实验使用的拓扑结构:
文章图片
进入防火墙
1、云如何配置:先增加一个UDP口,再增加一个虚拟网卡的口,然后将这两个进行端口映射
文章图片
2、进入防火墙,先使用原用户名和密码登录,第一次会强制修改密码
原用户名:admin
原密码:Admin@123
文章图片
3、给防火墙的g0/0/0接口配上地址(该接口默认有地址,为192.168.0.1),再开启管理(因为使用的模拟器需要手动开启,真实设备默认开启)
system-view
Enter system view, return user view with Ctrl+Z.
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.112.145 24
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit 可以查看我们开启的服务有哪些:
【安全防御|防火墙实验1】
文章图片
4、 进入浏览器输入我们在g0/0/0端口设置的IP加上8443端口号进入防火墙web页面
文章图片
区域划分
1、首先我们查看默认的区域有哪些
文章图片
2、我们可以新建区域
文章图片
3、我们给区域划分接口:将g1/0/0划分到trust区域
1)第一种方法,在区域部分直接划分
文章图片
2)在接口处划分
文章图片
配置接口地址
交换机上的配置:
1、划分VLAN2、3、10
文章图片
文章图片
文章图片
2、配置IP地址
interface Vlanif2
ip address 172.16.2.1 255.255.255.0interface Vlanif3
ip address 172.16.3.1 255.255.255.0interface Vlanif10
ip address 172.16.1.2 255.255.255.0server1配置IP:
文章图片
R1路由器上的配置:
文章图片
R2路由器上的配置:
文章图片
此时要注意在路由器和交换机上加上缺省路由
[r1]ip route-static 0.0.0.0 0 100.1.1.1[r2]ip route-static 0.0.0.0 0 172.16.2.1[sw]ip route-static 0.0.0.0 0 172.16.1.1防火墙的地址配置:
文章图片
在防火墙上写一个回程路由 ( 回程路由:路由器将用户的报文发到外网,外网回应的报文到路由器后,路由器需要根据回程路由将报文再发给用户。)
文章图片
将防火墙的安全策略设置为允许,测试内网到外网能否ping通
文章图片
防火墙策略1:设置内网能访问外网
1)选中新建安全策略
文章图片
2)新建地址组
文章图片
3)策略完成
文章图片
4)测试可以从内网ping通外网
文章图片
5)查看策略可以看见有一个命中数
文章图片
PS:有一个命中数的原因:首包原则
6)可以查看会话表
文章图片
防火墙策略2:外网用户要访问DMZ区域的服务器
1、开启服务器的HTTPserver服务
文章图片
2、建立安全策略
文章图片
文章图片
3、测试是否可以连接,客户端设置的IP地址是100.1.1.3/24
文章图片
4、检查会话表
文章图片
防火墙策略3:内网用户可以使用FTP访问文件
1、server服务器开启FTPserver服务
文章图片
2、建立安全策略
文章图片
3、在客户机上测试
文章图片
4、查看会话表
文章图片
5、可以使用防火墙命令行界面查看
文章图片
推荐阅读
- Linux|SSH免密登录配置ssh-copy-id
- k8s|干货丨如何进行容器管理平台监控(k8s)
- 服务器|EsgynDB Troubleshooting - 网卡MTU导致跨网段访问数据库失败
- linux|Linux-RPM与YUM
- 软件测试|Linux常用命令(精简版)
- 服务器|Arm、Intel 和 AMD 服务器 CPU未来2年市场发展分析
- linux|第三阶段.Linux+arm
- windows|NSSM - 将任何exe应用封装成windows服务的神器
- PostgreSQL|2、PostgreSQL数据库介绍