防御保护---防火墙(安全策略、NAT策略实验)

1.实验需求

1.生产区在工作时间内可以访问服务器区，仅可以访问http服务器；
2.办公区全天可以访问服务器区，其中10.0.2.20可以访问FTP服务器和HTTP服务器，10.0.2.10仅可以ping通10.0.3.10
3.办公区在访问服务器区时采用匿名认证的方式进行上网行为管理
4.办公设备可以访问公网，但是其他区域不行。

2.实验说明及思路

此次实验主要是以web界面的形式来配置防火墙，所以在上图中防火墙与cloud连接（不需要交换机也可），为了在web界面管理防火墙，web界面相对来说比较友好，可以直观的看出各种配置及条目。
在防火墙与交换机SW7做三层，并且在防火墙部署三个区域的网关，向下使用子接口，分别对应生产区与办公区，然后在防火墙上做安全策略以及NAT策略，实现对路由的控制与转发。

3.实验配置

3.1 配置IP地址以及VLAN

AR2：

[Huawei]sys ISP
[ISP]int LoopBack 0
[ISP-LoopBack0]ip address 1.1.1.1 24
[ISP-LoopBack0]int g0/0/0
[ISP-GigabitEthernet0/0/0]ip address 12.0.0.2 24
[ISP-GigabitEthernet0/0/0]int g0/0/2
[ISP-GigabitEthernet0/0/2]ip address 21.0.0.2 24

SW7：

[SW7]vlan batch 2 to 3
[SW7]int g0/0/2
[SW7-GigabitEthernet0/0/2]port link-type access
[SW7-GigabitEthernet0/0/2]port default vlan 2
[SW7-GigabitEthernet0/0/2]int g0/0/3
[SW7-GigabitEthernet0/0/3]port link-type access
[SW7-GigabitEthernet0/0/3]port default vlan 3
[SW7]interface GigabitEthernet0/0/1
[SW7-GigabitEthernet0/0/1]port link-type trunk
[SW7-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 to 3
[SW7-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1

3.2 配置防火墙IP地址及划分区域

由于自身的环回网卡为172.16.10.10/24，所以在防火墙上更改默认G0/0/0接口的IP地址以及启用所有的服务，为了后面在web界面配置防火墙打基础

[FW2]int g0/0/0
[FW2-GigabitEthernet0/0/0]ip address 172.16.10.1 255.255.255.0
[FW2-GigabitEthernet0/0/0]service-manage all permit

cloud配置（可能有的人不知道cloud与防火墙咋样操作的，后续有时间会给大家出防火墙（web界面）步骤）

配置完成之后，在浏览器输入防火墙G0/0/0的IP地址就可以连接。
首先，新建俩个安全区域（办公区和生产区）

办公区域：

同理，生产区域：

然后在虚拟俩个子接口相对应，并且规划IP地址：

G1/0/2.1


G1/0/2.2接口同理：

把G1/0/0划分到DMZ区域并且规划IP地址：

至此，接口IP地址规划以及划分安全区域就完成了！

3.3 配置防火墙安全策略

接下来，按照实验需求部署安全策略
由于实验需求的各个区域中需要精准管理，所以先创建地址方便管理。



对DMZ区域的设备细致化



对办公区的设备细致化


根据实验需求配置安全策略：

1.生产区在工作时间内可以访问服务器区，仅可以访问http服务器；

测试：

可以看出生产区只可以访问服务器区中的HTTP服务器，访问ftp服务器失败，当然只放通http服务，并没有放通icmp服务，所以pc端ping不通，需求一就此完成！

2.办公区全天可以访问服务器区，其中10.0.2.20可以访问FTP服务器和HTTP服务器，10.0.2.10仅可以ping通10.0.3.10

需求二中可以看出有俩条需求，需要新建俩个安全策略才得以实现
策略一：10.0.2.20可以访问FTP服务器和HTTP服务器

测试：

可以看出办公区的client可以访问服务器区中的HTTP服务器和ftp服务器，当然只放通http服务和ftp服务，并没有放通icmp服务，所以client端ping不通。

策略二：10.0.2.10仅可以ping通10.0.3.10

测试：

需求二到此完成！

3.办公区在访问服务器区时采用匿名认证的方式进行上网行为管理


测试：首先用办公区的设备访问服务器区的设备（都可）


然后在在线用户中可以看到访问的用户，并且可以看出认证方式为匿名认证，需求三完成！

3.4 配置防火墙NAT策略

4.办公设备可以访问公网，但是其他区域不行。


完成之后点击确定即可
测试：办公区访问公网


生产区访问公网

由此可以看出只有办公区访问公网成功，而生产区访问失败！

实验至此就全部完成了！