防火墙综合实验之NAT和智能选路
目录
前言:
一、实验题目
二、实验操作
需求一
需求二
需求三
需求四、需求五
需求六
需求七
编辑
需求八
需求九
需求十
需求十一
三、需求测试
前言:
本篇文章是延续上一篇文章,简单来说就是防火墙实验的完善和延续,本次主要完善的模块是内外网的NAT转换以及如何通过策略进行智能选路,我们的实验图也会拓展好公网和分公司部分的内容,当然,为了更好的让大家理解,我也会将所有需求再写一遍。
一、实验题目
1,DMZ区内的服务器,办公区仅能在办公时间内(9:00 - 18:00)可以访问,生产区的设备全 天可以访问.
2,生产区不允许访问互联网,办公区和游客区允许访问互联网
3,办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.10
4,办公区分为市场部和研发部,市场部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123
5,生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次
登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用
6,创建一个自定义管理员,要求不能拥有系统管理的功能
7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用 来转换)
8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
9,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
11,游客区仅能通过移动链路访问互联网
二、实验操作
首先我们将防火墙与互联网的映射关系通过ensp里面的cloud配置好,然后再浏览器中登录192.168.10.1:8443域名,这样就可以进入防火墙的可视化界面。
进入后的可视化界面如下图所示:
我们可以看到,该界面有策略、对象、网络等模块,这些就是我们要重点配置的地方。
我们先将系统中的时钟配置调整为与PC端一致,以便于后续操作。
在实验拓扑图中,我们可以看到一共分为好几个区域,所以第一步我们要将这几个安全区域新建出来,在防火墙中自带local/trust/untrust/dmz区域,所以我们只要新建生产区与办公区、游客区即可,内网连接LSP的两条链路(电信与移动)可以分配至不信任区域。
防火墙连接着许多接口,每一个接口都对应着该区域的网关,也在网络模块中配置,我们给每个区域分配的网段如下所示:
dmz区:10.0.3.0/24
生产区:10.0.1.0/24
办公区:10.0.2.0/24
游客区:10.0.0.0/24
电信业务:12.0.0.0/24
移动业务:21.0.0.0/24
需求一
由于总公司的业务流量是分为两个不同的网段的,所以划分vlan,生产区vlan2,办公区vlan3,在交换机中进行配置,且总公司交换机上口设置trunk干道,允许流量都通过,当然,好习惯必不可少,一定要顺便禁止vlan1流量通过,防火墙G1/0/1接口新建两个子接口接受不同流量。
防火墙接口配置:
总公司交换机配置:
接下来的需求通过安全策略实现,针对生产区和办公区用户访问dmz区域服务,撰写两个策略,生产区新建一个(9:00-18:00工作日)的时间段。
需求二
配置防火墙NAT策略,先将LSP配置环回地址和接口地址,方便后续测试。
办公区和游客区允许访问互联网。
easy ip选择出接口地址,配置完成后,点击新建安全策略,里面可以更精细化配置。
需求三
我们可以再写两条安全策略便于精细化管理,第一条直接将http/ftp/icmp服务设为禁止,第二条让10.0.2.10这个设备智能ping通10.0.3.10这个http server。
一定要把策略的顺序排好!!!自上而下逐级匹配!!!
需求四、需求五
市场部用户的匿名认证可以不用创建,研发部需要创建。
游客区创建,这个账号为公有用户。
直接进入用户模块就可以批量创建用户和用户组,剩下两个部门一样操作,不与展示。
首次登陆修改密码,勾选上即可。
另外这个我们也要应用
接下来就是做认证策略,有一个生产区的portal认证,以及办公区两个部门的匿名认证和免认证。
需求六
现在管理员角色里面创建一个网络管理员,不给系统权限,在管理员里面创建一个SmilingMrRui。
需求七
办公区设备可以通过电信链路上网。
办公区设备可以通过移动链路上网。
需求八
需要在FW2上进行配置
需求九
首先在电信和移动业务的接口中配置好接口带宽
然后在网络模块中的路由智能选路中进行配置
办公区设备10.0.2.10只能通过电信链路访问互联网
需求十
需求十一
在策略路由中添加,游客区只能通过移动链路进行上网。
三、需求测试
实现网关都通:
生产区周六无法访问,办公区一直可以访问:
生产区用户:
办公区用户:
办公区设备10.0.2.10不能访问dmz的HTTP和ftp服务器,仅能ping:
FTP server:
HTTP server:
ping:
管理员登入无系统权限:
办公区游客区访问公网:
注意:安全的策略一定要注意匹配顺序,是自上而下逐级匹配。
