1、项目一
目标
实现 client1 可以访问 server1 的http (NAT)
实现 server1 可以ping通 server2 (服务器映射)
环境:
FW:
client1: IP: 192.168.1.1/24 GW: 192.168.1.254/24 G1/0/1
server2: IP: 192.168.3.1/24 GW: 192.168.3.254/24 G1/0/3
G1/0/2 : IP: 192.168.200.1/30
ISP:
server1: IP: 200.1.1.1/24 GW: 200.1.1.254/24 G0/0/1
G0/0/0 : IP: 192.168.200.2/30
ISP(G0/0/0) <==> FW(G1/0/2)
配置
路由(ISP)
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 200.1.1.254 24
[Huawei-GigabitEthernet0/0/1]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.200.2 30
[Huawei-GigabitEthernet0/0/0]q
#增加静态路由访问 200.8.8.0/29
[Huawei]ip route-static 200.8.8.0 29 192.168.200.1
#防火墙 后台密码 [email protected], 网页 admin Abc123456([email protected])
FW
G1/0/1 : 区域 TRUST IP: 192.168.1.254/24 访问管理: ping
G1/0/2 : 区域 UNTRUST IP: 192.168.200.1/30 访问管理: ping
G1/0/3 : 区域 DMZ IP: 192.168.3.254/24 访问管理: ping
配置 NAT ,client1 可以访问 server1 http
安全策略--新建--名称 out--区域'TRUST-->UNTRUST'--其他都是 'any'(时间段)
(NAT)策略--新建--名称--PAT--源区域'TRUST'-->目标区域'UNTRUST'--转换方式(出接口地址)--其他 'any'
防火墙添加默认路由
网络--路由--静态路由--新建--配置下一跳192.168.200.2(其他默认)
client1 访问 http://200.1.1.1
配置 服务器映射 ,server1 可以ping server2
安全策略--新建--名称 in--区域'UNTRUST-->DMZ'--其他都是 'any'(时间段)
添加服务器映射规则--服务器映射--新建--名称 server2--安全区域'UNTRUST'--公网地址 200.8.8.1 私网地址 192.168.3.1
在 防火墙 G1/0/2 抓包 ,在 server1 ping 200.8.8.1/2/3/4/5/6
观察 数据包的 TTL 值 在逐渐降低直到TTL=1,出现环路
添加黑洞路由
网络--路由--静态路由--新建--目标地址 200.8.8.2/32--不配下一跳--出接口(NULL0)
新建--目标地址 200.8.8.3/32--不配下一跳--出接口(NULL0)
新建--目标地址 200.8.8.4/32--不配下一跳--出接口(NULL0)
新建--目标地址 200.8.8.5/32--不配下一跳--出接口(NULL0)
新建--目标地址 200.8.8.6/32--不配下一跳--出接口(NULL0)
再检查 wireshark 抓包数据
#防火墙 后台密码 [email protected], 网页 admin Abc123456([email protected])
2、项目二
目标:
只有 pc 可以 telnet 访问防火墙(ISP 无法 telnet 防火墙)
配置 安全和服务器策略 使 client1 访问 server1 的 web 网站
配置 安全和 Easy-ip,使 server1 可以 ping pc
环境:
FW:
server1: IP: 192.168.1.1/24 GW: 192.168.1.254/24 G1/0/1
G1/0/0 : IP: 200.1.1.1/30
ISP:
G0/0/0 : IP: 200.1.1.2/30
ISP(G0/0/0) <==> FW(G1/0/0)
G0/0/2 : IP: 200.2.2.2/30
G0/0/3 : IP: 200.3.3.2/30
PC:IP: 200.2.2.1/30
[Huawei]sysn PC
[PC]int g0/0/2
[PC-GigabitEthernet0/0/2]ip add 200.2.2.2 30
[PC]ip route-s 0.0.0.0 0.0.0.0 200.2.2.1 #增加一条默认路由 当网关使用
client1: IP: 200.3.3.1/30 GW: 200.3.3.2 G0/0/1
只有 pc 可以 telnet 访问防火墙(ISP 无法 telnet 防火墙)
ISP 接口配置
[Huawei]sysn ISP2220
[ISP2220]int g0/0/0
[ISP2220-GigabitEthernet0/0/0]ip add 200.1.1.2 30
[ISP2220-GigabitEthernet0/0/0]int g0/0/1
[ISP2220-GigabitEthernet0/0/1]ip add 200.3.3.2 30
[ISP2220-GigabitEthernet0/0/1]int g0/0/2
