当前位置: 首页 > news >正文

防火墙实验 防火墙综合实验

news 2026/3/27 0:58:16

实验八 防火墙综合实验

实验目的:

1.掌握USG6000v复杂场景部署方法,包括接口配置、安全域划分、路由设置等核心操作;

2.通过防火墙复杂场景下的配置,涵盖 NAT 转换、服务器映射、IPSec VPN 搭建、安全策略管控等功能,实现多场景网络互通与安全防护。

实验内容:

  1. 拓扑图

  1. 拓扑说明

设备组成:客户端(Client1、PC2、校本部团委PC、南校区团委PC)、路由器(ISP1路由器、ISP2路由器)、防火墙(校本部FW、南校区FW)、服务器(官网服务器、DNS服务器、百度服务器)。

IP地址分配:

校本部防火墙FW:

接口GE0/0/0:192.168.0.1/24

接口GE1/0/0:13.13.13.1/24(untrust区域)

接口GE1/0/1:Trunk模式,trust区域,承载VLAN10、VLAN20

虚拟接口Vlanif10:192.168.10.254/24(trust区域,校本部团委网关)

虚拟接口Vlanif20:172.16.20.254/24(trust区域,PC2网关)

接口GE1/0/2:172.16.10.254/24(dmz区域)

南校区防火墙FW:

接口GE0/0/0:192.168.0.22/24

接口GE1/0/0:25.25.25.5/24(untrust区域,连接互联网ISP2)

接口GE1/0/1:192.168.20.254/24(trust区域,南校区团委网关)

服务器:

官网服务器Ethernet0/0/0:172.16.10.1/24(dmz区域,提供www.tsu.edu.cn服务)

DNS服务器Ethernet0/0/0:7.7.7.8/24(untrust区域,解析www.tsu.edu.cn)

百度服务器:7.7.7.6/24(untrust区域)

路由器:

ISP1路由器GE0/0/0:13.13.13.3/24

ISP1路由器GE0/0/1:23.23.23.3/24

ISP2路由器GE0/0/0:25.25.25.2/24

ISP2路由器GE0/0/1:23.23.23.2/24

ISP2路由器GE0/0/2:7.7.7.254/24

客户端:

Client1(外网)Ethernet0/0/0:7.7.7.7/24(untrust区域)

PC2 Ethernet0/0/0:172.16.20.1/24(trust区域)

校本部团委PC Ethernet0/0/0:192.168.10.1/24(trust区域)

南校区团委PC Ethernet0/0/0:192.168.20.1/24(trust区域)

核心需求:保障校本部与南校区团委PC的VPN互通,实现PC2的外网访问测试,确保外网Client1对官网服务器的正常访问,并通过安全域划分保障网络安全。

实验步骤

一、第一阶段:

  1. 基础配置(校本部 FW)

(1)管理口与物理接口配置

配置管理口GE0/0/0,允许所有管理服务,并配置GE1/0/0和GE1/0/2,将GE1/0/1改为二层模式

(2)二层接口与 VLAN 配置

创建vlan,同时开放ping命令,配ip地址,同时GE1/0/1口加入VLAN

(3)动态路由配置(OSPF)

(4)进入web页面配置

安全域划分

新建地址

  1. PC2 外网访问配置(NAT 转换 + 安全策略)

首先实现pc2 ping 通7.7.7.6,不仅需要安全策略,还需要NAT转换,NAT 策略和安全策略如图

3.实现外网访问官网的步骤,需要安全策略和NAT映射(就可以实现外网访问到官网,同时不泄露官网的真实ip地址):

4.南校区FW IPSec VPN 策略配置

新建点到点策略

VPN 安全策略配置:

新建 ISAKMP 策略(UDP 500 端口):

新建 ESP 策略:

新建 VPN 数据策略:

结果如图:

  1. 交换机配置(LSW2,连接校本部 FW GE1/0/1)

创建VLAN10、20,配置接入端口(连接PC2、校本部团委PC),配置Trunk端口

测试一下,pc2到防火墙172.16.20.254通不通:

  1. ISP 路由器配置(ISP1、ISP2)

(1)ISP1 配置

配置接口,配置OSPF

在防火墙web页面看到已经学习到路由:

(2)ISP2 配置

配置接口,配置OSPF

配置访问官网:

配置官网服务器:

dns服务器,做域名解析:

实验结果:

打开client(7.7.7.7)客户端,在地址栏中输入我们的网址获取到了文件,也就意味着我们可以访问官网

pc2ping通7.7.7.6

二、第二阶段,VPN配置:

(1)南校区 FW 基础配置

接口配置:

进入web界面配置安全区域:

ospf配置:

(2)南校区FW IPSec VPN 策略配置

新建地址:

新建点到点策略:

VPN 安全策略配置:

新建 ISAKMP 策略(UDP 500 端口):

新建 ESP 策略:

新建 VPN 数据策略:

安全策略结果如下:

Ipsec协商结果:

校本部和南校区的ipsec协商均成功:

(5)静态路由配置(两端 FW)

校本部FW:添加到南校区团委的静态路由

ip route-static 192.168.20.0 24 13.13.13.3

南校区FW:添加到校本部团委的静态路由

ip route-static 192.168.10.0 24 25.25.25.2

实验结果:

校本部团委电脑和南校区团委电脑互相ping通

http://www.jsqmd.com/news/99110/

相关文章:

  • USB设备厂商与产品ID大全(2017版)
  • 雷达抗干扰黑科技!用CNN破解DRFM虚假目标, Johns Hopkins团队新方案来了
  • 高校宿舍管理|基于springboot + vue高校宿舍管理系统(源码+数据库+文档)
  • 免费斯诺克手游来袭,这 3 大亮点让你玩到停不下来!
  • 界面控件DevExpress JS ASP.NET Core v25.1 - 全新的Stepper组件
  • 海洋微生物显微图像分类与检测:Yolo13-Seg-Faster模型实现14种物种自动识别
  • Dify智能体平台融合GPT-SoVITS打造拟人客服系统
  • 通过图片获取商品信息,item_search_img调用指南
  • TensorFlow-GPU环境配置全流程指南
  • 为什么哈希函数能快速定位元素位置?从案例、原理到应用
  • 2025年12月成都全屋定制品牌最新推荐 - 朴素的承诺
  • YOLO-V5快速上手指南:从环境搭建到检测
  • 收藏必读!大模型行业应用全攻略:从通用到垂直的技术落地指南
  • Yolo-v5安装与检测框缺失问题解决
  • Excalidraw拖拽与缩放技术深度解析
  • 巴菲特的现金管理策略:在低利率环境中的调整
  • Ubuntu22.04部署VLLM集成Qwen3系列模型并接入Dify
  • 实测3款论文降ai神器,手动+工具一键搞定降AIGC率!
  • GPT-SoVITS模型架构与核心模块解析
  • animation loading
  • LobeChat能否撰写商业计划书?创业者的秘密武器
  • 企业防火墙内如何安装TensorFlow?清华镜像离线包来帮忙
  • 小白狂喜!护网行动日入 2K+,零基础也能冲
  • 94程序员空窗两年找工作的第二个月
  • 飞桨PaddlePaddle 3.1自动并行技术深度解析
  • 收藏备用!35岁程序员转行大模型,这8步帮你落地
  • 91n节点也能高效跑AI?借助清华镜像部署轻量级TensorFlow服务
  • Mac上一键部署Dify的完整指南
  • 线性代数(七)主变量与特解
  • 前端营销技术实战:数据+AI实战指南