网络安全——防御课实验二
在实验一的基础上,完成7-11题
拓扑图
7、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
首先,按照之前的操作,创建新的安全区(电信和移动)分别表示两个外网网段,如图
然后,点击策略中的NAT策略中的NAT策略并新建策略,如图所示:
创建如下填写:
注意:我们是办公区访问外网,就是私网访问外网需要选择的转换模式是源地址转换
目标类型是电信和移动
应题目多对多要求,地址转换选择地址池中的地址,因为出接口地址是easy ip是一对多,而地址池中的地址有多对多也有动态NAPT,这里我地址池设置名为DX,具体配置如下:
移动的配置
电信的配置:
因为要保留一个ip,所以要有以下配置:
结果检验:
ping路由器的环回接口可以ping通。
8、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
首先配置分公司网络,如图:
同样的,配置NAT策略,先让分公司的网络可以访问外网,具体配置如下:
地址池FW配置:
安全策略可以自动生成:
然后配置DMZ区的防火墙,使能访问HTTP服务器,具体配置如下:
目标转换地址是要访问的HTTP服务器10.0.3.10,如图:
配置完成。
检验:可以访问DMZ的HTTP服务器
9、多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
10.0.2.10只能通过电信访问,运用出接口的方法,将接口定义到电信网段,配置如下:
多出口基于带宽比例选路,配置如下:
过载保护阈值在接口上配置,如图:
检验,配置好后,选路会有变化:
10、分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
首先,在之前的配置中,我们已经将分公司与公司连通,即公司能访问分公司的HTTP服务器,分公司也能访问DMZ的HTTP服务器,检验如下:
公司访问分公司
分公司访问公司DMZ
所以,接下来我们只要配置DNS即可,配置如下:
因为有防火墙,不能直接访问ip,所以要通过防火墙的地址转换接口进入访问
然后再在用于访问的机器上添加访问的DNS域名解析服务器ip,如图:
检验:
公司访问分公司
分公司访问公司
分公司访问内部服务器
11、游客区仅能通过移动链路访问互联网
只需要给游客区配置上网策略时只配置移动链路
如图:
地址池YD配置如下:
自此,实验要求基本完成,由于是学习理论后的第一次实践,完成得还是挺费力的,可能有些不太完善或者没达到要求,我还得不断学习完善。