防火墙小试——部分(书接上回)NAT

toop接上回

1.实验拓扑及要求

前情回顾

  1. DMZ区内的服务器,办公区仅能在办公时间内(9:00 - 18:00)可以访问,生产区的设备全天可以访问.

  2. 生产区不允许访问互联网,办公区和游客区允许访问互联网

  3. 办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10

  4. 办公区分为市场部和研发部,市场部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证,游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123

  5. 生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用

  6. 创建一个自定义管理员,要求不能拥有系统管理的功能

书接上回

  1. 办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)

  2. 分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

  3. 多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%

  4. 分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;

  5. 游客区仅能通过移动链路访问互联网

实验思路

  1. 创建电信,移动安全区,将对应接口划入其中,创建移动、电信线路的办公区指向ISP的多对多的NAPT,创建源地址转换池,保留一个

  2. 总公司区,创建分公司(分公司的源nat转化地址)访问HTTP服务起的安全策略,分别创建移动,电信的目标NAT指向HTTP服务器,目标地址为接口地址,采用NAPT方式;分公司,创建访问电信,移动地址的安全策略,创建内网到移动、电信地址的源NAT,采用多对多NAPT

  3. 分别创建移动、电信的链路接口,移动、电信接口分别开启多出口,设置限制带宽和过载保护阈值;设置智能选路为依据带宽,将移动、电信链路接口加入;设置10.0.2.10走电信的策略路由

  4. 配置DNS服务器,添加解析条目;分公司,设置双向nat用于内网域名访问;设置目标NAT指向HTTP服务器,用于公网访问,采用接口地址NAPT;添加外网到HTTP的安全策略

  5. 添加游客区走移动链路的源NAT,添加游客区走移动链路的策略路由

实验过程

1.完善toop图配好IP地址

FW2的基础配置

办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)

FW1

移动 源NAT

电信 源NAT

测试

分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

总公司FW1

安全策略

电信 目标NAT

移动目标NAT

分公司FW2

安全策略

源NAT

测试
电信线路

FW1

FW2

移动线路

FW1

FW2

多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%

多出口环境基于带宽比例进行选路 FW1

办公区中10.0.2.10该设备只能通过电信的链路访问互联网

测试
  • 增加可行度添加一条走移动的静态路由

  • 10.0.2.10测试

  • 10.0.2.20测试

分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;

分公司内部的客户端可以通过域名访问到内部的服务器

搭建DNS服务器

FW2
安全策略:添加DNS的IP地址

源NAT 添加DNS的IP地址

双向NAT

测试

公网设备也可以通过域名访问到分公司内部服务器;

FW2
安全策略

目标NAT

测试

游客区仅能通过移动链路访问互联网

FW1

添加YK区源NAT转换走移动区域

为了保险添加策略路由

测试
为了测试添加一条走向电信的静态

游客区

非游客区

一些小发现

当把游客那条策略路由禁用后,保留指向电信的静态缺省。那么就会优先看路由,发现电信这个接口没有配关于游客区的nat那么就不会转换地址

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/871983.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

全球DeepFake攻防挑战赛DataWhale AI 夏令营——图像赛道

全球DeepFake攻防挑战赛&DataWhale AI 夏令营——图像赛道 赛题背景 随着人工智能技术的迅猛发展,深度伪造技术(Deepfake)正成为数字世界中的一把双刃剑。这项技术不仅为创意内容的生成提供了新的可能性,同时也对数字安全构…

两个视频怎么剪辑成一个视频?3个方法分享

两个视频怎么剪辑成一个视频?将两个视频剪辑成一个视频,是现代数字内容创作中的高频需求,它不仅简化了素材管理,还能通过创意剪辑提升作品连贯性与表现力。通过精心编排,两个视频片段可以无缝融合,讲述更完…

PLC电工实操题库—匠心整理—高分资源—即刻下载!

1.编制用PLC控制的车辆出入库管理控制程序 答: 传感器布置: 显示电路: 说明: 1.光传感器的接收光被遮断时定义为“有信号”;2.传感器1#有信号时启动增计数逻辑:3.传感器2#有信号时启动减计数逻辑:4.传感器1#完成脉冲同时2#有信…

【深度学习】PyTorch框架(2):激活函数

1.引言 在文中,我们将深入探讨流行的激活函数,并分析它们在神经网络优化特性中的作用。激活函数在深度学习模型中扮演着至关重要的角色,因为它们为网络引入了非线性特性。尽管文献中描述了众多的激活函数,但它们并非一视同仁&…

220v降压5v用几k电阻?

