案例模拟实验二(模拟双线接入配置)
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
案例模拟实验二
【实验背景】
企业集团总部通过使用一台USG5320防火墙作为路由连接外网。各个子公司分别通过电信运营商和联通运营商接入集团总部网络。
【实验目的】
1.了解防火墙的基本工作原理;
2.掌握防火墙安全区域的划分配置;
3.掌握防火墙基本安全策略的配置;
4.掌握防火墙NAT的基本配置。
【实验内容】
模拟配置USG5320防火墙,实现防火墙基本功能。区域划分,双线接入,内网外网隔离。
【实验环境】
计算机一台,华为模拟软件ensp
【实验原理】
一、安全区域
在防火墙中引入“安全区域”的概念是为了对流量来源进行安全等级的划分,以判断何时对流量进行检测。通常情况下,相同安全区域中的流量流动是不需要检测的,而跨安全区域的流量由于存在安全风险,是需要受到防火墙控制的。(详见配置指南7.2.1、7.2.2、7.2.3、7.2.4)
二、安全策略
安全策略用于对流经设备或访问设备的流量进行安全检查、控制哪些流量可以通过或访问设备。如果安全策略错误将直接影响网络的正常通信。(详见配置指南7.5.1、7.5.2、7.5.3、7.5.4)
三、配置NAT
NAT 主要用于多个私网用户使用一个公网IP 地址访问外部网络的情况,从而减缓可用IP 地址资源枯竭的速度。随着NAT 技术的发展,NAT 已经不仅可以实现源地址的转换,还可以实现目的地址的转换。(详见配置指南7.9.1、7.9.2、7.9.3、7.9.4、7.9.5、7.9.9.1、7.9.9.2)【实验拓扑】
在模拟实验一拓扑结构基础上,模拟双线接入的连接,为了进行配置的测试,电信和联通端的设备用两台主机来模拟。
【实验步骤】
IP地址规划:
1. 配置硬件接口地址
[USG5320]interface GigabitEthernet0/0/0 #进入g0/0/0
[USG5320-GigabitEthernet0/0/1]ip address 119.97.211.26 255.255.255.252 #为g0/0/0配置IP地址
[USG5320]interface GigabitEthernet0/0/1
[USG5320-GigabitEthernet0/0/1]ip address 220.249.97.114 255.255.255.248
[USG5320]interface GigabitEthernet0/0/2
[USG5320-GigabitEthernet0/0/2] ip address 10.0.0.1 255.255.255.240
2.划分安全区域,把相应的接口加入到安全区域内
#将集团总部内网划分到trust区域
[USG5320]firewall zone trust
[USG5320-zone-trust]add interface GigabitEthernet0/0/2
[USG5320-zone-trust]description to-neiwang
#将连接电信的外网划分到untrust区域
[USG5320]firewall zone untrust
[USG5320-zone-untrust] add interface GigabitEthernet0/0/0
[USG5320-zone-trust]description to-dianxin
#将连接联通的外网划分到isp区域
[USG5320]firewall zone name isp
[USG5320-zone-isp]set priority 10
[USG5320-zone-isp] add interface GigabitEthernet0/0/1
[USG5320-zone-trust]description to-liantong
3.配置基本安全策略
(1)配置域间包过滤,以保证网络基本通信正常
[USG5320]firewall packet-filter default permit interzone local trust direction inbound [USG5320]firewall packet-filter default permit interzone local trust direction outbound
[USG5320]firewall packet-filter default permit interzone local untrust direction inbound
[USG5320]firewall packet-filter default permit interzone local untrust direction outbound
[USG5320]firewall packet-filter default permit interzone local isp direction inbound
[USG5320]firewall packet-filter default permit interzone local isp direction outbound
(2)禁止内网访问外网,允许外网数据流通过
#untrust->trust
policy interzone trust untrust inbound
policy 0
action permit
#trunst->untrust
policy interzone trust untrust outbound
policy 0
action deny
#isp->trust
policyinterzone trust isp inbound
policy 0
action permit
#trust->isp2
policyinterzone trust isp outbound
policy 0
action deny
(3)禁止ftp、qq、msn通信
#
firewall interzone trust untrust
detect ftp
detect qq
detect msn
#