【自学安全防御】二、防火墙NAT智能选路综合实验

Vanilla-li2024-07-19 11:45

任务要求:

(衔接上一个实验所以从第七点开始,但与上一个实验关系不大)

7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)

8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

9,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;

10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;

11,游客区仅能通过移动链路访问互联网

实验拓扑:

实验步骤:

七、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)

1、完成实验拓扑部署,使web界面管理防火墙配置(上一个实验第一个步骤有写过程)

2、在FW1上 ,将所有接口的防火墙配置IP配置好,在配置缺省路由使最好把源进源出勾上,如下:

3、查看路路由表是否有问题,检查缺省路由是否开了没,并且项目NAT策略时设置地址池使要勾选黑洞路由,看是否存在黑洞路由,如下:

4、建立安全区域,如下:

5、将防火墙g1/0/1和g1/0/2分别绑定到电信和移动链路,配置如下:

将上网目标IP写入文件中,如下:

6、配置NAT策略,需要注意的是在地址池配置完成后,需要点击新建安全策略 ,使防火墙放行流量才能再做NAT转换,配置如下:

1)在配置地址池时需要注意一下就是要勾选黑洞路由,然后在高级配置中添加一个保留IP12.0.0.6(地址池中的任一一个IP),如下:

8、结果测试:

1)将公网100.0.0.10的httpserver服务打开,用办公区client7访问服务,发现服务访问成功。

2)看NAT策略命中情况,发现成功命中。

3)抓防火墙FW1的g0/0/1和g0/0/2接口的流量,发现电信链路和移动链路都有流量流出,即而且转换地址是12.0.0.5(非预留地址),综上:实验7完成。

八、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

1、在FW2上,添加FL安全域,代表分公司网络区,如下:

2、配置好接口IP及网关,如下:

3、在FW2上做NAT策略,做个easy ip 即可,并自动生成安全策略,如下:

4、在FW2上,配置NAT策略,开放DMZ区的httpserver,使用服务器映射,即公网端口与私网端口一对一转换,在电信链路和移动链路上分别做一个NAT策略,并且自动生成安全策略,(注意这个过程是先转换地址再进行安全策略)如下:

5、结果测试:

1.)用client6访问12.0.0.2的80端口,访问成功:

2)在FW1上,查看会话表,发现地址转换成功,(此时走的的电信链路)如下:

3)使client6访问21.0.0.2的80端口,访问成功,如下:

4)在FW1上,查看会话表,发现地址转换成功,(此时走的的移动链路)如下:

5)在FW1和FW2上看看NAT策略匹配情况,发现全部NAT策略都可被匹配,实验完成,如下:

FW1:

FW2:

九、多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;

1、在FW1中,找到网络,路由,智能选路,点击配置,选择根据宽带负载分担,新建电信和移动链路,如下:

2、在接口中,点击g1/0/1和g1/0/2,写入入方向宽带和出方向宽带,设置过载保护阈值80%,如下:

3、配置NAT策略,源地址写10.0.0.2,出接口为g1/0/1 TODX,注意:需要把之前移动链路绑定的移动地址库的IP删掉,不然实验不成功,因为如果电信和移动的地址库一样,就会使出去访问互联网的数据流均负载分担,所以得选两个出口,与题目要求不符,建议直接把电信和移动的地址库删掉,才能实现流量根据链路带宽分担。

4、配置路由策略,位置如下:

5、结果测试:

1)安全策略成功匹配,如下:

2)NAT策略成功匹配,如下:

3)会话表显示10.0.2.10从电信口出,如下:

十、分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;

1、在FW2上,写NAT策略,地址转换方式为双向地址转换,源为FL区域目标IP为23.0.0.2,使分公司内网IP先访问FW2,转换源IP为192.168.1.0即出接口g1/0/1,同时目标IP装换为服务器内网IP,因为是域名访问,此时FW2防火墙并不知道此域名对应的IP是什么,所以接下来要去额外做一个NAT策略去访问DNS服务器,(无需自动添加安全策略)如下:

2、加一个NAT策略,使访问外网的DNS服务器,并且自动添加安全策略,配置如下:


3、最重要的就是一定要给客户端加上DNS地址,如下:

4、写NAT策略,使外网访问内网服务器(底部80端口),并自动生成安全策略,如下:

5、结果测试,用分别用内网和外网访问服务器域名,均成功:

十一:游客区仅能通过移动链路访问互联网

1、在FW1,上做NAT策略,并自动生成安全策略,如下:

2、找到网络,点击路由--->智能路由--->策略路由->新建,配置如下:


3、结果测试:

1)用游客区client4访问公网服务器100.0.0.100,访问成功,如下:

2)、查看NAT策略匹配情况,成功匹配,如下:

3)看会话表,成功匹配安全策略,并从移动链路出,如下:


到这里实验就完成了,恭喜大家,哈哈哈!!!
继续加油吧!!

相关推荐
用户9623779544818 小时前
DVWA 靶场实验报告 (High Level)
安全
数据智能老司机21 小时前
用于进攻性网络安全的智能体 AI——在 n8n 中构建你的第一个 AI 工作流
人工智能·安全·agent
数据智能老司机21 小时前
用于进攻性网络安全的智能体 AI——智能体 AI 入门
人工智能·安全·agent
用户962377954481 天前
DVWA 靶场实验报告 (Medium Level)
安全
red1giant_star1 天前
S2-067 漏洞复现:Struts2 S2-067 文件上传路径穿越漏洞
安全
用户962377954481 天前
DVWA Weak Session IDs High 的 Cookie dvwaSession 为什么刷新不出来?
安全
YuMiao1 天前
gstatic连接问题导致Google Gemini / Studio页面乱码或图标缺失问题
服务器·网络协议
不可能的是2 天前
前端 SSE 流式请求三种实现方案全解析
前端·http
cipher3 天前
ERC-4626 通胀攻击:DeFi 金库的"捐款陷阱"
前端·后端·安全
Jony_4 天前
高可用移动网络连接
网络协议
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03OpenClaw + 飞书(Feishu)环境搭建指南04Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services05OpenClaw优化飞书API 额度已耗尽问题06Window 10部署openclaw报错node.exe : npm error code 12807Clawdbot部署教程:解决‘gateway token missing’授权问题的完整步骤08小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)09OpenClaw大龙虾机器人完整安装教程10网站改了域名,如何查找?