网络安全——防御课实验二

07-14 1324阅读

网络安全——防御课实验二

在实验一的基础上,完成7-11题

拓扑图

网络安全——防御课实验二

7、办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)

首先,按照之前的操作,创建新的安全区(电信和移动)分别表示两个外网网段,如图

网络安全——防御课实验二

然后,点击策略中的NAT策略中的NAT策略并新建策略,如图所示:

网络安全——防御课实验二

创建如下填写:

网络安全——防御课实验二

网络安全——防御课实验二

注意:我们是办公区访问外网,就是私网访问外网需要选择的转换模式是源地址转换

目标类型是电信和移动

应题目多对多要求,地址转换选择地址池中的地址,因为出接口地址是easy ip是一对多,而地址池中的地址有多对多也有动态NAPT,这里我地址池设置名为DX,具体配置如下:

移动的配置

网络安全——防御课实验二

电信的配置:

网络安全——防御课实验二

因为要保留一个ip,所以要有以下配置:

网络安全——防御课实验二

结果检验:

网络安全——防御课实验二

ping路由器的环回接口可以ping通。

8、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

首先配置分公司网络,如图:网络安全——防御课实验二

同样的,配置NAT策略,先让分公司的网络可以访问外网,具体配置如下:

网络安全——防御课实验二

地址池FW配置:

网络安全——防御课实验二

安全策略可以自动生成:

网络安全——防御课实验二

然后配置DMZ区的防火墙,使能访问HTTP服务器,具体配置如下:

网络安全——防御课实验二

目标转换地址是要访问的HTTP服务器10.0.3.10,如图:

网络安全——防御课实验二

配置完成。

检验:可以访问DMZ的HTTP服务器

网络安全——防御课实验二

9、多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;

10.0.2.10只能通过电信访问,运用出接口的方法,将接口定义到电信网段,配置如下:

网络安全——防御课实验二

多出口基于带宽比例选路,配置如下:

网络安全——防御课实验二

过载保护阈值在接口上配置,如图:

网络安全——防御课实验二

检验,配置好后,选路会有变化:

网络安全——防御课实验二

10、分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;

首先,在之前的配置中,我们已经将分公司与公司连通,即公司能访问分公司的HTTP服务器,分公司也能访问DMZ的HTTP服务器,检验如下:

公司访问分公司

网络安全——防御课实验二

分公司访问公司DMZ

网络安全——防御课实验二

所以,接下来我们只要配置DNS即可,配置如下:

因为有防火墙,不能直接访问ip,所以要通过防火墙的地址转换接口进入访问

网络安全——防御课实验二

然后再在用于访问的机器上添加访问的DNS域名解析服务器ip,如图:

网络安全——防御课实验二

检验:

公司访问分公司

网络安全——防御课实验二

分公司访问公司

网络安全——防御课实验二

分公司访问内部服务器

网络安全——防御课实验二

11、游客区仅能通过移动链路访问互联网

只需要给游客区配置上网策略时只配置移动链路

如图:

网络安全——防御课实验二

地址池YD配置如下:

网络安全——防御课实验二

自此,实验要求基本完成,由于是学习理论后的第一次实践,完成得还是挺费力的,可能有些不太完善或者没达到要求,我还得不断学习完善。

VPS购买请点击我

文章版权声明:除非注明,否则均为主机测评原创文章,转载或复制请以超链接形式并注明出处。

目录[+]