防火墙综合实验之NAT和智能选路

目录

前言:

一、实验题目

二、实验操作

需求一

需求二

需求三

需求四、需求五

需求六

需求七

​编辑

需求八

需求九

需求十

需求十一

三、需求测试


前言:

        本篇文章是延续上一篇文章,简单来说就是防火墙实验的完善和延续,本次主要完善的模块是内外网的NAT转换以及如何通过策略进行智能选路,我们的实验图也会拓展好公网和分公司部分的内容,当然,为了更好的让大家理解,我也会将所有需求再写一遍。

一、实验题目

1,DMZ区内的服务器,办公区仅能在办公时间内(9:00 - 18:00)可以访问,生产区的设备全   天可以访问.
2,生产区不允许访问互联网,办公区和游客区允许访问互联网
3,办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4,办公区分为市场部和研发部,市场部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123
5,生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次
登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
6,创建一个自定义管理员,要求不能拥有系统管理的功能
7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用 来转换)
8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
9,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
11,游客区仅能通过移动链路访问互联网

二、实验操作

首先我们将防火墙与互联网的映射关系通过ensp里面的cloud配置好,然后再浏览器中登录192.168.10.1:8443域名,这样就可以进入防火墙的可视化界面。

进入后的可视化界面如下图所示:

我们可以看到,该界面有策略、对象、网络等模块,这些就是我们要重点配置的地方。

我们先将系统中的时钟配置调整为与PC端一致,以便于后续操作。

在实验拓扑图中,我们可以看到一共分为好几个区域,所以第一步我们要将这几个安全区域新建出来,在防火墙中自带local/trust/untrust/dmz区域,所以我们只要新建生产区与办公区、游客区即可,内网连接LSP的两条链路(电信与移动)可以分配至不信任区域。

防火墙连接着许多接口,每一个接口都对应着该区域的网关,也在网络模块中配置,我们给每个区域分配的网段如下所示:

dmz区:10.0.3.0/24

生产区:10.0.1.0/24

办公区:10.0.2.0/24

游客区:10.0.0.0/24

电信业务:12.0.0.0/24

移动业务:21.0.0.0/24

需求一

由于总公司的业务流量是分为两个不同的网段的,所以划分vlan,生产区vlan2,办公区vlan3,在交换机中进行配置,且总公司交换机上口设置trunk干道,允许流量都通过,当然,好习惯必不可少,一定要顺便禁止vlan1流量通过,防火墙G1/0/1接口新建两个子接口接受不同流量。

防火墙接口配置:

总公司交换机配置:

接下来的需求通过安全策略实现,针对生产区和办公区用户访问dmz区域服务,撰写两个策略,生产区新建一个(9:00-18:00工作日)的时间段。

需求二

配置防火墙NAT策略,先将LSP配置环回地址和接口地址,方便后续测试。

办公区和游客区允许访问互联网。

easy ip选择出接口地址,配置完成后,点击新建安全策略,里面可以更精细化配置。

需求三

我们可以再写两条安全策略便于精细化管理,第一条直接将http/ftp/icmp服务设为禁止,第二条让10.0.2.10这个设备智能ping通10.0.3.10这个http server。

一定要把策略的顺序排好!!!自上而下逐级匹配!!!

需求四、需求五

市场部用户的匿名认证可以不用创建,研发部需要创建。

游客区创建,这个账号为公有用户。

直接进入用户模块就可以批量创建用户和用户组,剩下两个部门一样操作,不与展示。

首次登陆修改密码,勾选上即可。

另外这个我们也要应用

接下来就是做认证策略,有一个生产区的portal认证,以及办公区两个部门的匿名认证和免认证。

需求六

现在管理员角色里面创建一个网络管理员,不给系统权限,在管理员里面创建一个SmilingMrRui。

需求七

办公区设备可以通过电信链路上网。

办公区设备可以通过移动链路上网。

需求八

需要在FW2上进行配置

需求九

首先在电信和移动业务的接口中配置好接口带宽

然后在网络模块中的路由智能选路中进行配置

办公区设备10.0.2.10只能通过电信链路访问互联网

需求十

需求十一

在策略路由中添加,游客区只能通过移动链路进行上网。

三、需求测试

实现网关都通:

生产区周六无法访问,办公区一直可以访问:

生产区用户:

办公区用户:

办公区设备10.0.2.10不能访问dmz的HTTP和ftp服务器,仅能ping:

FTP server:

HTTP server:

ping:

管理员登入无系统权限:

办公区游客区访问公网:

注意:安全的策略一定要注意匹配顺序,是自上而下逐级匹配。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/871938.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

CV07_深度学习模块之间的缝合教学(2)--维度转换

教学(1):链接 1.1 预备知识 问题:假如说我们使用的模型张量是三维的,但是我们要缝合的模块是四维的,应该怎么办? 方法:pytorch中常用的函数:(1)view函数(2…

新华三H3CNE网络工程师认证—DHCP使用场景

网络服务与应用当中的技术有DHCP、Telnet和FTP。DHCP是计算机当中常用来获取地址的。比如日常使用中,计算机并没有接入IP,IP通过DHCP技术从上端服务去获取的。手动配置网络参数会出现多种问题。 文章目录 一、手动配置网络参数的问题1、参数多、理解难2、…

【零基础】学JS之APIS第四天

💝💝💝欢迎来到我的博客,很高兴能够在这里和您见面!希望您在这里可以感受到一份轻松愉快的氛围,不仅可以获得有趣的内容和知识,也可以畅所欲言、分享您的想法和见解。 非常期待和您一起在这个小…

喰星云·数字化餐饮服务系统 多处 SQL注入漏洞复现

0x01 产品简介 喰星云数字化餐饮服务系统是一款专为餐饮企业设计的综合性管理软件,旨在通过信息化手段提升餐饮企业的运营效率、降低运营成本,并实现数据驱动的决策管理。该系统包括供应链管理、财务管理、巡店管理、人力资源管理等多个模块,可全面覆盖餐饮企业的日常运营需…

Zynq7000系列FPGA中的DDR内存控制器

DDR内存控制器是一个高度集成的组件,支持多种DDR内存类型(DDR2、DDR3、DDR3L、LPDDR2),并通过精心设计的架构来优化内存访问效率。 DDR内存控制器架构 AXI内存端口接口(DDRI):该部分负责处理与…

雷赛运动控制卡编程(2)限位设定与回原方式、脉冲模式设置

一、限位开关及急停开关的设置 限位开关的设置 //设置限位开关// dmc_set_el_modeushort _cardNo0;ushort _axisNo 0;ushort _enable 1; // 正负限位使能 ushort _elLogic 0; // 正负限位 低电平 有效ushort _model 0;// 正负限位停止方式为立即停止LTDMC.dmc_set_el_m…

构建实用的NLP应用程序:重塑人类与计算机的协同工作方式

文章目录 一、NLP技术的核心价值二、构建实用NLP应用程序的关键步骤三、NLP应用程序在协同工作中的创新应用《赠ChatGPT中文范例的自然语言处理入门书》编辑推荐内容简介作者简介精彩书评目录前言/序言获取方式 在数字化时代,自然语言处理(NLP&#xff0…

手机数据恢复:适用于 Android 的 4 大数据恢复应用程序

没有人希望丢失设备上的重要数据。如果发生这种情况,请不要惊慌。以下是可帮助您恢复丢失或删除的数据的 Android 数据恢复应用程序列表。 有多种方法可以恢复已删除或丢失的 Android 数据,最简单、最快捷的方法是使用第三方恢复应用程序。这些应用程序会…

Transformer模型:Postion Embedding实现

前言 这是对上一篇WordEmbedding的续篇PositionEmbedding。 视频链接:19、Transformer模型Encoder原理精讲及其PyTorch逐行实现_哔哩哔哩_bilibili 上一篇链接:Transformer模型:WordEmbedding实现-CSDN博客 正文 先回顾一下原论文中对Posit…

