• 防火墙实验一

    实验要求——实验拓扑

    在这里插入图片描述

    对cloud1进行配置

    在这里插入图片描述

    对防火墙的g0/0/0端口进行一些配置

    1.首先进入端口g0/0/0,将他配置ip与cloud1处于同一个网段

    < USG6000V1 >system-view
    [USG6000V1] int g0/0/0
    [USG6000V1-GigabitEthernet0/0/0] ip add 172.25.10.2 24
    这里要注意的是一定要在g0/0/0口进行配置,应为这个是一个管理口,并且所配置的ip要和cloud选中的除了UDP的另一个的网段是相同的。

    然后启动服务

    [USG6000V1-GigabitEthernet0/0/0] service-manage all permit

    使用浏览器进入网站

    使用浏览器访问你给防火墙加入的IP;用户名和密码就是你在今天防火墙命令配置界面的那个。
    在这里插入图片描述
    登录进入后,要进行一个选择网络可以看见他已经划分了4个区域
    在这里插入图片描述
    这里所显示的优先级也可以理解为是他的安全信任度,优先级越高他越信任。同时也有一个说法就是,从高到低的流量就是outbound;而从低到高的流量就叫做inbound。
    我们也可以进行一个区域的新建划分:
    在这里插入图片描述

    对接口进行划分

    有两种方式:
    1.在安全区域内进行划分
    在这里插入图片描述
    2.直接在接口处进行一个选则
    在这里插入图片描述
    然后就用上面方式将接口1/0/1划分到trust区域;接口1/0/2划分到untrust区域;接口1/0/0划分到dmz区域

    对交换机LSW1 进行一个接口vlan的划分

    首先先划分出3个vlan分别是vlan2、vlan3、vlan10
    1.进入到g0/0/2接口,然后进行一个vlan的配置:

    [sw-GigabitEthernet0/0/2]port link-type access
    [sw-GigabitEthernet0/0/2]port default vlan 2

    2.进入到g0/0/3接口,然后配置为vlan3

    [sw-GigabitEthernet0/0/3]port link-type access
    [sw-GigabitEthernet0/0/3]port default vlan 3

    3.进入到g0/0/1接口,然后划分vlan10

    [sw-GigabitEthernet0/0/1]port link-type access
    [sw-GigabitEthernet0/0/1]port default vlan 10

    对各个vlan配置IP

    vlan 2

    [sw]int vlan 2
    [sw-Vlanif2]ip add 172.16.2.1 24

    vlan 3

    [sw-Vlanif2]int vlan 3
    [sw-Vlanif3]ip add 172.16.3.1 24

    vlan10

    [sw-Vlanif3]int vlan 10
    [sw-Vlanif10]ip add 172.16.1.2 24

    配置server服务器的IP地址

    在这里插入图片描述

    配置R2的接口g0/0/0的IP地址

    [r2]int e0/0/0
    [r2-Ethernet0/0/0]ip add 100.1.1.2 24

    在防火墙上配置接口IP地址

    配置方式参考下图:
    配置g1/0/1接口的IP
    在这里插入图片描述
    配置g1/0/2接口的IP
    在这里插入图片描述
    配置g1/0/0接口的IP地址
    在这里插入图片描述

    然后需要在vlan2 和vlan3上写一个回程路由

    在这里插入图片描述
    然后在策略中进行修改
    在这里插入图片描述
    在分别对R1、R2和LSW1加上 一个缺省路由
    R1:

    [r1]ip route-static 0.0.0.0 0 172.16.2.1
    在这里插入图片描述
    R2:
    [r2]ip route-static 0.0.00 0 100.1.1.1

    在这里插入图片描述
    LSW1:

    [sw]ip route-static 0.0.0.0 0 172.16.1.1

    在这里插入图片描述

    在防火墙允许的情况下查看是否可以ping通

    在这里插入图片描述

    防火墙策略一:

    先新建一个安全策略来设置内网能够访问外网

    首先新建一个策略
    在这里插入图片描述
    新建地址组:
    在这里插入图片描述
    然后按照图填写,填写完毕后点击确认
    在这里插入图片描述
    这样的话安全策略就新建成功
    在这里插入图片描述
    然后测试是否能从内网ping通外网
    在这里插入图片描述
    在防火墙的配置界面也可以看到命数加1;如果没有出现尝试一下刷新
    在这里插入图片描述

    这里可能会有疑问就是明明我发的是5个,并且都ping通了;为什么命中数显示为1
    这个原因就是因为它遵循的是首包原则

    防火墙策略二——外网想访问DMZ区域

    首先我们要开启server的HTTP服务

    在这里插入图片描述

    建立一个新的安全策略

    新建策略的方法和刚刚的相同,只不过要多选一个服务。
    在这里插入图片描述
    这样的话就建立成功了
    在这里插入图片描述

    然后进行一个测试

    在这里进行一个获取查看是否能获取到
    在这里插入图片描述

    我在这里遇到一个问题就是client2和server1是连接没有问题的、配置也没有问题,但是它一直获取失败,但是当我调整了一下server访问的路径,就连接成功,所以这可能是因为权限不够造成的
    在这里插入图片描述

  • 相关阅读:
    Nginx之动静分离解读
    HTML介绍——HTML筑基
    开放式无线运动耳机怎么挑选,适合在运动佩戴的几款耳机推荐
    (2022牛客多校五)D-Birds in the tree(树形DP)
    【无标题】mysql 普通用户连接报错: MySql server has gone away
    web前端网页设计与制作:HTML+CSS旅游网页设计——桂林旅游(3页) web前端旅游风景网页设计与制作 div静态网页设计
    网络编程:socket的阻塞模式和非阻塞模式
    java中级面试题有哪些?java中级面试题大汇总
    (附源码)spring boot记账微信 毕业设计 180815
    Web前端开发技术课程大作业——南京旅游景点介绍网页代码html+css+javascript
  • 原文地址:https://blog.csdn.net/lml_0916/article/details/126778653