防火墙小试——部分(书接上回)

toop接上回

1.实验拓扑及要求

前情回顾

  1. DMZ区内的服务器,办公区仅能在办公时间内(9:00 - 18:00)可以访问,生产区的设备全天可以访问.

  2. 生产区不允许访问互联网,办公区和游客区允许访问互联网

  3. 办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10

  4. 办公区分为市场部和研发部,市场部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证,游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123

  5. 生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用

  6. 创建一个自定义管理员,要求不能拥有系统管理的功能

书接上回

  1. 办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)

  2. 分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

  3. 多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%

  4. 分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;

  5. 游客区仅能通过移动链路访问互联网

实验思路

  1. 创建电信,移动安全区,将对应接口划入其中,创建移动、电信线路的办公区指向ISP的多对多的NAPT,创建源地址转换池,保留一个

  2. 总公司区,创建分公司(分公司的源nat转化地址)访问HTTP服务起的安全策略,分别创建移动,电信的目标NAT指向HTTP服务器,目标地址为接口地址,采用NAPT方式;分公司,创建访问电信,移动地址的安全策略,创建内网到移动、电信地址的源NAT,采用多对多NAPT

  3. 分别创建移动、电信的链路接口,移动、电信接口分别开启多出口,设置限制带宽和过载保护阈值;设置智能选路为依据带宽,将移动、电信链路接口加入;设置10.0.2.10走电信的策略路由

  4. 配置DNS服务器,添加解析条目;分公司,设置双向nat用于内网域名访问;设置目标NAT指向HTTP服务器,用于公网访问,采用接口地址NAPT;添加外网到HTTP的安全策略

  5. 添加游客区走移动链路的源NAT,添加游客区走移动链路的策略路由

实验过程

1.完善toop图配好IP地址

FW2的基础配置

办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)

FW1

移动 源NAT

电信 源NAT

测试

分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

总公司FW1

安全策略

电信 目标NAT

移动目标NAT

分公司FW2

安全策略

源NAT

测试
电信线路

FW1

FW2

移动线路

FW1

FW2

多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%

多出口环境基于带宽比例进行选路 FW1

办公区中10.0.2.10该设备只能通过电信的链路访问互联网

测试
  • 增加可行度添加一条走移动的静态路由

  • 10.0.2.10测试

  • 10.0.2.20测试

分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;

分公司内部的客户端可以通过域名访问到内部的服务器

搭建DNS服务器

FW2
安全策略:添加DNS的IP地址

源NAT 添加DNS的IP地址

双向NAT

测试

公网设备也可以通过域名访问到分公司内部服务器;

FW2
安全策略

目标NAT

测试

游客区仅能通过移动链路访问互联网

FW1

添加YK区源NAT转换走移动区域

为了保险添加策略路由

测试
为了测试添加一条走向电信的静态

游客区

非游客区

一些小发现

当把游客那条策略路由禁用后,保留指向电信的静态缺省。那么就会优先看路由,发现电信这个接口没有配关于游客区的nat那么就不会转换地址

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/45799.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

C#统一委托Func与Action

C#在System命名空间下提供两个委托Action和Func,这两个委托最多提供16个参数,基本上可以满足所有自定义事件所需的委托类型。几乎所有的 事件 都可以使用这两个内置的委托Action和Func进行处理。 Action委托: Action定义提供0~16个参数&…

使用亮数据代理IP+Python爬虫批量爬取招聘信息训练面试类AI智能体

本文目录 一、引言二、开发准备三、代码开发四、使用亮数据进行高效爬取4.1 为什么需要亮数据4.2 如何使用亮数据 五、使用数据训练AI智能体六、 总结 一、引言 在当今AI迅速发展的时代,招聘市场正经历着前所未有的变革。传统的招聘方式已难以满足双方的需求。AI智…

ShardingSphere-JDBC —— 整合 mybatis-plus,调用批量方法执行更新操作扫所有分表问题

文章目录 过程及问题描述原因及方案 记录下 ShardingSphere 整合 mybatis-plus 进行批量更新时扫所有分表问题的原因及解决方案。ShardingSphere 整合 mybatis-plus 与整合 mybatis 流程是一样的,一个是导入 mybatis 包,一个是导入 mybatis-plus 包&…

canvas快速入门(一)canvas的基础使用

注释很详细&#xff0c;直接上代码 新增内容&#xff1a; 1. canvas的两种创建方式及优劣 2. canvas宽高设置及注意事项 3. 简单测例 项目结构&#xff1a; 源码&#xff1a; index.html <!DOCTYPE html> <html lang"en"> <head><meta charset…

7.7 CyclicBarrier

CyclicBarrier 循环栅栏&#xff0c;用来进行线程协作&#xff0c;等待线程满足某个计数。构造时设置【计数个数】。每个线程执行到某个需要“同步”的时刻调用 await() 方法进行等待&#xff0c;当等待的线程数满足【计数个数】时&#xff0c;继续执行。 Slf4j(topic "…

MySQL学习记录 —— 십구 命令执行

文章目录 1、mysql客户端命令2、从.sql文件执行SQL语句 1、mysql客户端命令 使用mysql时&#xff0c;命令行要以分号或者\g&#xff0c;\G来结束。 mysql客户端的很多命令可以在之前的mysql博客中查看。另外的用help或\h命令来查看。本篇写一些之前没有提到过的。 命令结束符…