[Windows] 号称最快免费小巧的远程桌面 AnyDesk v8.0.11单文件版

描述 对于经常在互联网上进行操作的学生,白领等! 一款好用的软件总是能得心应手,事半功倍。 今天给大家带了一款高科技软件 虽然 QQ 拥有远程协助功能,但很多时候连接并不够流畅,而且被控电脑那方也必须要有人操作才行…

电脑关机被阻止

1. winR输入regedit进入注册表 2. 选择HKEY_USERS-》.DEFAULT-》Control Panel-》Desktop 3. 右键DeskTop新建字符串值,命名为AutoEndTasks,数值设置为1

C++中链表的底层迭代器实现

大家都知道在C的学习中迭代器是必不可少的,今天我们学习的是C中的链表的底层迭代器的实现,首先我们应该先知道链表的底层迭代器和顺序表的底层迭代器在实现上有什么区别,为什么顺序表的底层迭代器更加容易实现,而链表的底层迭代器…

不会编程怎么办?量化交易不会编程可以使用吗?

量化交易使用计算机模型程序代替人工进行交易,一般需要投资者自己编写程序建模,然后回测无误之后再进行实盘交易,那么不会编程的投资者能使用量化软件进行量化交易吗? 不会编程使用量化软件有两种方法 一种是请人代写代码&#x…

Java软件设计模式-单例设计模式

目录 1.软件设计模式的概念 2.设计模式分类 2.1 创建型模式 2.2 结构型模式 2.3 行为型模式 3.单例设计模式 3.1 单例模式的结构 3.2 单例模式的实现 3.2.1 饿汉式-方式1(静态变量方式) 3.2.2 懒汉式-方式1(线程不安全) 3.…

办公灯多普勒雷达模组感应开关,飞睿智能24G毫米波雷达超低功耗uA级,节能LED灯新搭档

在科技日新月异的今天,节能、环保已经成为我们生活和工作中不可或缺的一部分。作为新时代的办公人,我们不仅要追求高效的工作方式,更要关注我们所使用的设备是否足够环保、节能。今天,我们就来聊聊一个令人兴奋的创新——飞睿智能…

如何30分钟下载完368G的Android系统源码?

如何30分钟下载完368G的Android系统源码? Android系统开发的一个痛点问题就是Android系统源码庞大,小则100G,大则,三四百G。如标题所言,本文介绍通过局域网高速网速下载源码的方法。 制作源码mirror 从源码git服务器A&#xff0c…

推荐系统:从协同过滤到深度学习

目录 一、协同过滤(Collaborative Filtering, CF)1. 基于用户的协同过滤2. 基于物品的协同过滤 二、深度学习在推荐系统中的应用1. 深度学习模型的优势2. 深度学习在推荐系统中的应用实例 三、总结与展望 推荐系统是现代信息处理和传播中不可或缺的技术&…

【话题】破茧而出:打破AI“信息茧房”,捍卫信息自由与多样性

目录 AI发展下的伦理挑战,应当如何应对? 方向一:构建可靠的AI隐私保护机制 方向二:确保AI算法的公正性和透明度 方向三:管控深度伪造技术 AI发展下的伦理挑战,应当如何应对? 在人工智能&…

Tita的OKR:高端制造行业的OKR案例

高端设备制造行业的发展趋势: 产业规模持续扩大:在高技术制造业方面,航空、航天器及设备制造业、电子工业专用设备制造等保持较快增长。新能源汽车保持产销双增,新材料新产品生产也高速增长。 标志性装备不断突破:例如…

Flink Window 窗口【更新中】

Flink Window 窗口 在Flink流式计算中,最重要的转换就是窗口转换Window,在DataStream转换图中,可以发现处处都可以对DataStream进行窗口Window计算。 窗口(window)就是从 Streaming 到 Batch 的一个桥梁。窗口将无界流…