[ISP2220-GigabitEthernet0/0/2]ip add 200.2.2.1 30
FW配置
G1/0/1 : 区域 TRUST IP: 192.168.1.254/24 访问管理: ping
G1/0/0 : 区域 UNTRUST IP: 200.1.1.1/30 访问管理: ping telnet
[USG6000V1]telnet server enable #启动 telnet 服务
[USG6000V1]aaa
[USG6000V1-aaa]manager-user admin
[USG6000V1-aaa-manager-user-admin]password cipher [email protected] #没有权限修改密码
[USG6000V1-aaa-manager-user-admin]service-type web telnet #可以使用的服务
[USG6000V1-aaa-manager-user-admin]level 15
[USG6000V1]user-interface vty 0 4
[USG6000V1-ui-vty0-4]authentication-mode aaa #启用 aaa 认证
[USG6000V1-ui-vty0-4]protocol inbound all #允许所有数据将进入 telnet ssh
[USG6000V1]ip route-static 0.0.0.0 0.0.0.0 200.1.1.2 #增加默认路由 访问pc
测试结果,分别再 ISP 和 PC telnet 连接防火墙telnet 200.1.1.1telnet 200.1.1.1
创建 ACl 允许 200.2.2.2 访问
[USG6000V1]acl 2000
[USG6000V1-acl-basic-2000]rule 5 permit source 200.2.2.2 0
在用户接口中 关联 ACL
[USG6000V1]user-interface vty 0 4
[USG6000V1-ui-vty0-4]acl 2000 inbound
配置 安全和服务器策略 使 client1 访问 server1 的 web 网站
安全策略--新建--名称 webin--区域'UNTRUST-->TRUST'--其他都是 'any'(时间段)
添加服务器映射规则--服务器映射--新建--名称 server2--安全区域'UNTRUST'--
公网地址 200.1.1.1 私网地址 192.168.1.1-- tcp 80 80
在 client1 访问 http://200.1.1.1
配置 安全和 Easy-ip,使 server1 可以 ping pc
安全策略--新建--名称 out--区域'TRUST-->UNTRUST'--其他都是 'any'(时间段)
(NAT)策略--新建--名称--PAT--源区域'TRUST'-->目标区域'UNTRUST'--转换方式(出接口地址)--其他 'any'
测试在 server1 ping 200.3.3.1,开始 wireshark 抓包,分析源 IP
3、项目三
目标:
使 client1 通过地址转换 ping 通 client2
配置服务器发布 使 Client2 可以访问 Server1 的 FTP 服务
配置服务器发布 使 Client1 可以通过公网访问 Server1 的 FTP 服务
环境:
FW:
client1: IP: 192.168.1.1/24 GW: 192.168.1.254/24 G1/0/1
server1: IP: 192.168.1.10/24 GW: 192.168.1.254/24 G1/0/1
G1/0/1 : IP: 192.168.1.254/24
G1/0/2 : IP: 200.1.1.254/24
client2: IP: 200.1.1.1/24 GW: 200.1.1.254/24 G1/0/2
使 client1 通过地址转换 ping 通 client2
安全策略--新建--名称 out--区域'TRUST-->UNTRUST'--其他都是 'any'(时间段)
(NAT)策略--新建--名称--PAT--源区域'TRUST'-->目标区域'UNTRUST'--转换方式(出接口地址)--其他 'any'
配置服务器发布 使 Client2 可以访问 Server1 的 FTP 服务
安全策略--新建--名称 in--区域'UNTRUST-->TRUST'--其他都是 'any'(时间段)
添加服务器映射规则--服务器映射--新建--名称 ftpout--安全区域'UNTRUST'--
公网地址 200.1.1.10 私网地址 192.168.1.10 tcp 21 21
配置服务器发布 使 Client1 可以通过公网访问 Server1 的 FTP 服务
(NAT)策略--新建--名称--PAT--源区域'TRUST'-->目标区域'TRUST'--转换方式(出接口地址)--其他 'any'
添加服务器映射规则--服务器映射--新建--名称 ftpout--安全区域'TRUST'--
公网地址 200.1.1.10 私网地址 192.168.1.10 tcp 21 21
![添加防火墙策略_网络安全:您了解防火墙的部署模式吗?防火墙部署模式介绍...设备工作原理部署路由模式的介绍步骤一:连接设备步骤二:配置接口。步骤三:配置源NAT规则,将内网IP转换为出接口IP。步骤四:配置策略规则,允许内网用户访问外网。步骤五:配置默认路由。总结[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)