网络安全——防御课实验二

在实验一的基础上，完成7-11题

拓扑图

7、办公区设备可以通过电信链路和移动链路上网(多对多的NAT，并且需要保留一个公网IP不能用来转换)

首先，按照之前的操作，创建新的安全区（电信和移动）分别表示两个外网网段，如图

然后，点击策略中的NAT策略中的NAT策略并新建策略，如图所示：

创建如下填写：

注意：我们是办公区访问外网，就是私网访问外网需要选择的转换模式是源地址转换

目标类型是电信和移动

应题目多对多要求，地址转换选择地址池中的地址，因为出接口地址是easy ip是一对多，而地址池中的地址有多对多也有动态NAPT，这里我地址池设置名为DX，具体配置如下：

移动的配置

电信的配置：

因为要保留一个ip，所以要有以下配置：

结果检验：

ping路由器的环回接口可以ping通。

8、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

首先配置分公司网络，如图：

同样的，配置NAT策略，先让分公司的网络可以访问外网，具体配置如下：

地址池FW配置：

安全策略可以自动生成：

然后配置DMZ区的防火墙，使能访问HTTP服务器，具体配置如下：

目标转换地址是要访问的HTTP服务器10.0.3.10，如图：

配置完成。

检验：可以访问DMZ的HTTP服务器

9、多出口环境基于带宽比例进行选路，但是，办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护，保护阈值80%；

10.0.2.10只能通过电信访问，运用出接口的方法，将接口定义到电信网段，配置如下：

多出口基于带宽比例选路，配置如下：

过载保护阈值在接口上配置，如图：

检验，配置好后，选路会有变化：

10、分公司内部的客户端可以通过域名访问到内部的服务器，公网设备也可以通过域名访问到分公司内部服务器；

首先，在之前的配置中，我们已经将分公司与公司连通，即公司能访问分公司的HTTP服务器，分公司也能访问DMZ的HTTP服务器，检验如下：

公司访问分公司

分公司访问公司DMZ

所以，接下来我们只要配置DNS即可，配置如下：

因为有防火墙，不能直接访问ip，所以要通过防火墙的地址转换接口进入访问

然后再在用于访问的机器上添加访问的DNS域名解析服务器ip，如图：

检验：

公司访问分公司

分公司访问公司

分公司访问内部服务器

11、游客区仅能通过移动链路访问互联网

只需要给游客区配置上网策略时只配置移动链路

如图：

地址池YD配置如下：

自此，实验要求基本完成，由于是学习理论后的第一次实践，完成得还是挺费力的，可能有些不太完善或者没达到要求，我还得不断学习完善。