混合模式下的防火墙配置实验
混合模式下防火墙的配置实验
【实验名称】
混合模式下防火墙的配置实验
【实验目的】
根据公司网络的安全要求在混合模式下配置防火墙
【背景描述】
公司的安全要求: 仅有少量公网地址
LAN 、WAN1 和DMZ 为私有地址,且在同一子网; 禁止外网到内网和WAN1的连接;
限制内网到外网的连接,即只开放有限的服务,比如浏览网页、收发邮件、下载文
件、DNS 、ping 等;
限制内网到WAN1的连接,只允许访问FTPSer 的ftp 服务;
限制DMZ 到WAN1的连接,只允许MailSer 访问DataSer 的SQL (TCP 1433)
服务;
DMZ 区对内外网提供服务,比如WWW 服务、邮件服务等; IP 地址分配: LAN 、DMZ 、WAN1网段:192.168.1.0/24,防火墙虚拟设备br 接口IP :192.168.1.1 WAN 网段:202.123.3.0/24
【需求分析】
通过防火墙划分不同等级的安全区域,默认不同安全区域互相不能访问,根据安全和访问的需求设置安全策略,保证只开放最小范围内的访问
【实验拓扑】
【实验设备】
防火墙 1台 交换机 1台
PC 机 2台(其中一个作为管理主机和内网主机,另一台做DMZ 区服务器或
外网的机器)
【预备知识】
防火墙的基本原理
【实验原理】
根据公司的安全要求: 由于火墙划分的内网、WAN1、DMZ 区属于同一网段,所以防火墙在内网、DMZ 、WAN1都使用混合模式;而外网是一个独立的网段,使用路由模式;
LAN 、WAN1 和DMZ 区网关指向防火墙;
通过安全策略限制内网到外网的连接,并实施 NAT ;
通过安全策略限制外网到 DMZ 区的连接,并实施IP 映射或端口映射;
【实验步骤】
第一步:防火墙初始配置
A 、 在“网络配置->网络接口”下更改各个接口的工作模式
B 、 在“网络配置->接口IP ”下更改设置各个接口的IP 地址
C 、 在“管理配置->管理主机”下设置管理主机
D 、 在“管理配置->管理方式”下设置管理方式
第二步、定义所有地址资源:
第三步、定义服务资源和服务组:
第四步、添加包过滤规则:
第五步、添加 NAT 规则:
第六步、添加端口映射规则:
终极图如下:
第七步、验证试验
从内网pc1 PING 互联网的PC2看能否ping 通
【注意事项】
● 防火墙的访问控制规则是按照顺序进行匹配的,如果数据流匹配到某条规则后,将
不再进行后续规则的匹配。
● 默认情况下,防火墙拒绝所有未明确允许的数据流通过。
本实验中没有给出防火墙路由的配置,需要根据实际网络情况在防火墙上配置到达Internet (通常是默认路由)和内部网络的路由
【注意事项】