

新创建一个源地址转池:将配置黑洞路由勾选(防止路由环路,还可以引入到OSPF等动态路由协议中发布出去),取消勾选允许端口地址转换(我们要配置多对多的NAT抓换和源地址转换,如果勾选端口地址转换就会让其变成了端口影射)

关于NAT的安全策略

NAT策略:

4.3.1 测试办公区PC是否可以访问ISP的环回(外网):

可以发现,策略成功,并且通过查看防火墙的server-map表可以发现,流量是走的电信的链路!!

用clinet ping 1.1.1.1

依旧走的是电信的12.0.0.4

用client5去ping 1.1.1.1

此次走的是移动的21.0.0.3的链路!!! 测试成功!!

5、(需求2)在FW2上做源NAT,在FW1上做目标NAT,使得分公司的设备通过总公司的移动或者电信链路访问DMZ的http服务器

5.1 FW2新建源地址池,安全策略,NAT策略

源地址池:

安全策略:

NAT策略:

5.2 FW1上做目标NAT

安全策略:

NAT策略:

测试:

6、(需求3)智能选路,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;

6.1、修改子接口

新建链路接口:

测试:

在g1/0/2口抓包:

7、(需求四)分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;

7.1 FW2上做双向NAT

测试:

8、 (需求五)游客区仅能通过移动链路访问互联网

测试:

相关推荐
心灵宝贝28 分钟前
libopenssl1_0_0-1.0.2p-3.49.1.x86_64安装教程(RPM包手动安装步骤+依赖解决附安装包下载)
linux·运维·服务器
数据知道32 分钟前
Go语言:数据压缩与解压详解
服务器·开发语言·网络·后端·golang·go语言
沐浴露z1 小时前
【深入理解计算机网络05】数据链路层:组帧,差错控制,流量控制与可靠传输
网络·计算机网络·网络编程·408
galaxylove2 小时前
Gartner发布网络弹性指南:将业务影响评估(BIA)嵌入网络弹性策略的核心,重点保护基础设施和关键业务系统
网络·安全·web安全
未来之窗软件服务2 小时前
操作系统应用开发(二十三)RustDesk ng反向代理—东方仙盟筑基期
服务器·远程桌面·仙盟创梦ide·东方仙盟·rustdek
山,离天三尺三2 小时前
基于LINUX平台使用C语言实现MQTT协议连接华为云平台(IOT)(网络编程)
linux·c语言·开发语言·网络·物联网·算法·华为云
是垚不是土2 小时前
Prometheus接入“飞书“实现自动化告警
运维·安全·自动化·github·飞书·prometheus
全栈工程师修炼日记4 小时前
ARMv8系统的安全性(一):安全目标是什么?
安全·trustzone·armv8
未来之窗软件服务4 小时前
操作系统应用开发(二十四)RustDesk 404错误—东方仙盟筑基期
服务器·远程桌面·仙盟创梦ide·东方仙盟·rustdek
爱隐身的官人5 小时前
JAVA代码审计总结
java·网络·安全