当前位置:文档之家› 案例模拟实验二(模拟双线接入配置)

案例模拟实验二(模拟双线接入配置)

案例模拟实验二
【实验背景】
企业集团总部通过使用一台USG5320防火墙作为路由连接外网。

各个子公司分别通过电信运营商和联通运营商接入集团总部网络。

【实验目的】
1.了解防火墙的基本工作原理;
2.掌握防火墙安全区域的划分配置;
3.掌握防火墙基本安全策略的配置;
4.掌握防火墙NAT的基本配置。

【实验内容】
模拟配置USG5320防火墙,实现防火墙基本功能。

区域划分,双线接入,内网外网隔离。

【实验环境】
计算机一台,华为模拟软件ensp
【实验原理】
一、安全区域
在防火墙中引入“安全区域”的概念是为了对流量来源进行安全等级的划分,以判断何时对流量进行检测。

通常情况下,相同安全区域中的流量流动是不需要检测的,而跨安全区域的流量由于存在安全风险,是需要受到防火墙控制的。

(详见配置指南7.2.1、7.2.2、7.2.3、7.2.4)
二、安全策略
安全策略用于对流经设备或访问设备的流量进行安全检查、控制哪些流量可以通过或访问设备。

如果安全策略错误将直接影响网络的正常通信。

(详见配置指南7.5.1、7.5.2、7.5.3、7.5.4)
三、配置NAT
NAT 主要用于多个私网用户使用一个公网IP 地址访问外部网络的情况,从而减缓可用IP 地址资源枯竭的速度。

随着NAT 技术的发展,NAT 已经不仅可以实现源地址的转换,还可以实现目的地址的转换。

(详见配置指南7.9.1、7.9.2、7.9.3、7.9.4、7.9.5、7.9.9.1、7.9.9.2)【实验拓扑】
在模拟实验一拓扑结构基础上,模拟双线接入的连接,为了进行配置的测试,电信和联通端的设备用两台主机来模拟。

【实验步骤】
IP地址规划:
1. 配置硬件接口地址
<USG5320>system view
[USG5320]interface GigabitEthernet0/0/0 #进入g0/0/0
[USG5320-GigabitEthernet0/0/1]ip address 119.97.211.26 255.255.255.252 #为g0/0/0配置IP地址
[USG5320]interface GigabitEthernet0/0/1
[USG5320-GigabitEthernet0/0/1]ip address 220.249.97.114 255.255.255.248
[USG5320]interface GigabitEthernet0/0/2
[USG5320-GigabitEthernet0/0/2] ip address 10.0.0.1 255.255.255.240
2.划分安全区域,把相应的接口加入到安全区域内
#将集团总部内网划分到trust区域
[USG5320]firewall zone trust
[USG5320-zone-trust]add interface GigabitEthernet0/0/2
[USG5320-zone-trust]description to-neiwang
#将连接电信的外网划分到untrust区域
[USG5320]firewall zone untrust
[USG5320-zone-untrust] add interface GigabitEthernet0/0/0
[USG5320-zone-trust]description to-dianxin
#将连接联通的外网划分到isp区域
[USG5320]firewall zone name isp
[USG5320-zone-isp]set priority 10
[USG5320-zone-isp] add interface GigabitEthernet0/0/1
[USG5320-zone-trust]description to-liantong
3.配置基本安全策略
(1)配置域间包过滤,以保证网络基本通信正常
[USG5320]firewall packet-filter default permit interzone local trust direction inbound [USG5320]firewall packet-filter default permit interzone local trust direction outbound
[USG5320]firewall packet-filter default permit interzone local untrust direction inbound
[USG5320]firewall packet-filter default permit interzone local untrust direction outbound
[USG5320]firewall packet-filter default permit interzone local isp direction inbound
[USG5320]firewall packet-filter default permit interzone local isp direction outbound
(2)禁止内网访问外网,允许外网数据流通过
#untrust->trust
policy interzone trust untrust inbound
policy 0
action permit
#trunst->untrust
policy interzone trust untrust outbound
policy 0
action deny
#isp->trust
policyinterzone trust isp inbound
policy 0
action permit
#trust->isp2
policyinterzone trust isp outbound
policy 0
action deny
(3)禁止ftp、qq、msn通信
#
firewall interzone trust untrust
detect ftp
detect qq
detect msn
#
firewall interzone trust isp
detect ftp
detect qq
detect msn
4.NAT配置(此部分配置再参考案例模拟实验四中的相关配置)
(1)创建地址池
电信:nat address-group 0 119.97.211.26 119.97.211.26
联通:nat address-group 1 220.249.97.114 220.249.97.118
(2)配置转换策略
#通过电信访问Internet
nat-policy interzone trust untrust outbound
policy 902
action source-nat
policy source 10.0.0.0 0.0.255.255
address-group 0
#通过联通访问Internet
nat-policy interzone trust isp outbound
policy 900
action source-nat
policy source 10.0.0.0 0.0.255.255
address-group 1
5.验证
给“dianxin”这台主机配置相应的IP地址,与业务服务器进行互ping。

但此时我们的验证还不能进行,因为这里涉及到了两个远程网络的互相通信,因此需要配置相应的路由保证远程网络的基本通信正常,才能去验证防火墙基本安全策略配置的正确性。

1. 在USG5320中配置到达业务服务器子网所在网络的静态路由:
ip route-static 10.0.0.32 255.255.255.240 10.0.0.14
2. 在S9306中配置一条回程路由:
ip route-static 0.0.0.0 0.0.0.0 10.0.0.1
3.验证:在配置安全策略时,做了这样的策略“禁止内网访问外网,允许外网数据流通过”。

因此,如果配置正确,“dianxin”主机可以ping通业务服务器,业务服务器ping不同“dianxin”主机。

(ftp\QQ\MSN通信和NAT暂时无法验证)。

相关主题

相关文档推荐: