安全防御,防火墙配置NAT转换智能选举综合实验

一、实验拓扑图

二、实验需求

1、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)

2、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

3、多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;

4、分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;

5、游客区仅能通过移动链路访问互联网

三、实验大致思路

1.设备的接口ip地址要配置全面,包括新增的设备的ip地址,同时做好防火墙FW2的网络配置

2.会做NAT转换,包括多对多,双向,以及智能选路策略

3.进行服务测试,验证策略是否配置正确

四、实验步骤

1、防火墙的相关配置

FW2配置:

连接ISP的接口:

选中ping选项,便于测试!!!

2、ISP的配置

2.1 接口ip地址配置:

3、新增设备地址配置

只展示以上部分的设备的配置,ip地址合理分配即可!!!

4、多对多的NAT策略配置,但是要保存一个公网ip不能用来转换,使得办公区的部分设备可以通过电信或者移动连理进行上网

4.1 在FW1上新建电信和移动的安全区域
4.2 修改FW1的g1/0/2和g1/0/3的区域
4.3 (需求1)做NAT策略,并保留一个公网地址不能用来转换使得办公区的部分设备可以通过电信或者移动连理进行上网

新创建一个源地址转池:将配置黑洞路由勾选(防止路由环路,还可以引入到OSPF等动态路由协议中发布出去),取消勾选允许端口地址转换(我们要配置多对多的NAT抓换和源地址转换,如果勾选端口地址转换就会让其变成了端口影射)

关于NAT的安全策略

NAT策略:

4.3.1 测试办公区PC是否可以访问ISP的环回(外网):

可以发现,策略成功,并且通过查看防火墙的server-map表可以发现,流量是走的电信的链路!!

用clinet ping 1.1.1.1

依旧走的是电信的12.0.0.4

用client5去ping 1.1.1.1

此次走的是移动的21.0.0.3的链路!!! 测试成功!!

5、(需求2)在FW2上做源NAT,在FW1上做目标NAT,使得分公司的设备通过总公司的移动或者电信链路访问DMZ的http服务器

5.1 FW2新建源地址池,安全策略,NAT策略

源地址池:

安全策略:

NAT策略:

5.2 FW1上做目标NAT

安全策略:

NAT策略:

测试:

6、(需求3)智能选路,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;

6.1、修改子接口

新建链路接口:

测试:

在g1/0/2口抓包:

7、(需求四)分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;

7.1 FW2上做双向NAT

测试:

8、 (需求五)游客区仅能通过移动链路访问互联网

测试:

相关推荐
李子红了时1 小时前
【墨铺网教程】一台电脑加入多个局域网,让电脑做上传下载主力又当存储盘
运维·服务器·电脑
Black蜡笔小新2 小时前
赋能智慧货运:视频汇聚平台EasyCVR打造货运汽车安全互联网视频监控与管理方案
网络·汽车·音视频
Awkwardx3 小时前
Linux系统编程—线程同步与互斥
linux·服务器
NewCarRen4 小时前
整合STPA、ISO 26262与SOTIF的自动驾驶安全需求推导与验证
人工智能·安全·自动驾驶·预期功能安全
芯盾时代4 小时前
低空经济网络安全体系
安全·web安全
鹿鸣天涯4 小时前
关于进一步做好网络安全等级保护有关工作的问题释疑-【二级以上系统重新备案】、【备案证明有效期三年】
网络·安全·web安全
周杰伦_Jay4 小时前
【网络核心协议全景解析】IP、TCP、UDP与HTTP(多表格深度对比)
网络·tcp/ip·udp
00后程序员张5 小时前
如何提高 IPA 安全性 多工具组合打造可复用的 iOS 加固与反编译防护体系(IPA 安全 iOS 加固 无源码混淆 Ipa Guard 实战)
android·安全·ios·小程序·uni-app·iphone·webview
小妖同学学AI5 小时前
Rust 深度解析:变量、可变性与所有权的“安全边界”
开发语言·安全·rust
duration~5 小时前
TCP 首部格式
网络·网络协议·tcp/ip