先天睡功-守一老师

描述 守一老师&#xff0c;一个富有才华的老师&#xff01; 对于大家的学习有不可多得的帮助。 内容 目前主要的内容以睡觉为主&#xff0c;对于学习睡睡觉有比较大的帮助&#xff01; 但是网络上面错综复杂&#xff0c;很多老旧的版本影响学习&#xff01; 而这里我整理了…

安全防御实验2

一、实验拓扑 二、实验要求 办公区设备可以通过电信链路和移动链路上网(多对多的NAT&#xff0c;并且需要保留一个公网IP不能用来转换)分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器多出口环境基于带宽比例进行选路&#xff0c;但是&#xff0c;办公区…

数据建设实践之大数平台(六)安装spark

安装spark 上传安装包到/opt/software目录并解压 [bigdatanode101 software]$ tar -xvf spark-3.3.1-bin-hadoop3.tgz -C /opt/services/ [bigdatanode101 software]$ tar -xvf spark-3.3.1-bin-without-hadoop.tgz -C /opt/services/ 重命名文件 [bigdatanode101 servic…

OZON夏季热卖产品有哪些,OZON夏季热卖新品

OZON平台在夏季的热卖产品种类繁多&#xff0c;涵盖了多个领域&#xff0c;主要包括但不限于以下几个方面&#xff0c;接下来看看OZON夏季热卖产品有哪些&#xff0c;OZON夏季热卖新品&#xff01;Top1 运动套装 Костюм спортивный Victorias Secret 商品id…

c++课后作业

把字符串转换为整数 int main() {char pn[21];cout << "请输入一个由数字组成的字符串&#xff1a; ";cin >> pn;int last 0;int res[10];int j strlen(pn);int idx 2;cout << "请选择&#xff08;2-二进制&#xff0c;10-十进制&#xf…

【C++】C++入门实战教程(打造属于自己的C++知识库)

目录 目录 写在前面 1.C学习路线 2.本教程框架介绍 一.C基础部分 1.程序编码规范 2.程序运行与编译 3.关键字 4.常用数据类型 5.运算符相关 二.C进阶部分 1.面向对象编程 2.函数编程 3.模板编程 4.多线程与并发 5.STL介绍及使用 6.内存模型与优化 三.C实战部…

C++常用算法的简单总结

1、遍历算法 for_each(iterator beg, iterator end, func) :遍历容器 transform(iterator beg1, iterator end1, iterator beg2, _func): func可以直接搬运数据&#xff0c;也可以数据加减乘除之后搬运 2、查找算法 find(iterator beg, iterator end, 需要查找的数据) 查找元素…

美国视觉AI解决方案公司Hayden AI完成9000万美元C轮融资

来源&#xff1a;猛兽财经 作者&#xff1a;猛兽财经 猛兽财经获悉&#xff0c;总部位于美国加利福尼亚州旧金山弗朗西斯科专门为智慧城市提供视觉AI解决方案的Hayden AI&#xff0c;近期宣布已完成9000万美元C轮融资。 本轮融资由The Rise Fund领投&#xff0c;Drawdown Fun…

为什么go语言里从前端接收到的参数是数字28546.123456,但是不能使用float32只能使用float64呢?

在 Go 语言中&#xff0c;当从前端&#xff08;例如通过 HTTP 请求&#xff09;接收数据时&#xff0c;这些数据通常以字符串的形式到达后端。然后&#xff0c;后端需要将这些字符串解析或转换为适当的类型&#xff0c;比如 float32 或 float64。 然而&#xff0c;如果发现你只…

股指期货存在的风险有哪些?

股指期货因其标的物的特殊性&#xff0c;其面临的风险类型十分复杂&#xff0c;主要面临的一般风险和特有风险如下&#xff1a; 一般风险 从风险是否可控的角度&#xff0c;可以划分为不可控风险和可控风险&#xff1b;从交易环节可分为代理风险、流动性风险、强制平仓风险&…

BUCK外围器件选型,输入电容,输出电容,电感,续流二极管

概述&#xff1a; 一般情况下&#xff0c;电源接口处会有大小不同的电容进行并联&#xff0c;大容量电容是为了防止自身产生干扰影响其他器件&#xff0c;所以叫去耦电容&#xff1b;小容量电容是为了其他高频干扰影响自身&#xff0c;所以叫旁路电容。当然这只是通常情况下。 …

将获取pose 服务拆分为两个服务

简单拆分 要将该代码拆分为两个服务&#xff0c;我们需要创建两个FastAPI应用。第一个服务&#xff08;我们可以称之为ImageCaptureService&#xff09;将负责捕获视频流中的图像&#xff0c;并将图像数据发送到第二个服务&#xff08;我们可以称之为PoseEstimationService&am…

深入剖析多个表left join on的执行步骤原理:实战案例解析与原理探讨

文章目录 文章导图前言初始化数据-建表两个表left jion多表-left jion on c.bidb.bid分析|执行步骤和结果理解 变形-修改c表数据变形1变形2 总结 多表-left jion on c.aida.aid分析执行步骤和结果理解 变形-修改c表数据变形1变形2 解答开头总结 Left join on系列文章测试一下你…

ubuntu添加软件快捷方式

# 该目录下存放着所有的快捷方式文件 cd /usr/share/applications/ # 创建一个快捷方式文件 sudo touch your_app_name.desktop # 编辑快捷方式文件 sudo gedit your_app_name.desktop把&#x1f447;的内容复制进your_app_name.desktop文件中&#xff0c;这是最简化版本 [Des…