news 2026/6/23 19:26:47

防火墙实验 防火墙综合实验

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
防火墙实验 防火墙综合实验

实验八 防火墙综合实验

实验目的:

1.掌握USG6000v复杂场景部署方法,包括接口配置、安全域划分、路由设置等核心操作;

2.通过防火墙复杂场景下的配置,涵盖 NAT 转换、服务器映射、IPSec VPN 搭建、安全策略管控等功能,实现多场景网络互通与安全防护。

实验内容:

  1. 拓扑图

  1. 拓扑说明

设备组成:客户端(Client1、PC2、校本部团委PC、南校区团委PC)、路由器(ISP1路由器、ISP2路由器)、防火墙(校本部FW、南校区FW)、服务器(官网服务器、DNS服务器、百度服务器)。

IP地址分配:

校本部防火墙FW:

接口GE0/0/0:192.168.0.1/24

接口GE1/0/0:13.13.13.1/24(untrust区域)

接口GE1/0/1:Trunk模式,trust区域,承载VLAN10、VLAN20

虚拟接口Vlanif10:192.168.10.254/24(trust区域,校本部团委网关)

虚拟接口Vlanif20:172.16.20.254/24(trust区域,PC2网关)

接口GE1/0/2:172.16.10.254/24(dmz区域)

南校区防火墙FW:

接口GE0/0/0:192.168.0.22/24

接口GE1/0/0:25.25.25.5/24(untrust区域,连接互联网ISP2)

接口GE1/0/1:192.168.20.254/24(trust区域,南校区团委网关)

服务器:

官网服务器Ethernet0/0/0:172.16.10.1/24(dmz区域,提供www.tsu.edu.cn服务)

DNS服务器Ethernet0/0/0:7.7.7.8/24(untrust区域,解析www.tsu.edu.cn)

百度服务器:7.7.7.6/24(untrust区域)

路由器:

ISP1路由器GE0/0/0:13.13.13.3/24

ISP1路由器GE0/0/1:23.23.23.3/24

ISP2路由器GE0/0/0:25.25.25.2/24

ISP2路由器GE0/0/1:23.23.23.2/24

ISP2路由器GE0/0/2:7.7.7.254/24

客户端:

Client1(外网)Ethernet0/0/0:7.7.7.7/24(untrust区域)

PC2 Ethernet0/0/0:172.16.20.1/24(trust区域)

校本部团委PC Ethernet0/0/0:192.168.10.1/24(trust区域)

南校区团委PC Ethernet0/0/0:192.168.20.1/24(trust区域)

核心需求:保障校本部与南校区团委PC的VPN互通,实现PC2的外网访问测试,确保外网Client1对官网服务器的正常访问,并通过安全域划分保障网络安全。

实验步骤

一、第一阶段:

  1. 基础配置(校本部 FW)

(1)管理口与物理接口配置

配置管理口GE0/0/0,允许所有管理服务,并配置GE1/0/0和GE1/0/2,将GE1/0/1改为二层模式

(2)二层接口与 VLAN 配置

创建vlan,同时开放ping命令,配ip地址,同时GE1/0/1口加入VLAN

(3)动态路由配置(OSPF)

(4)进入web页面配置

安全域划分

新建地址

  1. PC2 外网访问配置(NAT 转换 + 安全策略)

首先实现pc2 ping 通7.7.7.6,不仅需要安全策略,还需要NAT转换,NAT 策略和安全策略如图

3.实现外网访问官网的步骤,需要安全策略和NAT映射(就可以实现外网访问到官网,同时不泄露官网的真实ip地址):

4.南校区FW IPSec VPN 策略配置

新建点到点策略

VPN 安全策略配置:

新建 ISAKMP 策略(UDP 500 端口):

新建 ESP 策略:

新建 VPN 数据策略:

结果如图:

  1. 交换机配置(LSW2,连接校本部 FW GE1/0/1)

创建VLAN10、20,配置接入端口(连接PC2、校本部团委PC),配置Trunk端口

测试一下,pc2到防火墙172.16.20.254通不通:

