炒鸡清晰的防御综合实验（内含区域划分，安全策略，用户认证，NAT认证，智能选路，域名访问）

实验拓扑图如下：

前面六个条件在之间的实验中做过了，详细步骤可以去之前的文章看

这里简写一下大致步骤

第一步：

先将防火墙之外的配置给配置好，比如，PC的IP,交换上的Vlan划分。

第二步：

在浏览器上登陆防火墙

https://防火墙管理口地址：8843

第三步：

在防火墙上创建子接口，并为接口配置IP地址

第四步：

创建安全区域，将接口划入到对应的区域内

其他区域一样的操作

第五步：

配置安全策略

第六步：

创建用户组和用户，配置认证策略（单向绑定  匿名认证                   免认证   双向绑定）

第七步：

管理员创建（先创建管理员角色，在创建管理员）

到这里，前6个步骤简单的完成了

步骤八：

办公区设备可以通过电信链路和移动链路上网(多对多的NAT，并且需要保留一个公网IP不能用来转换)

8.1 创建电信和移动两个区域，并将接口划入区域中

8.2.创建NAT策略

在这里的源地址转换池配置地址池范围

测试：

pc3访问外网

研发访问外网

步骤九

分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

9.1

分公司防火墙上 接口IP配置，接口划分区域，配置安全策略

主公司防火墙上做端口映射

测试：

步骤十

分公司内部的客户端可以通过域名访问到内部的服务器，公网设备也可以通过域名访问到分公司内部服务器；

注意：这里如果只做了单向NAT,那么内网用户如果通过域名访问的话，流量就会去到防火墙上，然后防火墙用内网用户的IP访问内网服务器，内网服务器收到后，发现在一个区域内，就不发给防火墙了，通过交换机广播。然后，用户收到以后，发现目的IP不一样，就丢弃了

这里的192.168.1.2是内网用户，23.0.0.2是公网IP地址，192.168.1.10是内网服务器。

10.1  双向NAT(内部的客户端可以通过域名访问到内部的服务器)

10.2   (公网设备也可以通过域名访问到分公司内部服务器)

测试：

步骤十一

11，游客区仅能通过移动链路访问互联网

测试：

本次实验到此为此