下一代防火墙混合模式部署

实验设备

1、 山石网科(hillstone)系列下一代防火墙(实训平台v1.0中hillstone设备)

2、 三层交换机一台(实训平台v1.0中cisco vios l2设备)

3、 二层交换机一台(实训平台v1.0中cisco iol switch设备)

4、 路由器一台,用来模拟web服务器(实训平台v1.0中cisco iol设备或者cisco vIOS

设备)

5、 vpc 一台 (实训平台v1.0中virtual pc设备)

6、 增加一个网络net:cloud0

实验拓扑图

实验目的

  1. 了解NGAF有几种部署模式以及每种部署模式适用场景;

  2. 能根据客户不同场景选择恰当的部署模式并独立完成部署配置。

实验需求、步骤及配置

vpc配置,指定vpc主机ip为192.168.10.1,网关为192.168.10.254:

VPCS> ip 192.168.10.1 255.255.255.0 192.168.10.254

VPCS> ip dns 114.114.114.114 指定dns服务器

接入层交换机IOL_SW的配置:

Switch(config)#vlan 10

Switch(config-vlan)#exit

Switch(config)#interface e0/0

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 10

Switch(config-if)#exit

Switch(config)#interface e0/1

Switch(config-if)#switchport trunk encapsulation dot1q

Switch(config-if)#switchport mode trunk

核心/汇聚层交换机vIOS_SW配置

Switch(config)#vlan 10

Switch(config-vlan)#exit

Switch(config)#interface g0/0

Switch(config-if)#switchport trunk encapsulation dot1q

Switch(config-if)#switchport mode trunk

Switch(config-if)#exit

Switch(config)#ip routing 启动路由功能

Switch(config)#interface vlan10

Switch(config-if)#ip address 192.168.10.254 255.255.255.0

Switch(config-if)#no shut

Switch(config)#interface g0/1

Switch(config-if)#no switchport 改为三层接口

Switch(config-if)#no shutdown

Switch(config-if)#ip address 10.1.1.1 255.255.255.252

Switch(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2 配置上网的缺省路由,下一跳为防火墙

接口e0/1 IP

下一代防火墙的配置:

基本配置:修改e0/0口属性为管理口且采用http管理方式,默认启动DHCP。

login: hillstone //用户名和密码都为hillstone

(进入要设置新密码(min@123))

password:

SG-6000# conf

SG-6000(config)# interface e0/0

SG-6000(config-if-eth0/0)# manage http

SG-6000(config-if-eth0/0)# show interface 查看e0/0自动获得的IP地址,为管理IP

接下来,在物理主机上,通过浏览器访问管理IP,使用图形化管理下一代防火墙:

创建安全区域,下一代防火墙默认已创建多个安全区域,如需自定义区域,可

以如图新建安全区域:

配置e0/2接口:绑定安全区域为L2二层安全区域(网桥模式)等:

配置e0/1接口:绑定安全区域为trust三层安全区域(路由模式)、IP地址等:

配置e0/0接口:修改绑定安全区域为L2-untrust二层安全区域(网桥模式)等:

注意:此时e0/0变为二层接口,之前的管理IP会被清除,需回到命令行配置vswitchif1接

口,作为网桥的管理接口及新管理IP,与公网区域及服务器区属于同一子网(vswitchif1同

时也作为路由模式的untrust区域接口,与E0/1接口成为路由模式的进\出接口。)

SG-6000#conf

SG-6000(config)# interface vswitchif1

SG-6000(config-if-vsw1)# zone untrust 绑定为三层untrust区域

SG-6000(config-if-vsw1)# ip address dhcp setroute 自动从网络net获取IP,并获得默认路由

SG-6000(config-if-vsw1)# no shutdown

SG-6000(config-if-vsw1)# manage http 开启http管理

SG-6000(config-if-vsw1)# show interface 查看vswitchif1自动获得的IP地址,为新管理IP

在物理主机上,通过浏览器访问新管理IP

为路由模式,配置路由,包括回程路由和缺省路由(通过vswitchif1接口dhcp

已经获得)

为路由模式,配置源NAT策略(即动态NAT),实现内网vpc上公网需求:

为路由模式,配置安全策略即包过滤策略(默认拒绝区域间访问),配置策略

让内网网段可以访问公网,即e0/1区域访问vswitchif1区域,而vswitchif1区域与公网、

服务器区同为一个三层untrust区。

接下来测试内网vpc主机是否可以上公网,如图代表ok:

至此,在混合模式部署的防火墙中,实现内网通过路由模式上公网,接下来实现公

网用户通过网桥模式与服务器区进行正常业务转发,此时公网与服务器仅通过一个网桥模式

进行互联,故防火墙无需路由配置和NAT配置,仅需配置安全策略,允许L2-untrust区域访

问L2-dmz区域:

完成服务器区配置,用路由器模拟一台开启TCP 80端口的web服务器:

Router(config)#interface e0/0

Router(config-if)#ip add 192.168.142.135 255.255.255.0 配置为vswitchif1同网段IP

Router(config-if)#no shut

Router(config)#no ip routing 关闭路由功能,模拟一台服务器主机

Router(config)#ip default-gateway 192.168.142.2 给主机配置默认网关,与防火墙中缺省

路由的下一跳一样。

Router(config)#ip name-server 114.114.114.114 给主机配置dns服务器

Router(config)#ip http server 开启80端口

为网桥模式,配置安全策略,让公网用户可以访问服务器区web服务:

接下来,在物理主机上,测试是否可以访问服务器web,如图:

或者直接浏览器访问测试:

提示路由器http访问需要用户名,则代表服务访问OK。

相关推荐
乌托邦的逃亡者2 小时前
Docker的/var/lib/docker/目录占用100%的处理方法
运维·docker·容器
ldj20202 小时前
Jenkins 流水线配置
运维·jenkins
古希腊数通小白(ip在学)4 小时前
stp拓扑变化分类
运维·服务器·网络·智能路由器
Muxiyale5 小时前
使用spring发送邮件,部署ECS服务器
java·服务器·spring
12点一刻6 小时前
搭建自动化工作流:探寻解放双手的有效方案(2)
运维·人工智能·自动化·deepseek
未来之窗软件服务6 小时前
东方仙盟AI数据中间件使用教程:开启数据交互与自动化应用新时代——仙盟创梦IDE
运维·人工智能·自动化·仙盟创梦ide·东方仙盟·阿雪技术观
FreeBuf_7 小时前
微软365 PDF导出功能存在本地文件包含漏洞,可泄露敏感服务器数据
服务器·microsoft·pdf
lixzest7 小时前
C++ Lambda 表达式详解
服务器·开发语言·c++·算法
o不ok!7 小时前
Linux面试问题-软件测试
linux·运维·服务器
小小不董9 小时前
深入理解oracle ADG和RAC
linux·服务器·数据库·oracle·dba