  1. ISP 路由器配置(ISP1、ISP2)

(1)ISP1 配置

配置接口,配置OSPF

在防火墙web页面看到已经学习到路由:

(2)ISP2 配置

配置接口,配置OSPF

配置访问官网:

配置官网服务器:

dns服务器,做域名解析:

实验结果:

打开client(7.7.7.7)客户端,在地址栏中输入我们的网址获取到了文件,也就意味着我们可以访问官网

pc2ping通7.7.7.6

二、第二阶段,VPN配置:

(1)南校区 FW 基础配置

接口配置:

进入web界面配置安全区域:

ospf配置:

(2)南校区FW IPSec VPN 策略配置

新建地址:

新建点到点策略:

VPN 安全策略配置:

新建 ISAKMP 策略(UDP 500 端口):

新建 ESP 策略:

新建 VPN 数据策略:

安全策略结果如下:

Ipsec协商结果:

校本部和南校区的ipsec协商均成功:

(5)静态路由配置(两端 FW)

校本部FW:添加到南校区团委的静态路由

ip route-static 192.168.20.0 24 13.13.13.3

南校区FW:添加到校本部团委的静态路由

ip route-static 192.168.10.0 24 25.25.25.2

实验结果:

校本部团委电脑和南校区团委电脑互相ping通

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/6/23 13:10:46

AI大模型Agent运维监控面试秘籍:15道高频题+实战解析,助你轻松应对面试挑战(收藏级)!

简介 本文精选15道AI大模型Agent运维与监控高频面试题,涵盖监控指标设计、告警机制、错误追踪、日志分析、健康检查、自动恢复、备份策略、容量规划、资源管理及运维自动化等核心知识点。每题提供详细解答和最佳实践,系统构建Agent运维知识体系&#xff…

作者头像 李华
网站建设 2026/6/23 13:10:44

FLUX.1-dev-Controlnet-Union模型对比解析

FLUX.1-dev-Controlnet-Union 模型深度解析与横向对比 在当前生成式 AI 的演进中,文生图模型早已不再满足于“根据文字画出大概画面”的初级阶段。越来越多的创作者和开发者需要的是精确控制图像结构、布局与空间关系的能力——比如让角色摆出特定姿势、建筑呈现准确…

作者头像 李华
网站建设 2026/6/23 3:14:30

DeepSpar USB Stabilizer: 仅使用软件尝试数据恢复,其背后的风险

非专业人员使用软件进行数据恢复的普遍风险全球大多数普通 IT 服务商都向客户提供数据恢复服务。在多数情况下,这些恢复尝试仅由未经正式数据恢复培训的个人使用软件工具进行。每年,这类不专业的操作导致了无数硬盘故障和数据永久丢失的案例。本文将阐述…

作者头像 李华
网站建设 2026/6/22 18:10:32

为什么计算机生必打 CTF?低门槛 + 高收益全揭秘

在网络安全行业,“CTF 经历” 早已不是加分项,而是大学生进入大厂安全岗、保研网安专业的 “硬通货”。据《2024 年网络安全人才发展报告》显示,头部企业(字节、腾讯、奇安信等)安全岗招聘中,有 CTF 获奖经…

作者头像 李华
网站建设 2026/6/23 7:00:49

TensorRT-LLM入门指南:高效推理大模型

TensorRT-LLM入门指南:高效推理大模型 在大语言模型(LLMs)正以前所未有的速度重塑AI应用的今天,一个现实问题摆在所有开发者面前:如何让千亿参数的庞然大物在生产环境中跑得又快又稳? 我们见过太多这样的…

作者头像 李华
网站建设 2026/6/23 13:54:06

TOP Server + DataHub 构建高可用工业数据冗余解决方案

在工业自动化和智能制造领域,稳定、不间断的数据流是保障生产连续性与创造业务价值的关键。然而,许多传统的OPC数据冗余方案常受限于切换不可靠、配置繁琐、覆盖不全、维护复杂等挑战。 数据冗余:简单来说就是在传输数据时,准备多…

作者头像 李华