安全防御实验2

一、实验拓扑

二、实验要求

  • 办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
  • 分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
  • 多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%
  • 分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器
  • 游客区仅能通过移动链路访问互联网

三、实验思路

  • 新建NAT策略,做从办公区的NAT经过移动和电信上网
  • 在总公司上配置端口映射,基于12.0.0.2和21.0.0.2与私网的10.0.3.10的映射关系;然后在fw2上配置NAT策略
  • 禁止通过移动端的10.0.2.10的安全策略;多出口环境基于带宽比例进行选路,链路开启过载保护,保护阈值80%
  • 公网与分公司做个端到端的目标NAT;分公司内部通过公网域名访问内部服务器
  • 游客区写一条NAT(只针对移动做一条easy ip)

四、实验步骤

配IP地址和环回测试
复制代码
[R1-GigabitEthernet0/0/0]ip add 12.0.0.2 24

[R1-GigabitEthernet0/0/2]ip add 21.0.0.2 24
网关配置
复制代码
[r1-GigabitEthernet4/0/0]ip add 100.0.0.1 24
配置到电信的NAT策略和安全策略
配置服务器映射
配置分公司防火墙

测试

多出口环境选路,开启过载保护

多出口环境基于带宽比例进行选路,但是,办公区中10.0.1.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%

使用策略路由禁止访问移动
分公司内部通过公网域名访问内部服务器

配置DNS服务器

测试

分公司服务器

公网客户端

游客区写NAT(通过移动链路访问互联网)
相关推荐
xixixi777778 小时前
产业全景解读:太空算力、国产芯、国产大模型、6G 空天地、AI 可信身份、后量子安全多线全面突破
人工智能·安全·ai·大模型·数据中心·通信·运营商
m0_466525298 小时前
新品发布 | 绿盟安全智算一体机,构建“算力、调度、安全“深度融合的AI基础设施
人工智能·安全
hz567898 小时前
内网视频会议系统建设方案:适合政企单位的安全会议选择
安全·云计算·音视频·实时音视频·信息与通信
2603_954708319 小时前
全维度容错设计,打造微电网安全运行屏障
服务器·网络·数据库·人工智能·分布式·安全
冰茶丿10 小时前
嵌入式安全第一关:Secure Boot是怎么保护你的设备的?
嵌入式硬件·安全
长风23012 小时前
Day14: 极限异常演练 —— 验证系统韧性与错误告警生成
人工智能·安全
技术不好的崎鸣同学14 小时前
Windows 命令提示符(CMD)恶意脚本分析篇
网络·windows·安全·系统安全
Sagittarius_A*14 小时前
Docker:渗透前置容器化核心基础
运维·安全·docker·容器
孟郎郎14 小时前
AI 辅助开发编程敏感信息保护安全规范
人工智能·安全·ai·风险·隐患
iDao技术魔方15 小时前
Node.js v26.5.0 深度解读:import Text、流式 ReadableStreamTee、以及隐藏的安全加固浪潮
安全·node.js