# 220V降压至5V的电阻选择与AH8652和AH8696芯片的应用 在电子电路设计中,将高电压转换为低电压是常见的需求。例如,将220V交流电(AC)降压至5V直流电(DC)用于低功耗设备。这通常通过使用降压转换器&#xf…

C判断一个点在三角形上

背景 鼠标操作时,经常要判断是否命中显示控件,特开发此算法快速判断。 原理 三角形三等分点定理是指在任意三角形ABC中,可以找到三个点D、E和F,使得线段AD、BE和CF均等分三角形ABC。 这意味着三个等分点分别位于三个边界上&…

Golang中init()函数初始化顺序

Q24.init()函数初始化顺序 init() 函数是用于程序执行前做包的初始化的函数,比如初始化包里的变量等一个包可以出线多个 init() 函数,一个源文件也可以包含多个 init() 函数同一个包中多个 init() 函数的执行顺序没有明确定义,但是不同包的init函数是根…

线程的复习

目录 大纲Java中的线程概念创建线程的方法线程的生命周期线程的同步和通信线程的优先级和调度线程的中断 案例 大纲 Java中的线程概念 在Java中,线程是操作系统能够进行运算调度的最小单位,它被包含在进程之中,是进程中实际运作的部分。一个…

网络配置命令

文章目录 一、查看网络接口信息 ifconfig1.1 网络接口名称1.2 使用 ifconfig 查看网络接口信息1.2.1 输出示例1.2.2 输出解释 1.3 查看特定网络接口信息1.3.1 输出示例 1.4 查看所有网络接口信息1.5 特殊网络接口 二、修改网络配置文件2.1 配置文件示例2.2 使配置生效2.3 关闭 …

图——图的遍历(DFS与BFS)

前面的文章中我们学习了图的基本概念和存储结构,大家可以通过下面的链接学习: 图的定义和基本术语 图的类型定义和存储结构 这篇文章就来学习一下图的重要章节——图的遍历。 目录 一,图的遍历定义: 二,深度优先…

应用实践之基于MindNLP+MusicGen生成自己的个性化音乐

前言 MusicGen是基于单个语言模型(LM)的音乐生成模型,使用文本描述或音频提示生成高质量的音乐样本。它基于Transformer结构,包括文本编码器模型和音频压缩模型,以及一个解码器来预测离散的隐形状态音频token。与传统…

uni-data-select 插件配置接收字段,更改默认的text,value

当后台返回的数据源格式不是如下value,text字段时,需要自定义字段配置 range: [{ value: 0, text: "篮球" },{ value: 1, text: "足球" },{ value: 2, text: "游泳" },], 思路有两个, 思路一:前端遍历更改为…

PE文件(十一)移动导出表和重定位表

移动表的原因 一个PE文件中有很多节,每个节都存储不同的数据。而PE文件中的各种表也都分散存储在这些节当中。此时各种表的信息与程序的代码和数据相互混合在一起,如果我们直接对整个程序进行加密,那系统在初始化程序时就会出问题。比如&…

DHCP原理及配置

目录 一、DHCP原理 DHCP介绍 DHCP工作原理 DHCP分配方式 工作原理 DHCP重新登录 DHCP优点 二、DHCP配置 一、DHCP原理 1 DHCP介绍 大家都知道,现在出门很多地方基本上都有WIFI,那么有没有想过这样一个问题,平时在家里都是“固定”的…

【总结】实际业务场景中锁、事务、异常如何考虑使用?

文章目录 锁处理目的:考虑锁控制思路:生命周期接口并发控制解决方案:测试锁是否生效:模拟多线程并发场景的2种方式: 事务处理目的:考虑事务控制思路:解决方案: 总结 锁处理 目的&am…

利用AI辅助制作ppt封面

如何利用AI辅助制作一个炫酷的PPT封面 标题使用镂空字背景替换为动态视频 标题使用镂空字 1.首先,新建一个空白的ppt页面,插入一张你认为符合主题的图片,占满整个可视页面。 2.其次,插入一个矩形,右键选择设置形状格式…

北京交通大学《深度学习》专业课,实验2-前馈神经网络

1. 源代码 见资源“北京交通大学《深度学习》专业课,实验2-前馈神经网络” 2. 实验内容 (1)手动实现前馈神经网络解决上述回归、二分类、多分类任务 分析实验结果并绘制训练集和测试集的loss曲线 (2)利用to…

keepalive:

keepalive: 调度器的高可用 vip地址在主备之间的切换,主在工作时,vip地址只在主上,主停止工作,vip漂移到备服务器。 在主备的优先级不变的情况下,主恢复工作,vip会飘回到主服务器。 1、配优…

企业网络运维-给华为交换机配置sftp,浏览交换机文件并下载上传

文章目录 需求实验开户stelnet权限已完成stelnet账号下的sftp配置使用xshell-sftp访问 需求 浏览交换机文件并下载上传 实验 开户stelnet权限 参考https://blog.csdn.net/xzzteach/article/details/140419150 已完成stelnet账号下的sftp配置 服务类型all包括stelnet和sf…

强化学习编程实战-5 基于时间差分的方法

第4章中,当模型未知时,由于状态转移概率P未知,动态规划中值函数的评估方法不再适用,用蒙特卡洛的方法聘雇值函数。 在蒙特卡洛方法评估值函数时,需要采样一整条轨迹,即需要从初始状态s0到终止状态的整个序列…