防御保护----防火墙的安全策略、NAT策略实验

实验拓扑:

防御保护----防火墙的安全策略、NAT策略实验_第1张图片

实验要求:

1.生产区在工作时间(9:00-18:00)内可以访问DMZ区,仅可以访问http服务器;

2.办公区全天可以访问DMZ区,其中10.0.2.10可以访问FTP服务器和HTTP服务器,10.0.2.20仅可以ping通10.0.3.10

3.办公区在访问服务器区时采用匿名认证的方式进行上网行为管理

4.到公网的nat配置

要求1的实现:

在对象里面的地址新建一个名为dmz-http-server的地址,这个地址是生产区访问的dmz区的http服务器。

防御保护----防火墙的安全策略、NAT策略实验_第2张图片

防御保护----防火墙的安全策略、NAT策略实验_第3张图片

在策略里面新建一个安全策略,写上生产区访问dmz区http服务器的策略

防御保护----防火墙的安全策略、NAT策略实验_第4张图片

防御保护----防火墙的安全策略、NAT策略实验_第5张图片

效果:

能达到仅能访问HTTP服务器,其它的功能不能实现,如ping。

防御保护----防火墙的安全策略、NAT策略实验_第6张图片

防御保护----防火墙的安全策略、NAT策略实验_第7张图片

要求2的实现:

先做一个策略,10.0.2.10的client可以访问dmz区的http和ftp,这里策略的源地址为10.0.2.10

防御保护----防火墙的安全策略、NAT策略实验_第8张图片

防御保护----防火墙的安全策略、NAT策略实验_第9张图片

效果:

可以实现访问http和ftp服务,但其它的不能实现,如ping

防御保护----防火墙的安全策略、NAT策略实验_第10张图片

防御保护----防火墙的安全策略、NAT策略实验_第11张图片

防御保护----防火墙的安全策略、NAT策略实验_第12张图片

这下做10.0.2.20只能ping通10.0.3.10的策略,写好源地址和目的地址,服务只允许icmp

防御保护----防火墙的安全策略、NAT策略实验_第13张图片

源地址

防御保护----防火墙的安全策略、NAT策略实验_第14张图片

目的地址

防御保护----防火墙的安全策略、NAT策略实验_第15张图片

效果:

只能实现ping通10.0.3.10,但不能ping通10.0.3.20

防御保护----防火墙的安全策略、NAT策略实验_第16张图片

防御保护----防火墙的安全策略、NAT策略实验_第17张图片

要求3实现:

在认证策略里,基本使用默认的认证策略就可以实现认证,这里使用匿名认证。

防御保护----防火墙的安全策略、NAT策略实验_第18张图片

效果:

要求4的实现:

于公网相连的g1/0/1口的ip配置,这里的网关指向公网

防御保护----防火墙的安全策略、NAT策略实验_第19张图片

公网路由配置

[ISP]int g0/0/1
[ISP-GigabitEthernet0/0/1]ip add 12.0.0.2 24
Jan 26 2024 23:01:24-08:00 ISP %%01IFNET/4/LINK_STATE(l)[0]:The line protocol IP
 on the interface GigabitEthernet0/0/1 has entered the UP state. 
[ISP-GigabitEthernet0/0/1]int lo 0
[ISP-LoopBack0]ip add 1.1.1.1 24

这里办公区访问公网的nat策略制作,在后面,要点击新建安全策略,一个NAT策略一个安全策略,是必须的

防御保护----防火墙的安全策略、NAT策略实验_第20张图片

防御保护----防火墙的安全策略、NAT策略实验_第21张图片

效果:

防御保护----防火墙的安全策略、NAT策略实验_第22张图片

查看会话表时,就可以看见NAT的转换。

防御保护----防火墙的安全策略、NAT策略实验_第23张图片

你可能感兴趣的:(网络,安全)