news 2026/4/20 16:37:14

防火墙实验 防火墙综合实验

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
防火墙实验 防火墙综合实验

实验八 防火墙综合实验

实验目的:

1.掌握USG6000v复杂场景部署方法,包括接口配置、安全域划分、路由设置等核心操作;

2.通过防火墙复杂场景下的配置,涵盖 NAT 转换、服务器映射、IPSec VPN 搭建、安全策略管控等功能,实现多场景网络互通与安全防护。

实验内容:

  1. 拓扑图

  1. 拓扑说明

设备组成:客户端(Client1、PC2、校本部团委PC、南校区团委PC)、路由器(ISP1路由器、ISP2路由器)、防火墙(校本部FW、南校区FW)、服务器(官网服务器、DNS服务器、百度服务器)。

IP地址分配:

校本部防火墙FW:

接口GE0/0/0:192.168.0.1/24

接口GE1/0/0:13.13.13.1/24(untrust区域)

接口GE1/0/1:Trunk模式,trust区域,承载VLAN10、VLAN20

虚拟接口Vlanif10:192.168.10.254/24(trust区域,校本部团委网关)

虚拟接口Vlanif20:172.16.20.254/24(trust区域,PC2网关)

接口GE1/0/2:172.16.10.254/24(dmz区域)

南校区防火墙FW:

接口GE0/0/0:192.168.0.22/24

接口GE1/0/0:25.25.25.5/24(untrust区域,连接互联网ISP2)

接口GE1/0/1:192.168.20.254/24(trust区域,南校区团委网关)

服务器:

官网服务器Ethernet0/0/0:172.16.10.1/24(dmz区域,提供www.tsu.edu.cn服务)

DNS服务器Ethernet0/0/0:7.7.7.8/24(untrust区域,解析www.tsu.edu.cn)

百度服务器:7.7.7.6/24(untrust区域)

路由器:

ISP1路由器GE0/0/0:13.13.13.3/24

ISP1路由器GE0/0/1:23.23.23.3/24

ISP2路由器GE0/0/0:25.25.25.2/24

ISP2路由器GE0/0/1:23.23.23.2/24

ISP2路由器GE0/0/2:7.7.7.254/24

客户端:

Client1(外网)Ethernet0/0/0:7.7.7.7/24(untrust区域)

PC2 Ethernet0/0/0:172.16.20.1/24(trust区域)

校本部团委PC Ethernet0/0/0:192.168.10.1/24(trust区域)

南校区团委PC Ethernet0/0/0:192.168.20.1/24(trust区域)

核心需求:保障校本部与南校区团委PC的VPN互通,实现PC2的外网访问测试,确保外网Client1对官网服务器的正常访问,并通过安全域划分保障网络安全。

实验步骤

一、第一阶段:

  1. 基础配置(校本部 FW)

(1)管理口与物理接口配置

配置管理口GE0/0/0,允许所有管理服务,并配置GE1/0/0和GE1/0/2,将GE1/0/1改为二层模式

(2)二层接口与 VLAN 配置

创建vlan,同时开放ping命令,配ip地址,同时GE1/0/1口加入VLAN

(3)动态路由配置(OSPF)

(4)进入web页面配置

安全域划分

新建地址

  1. PC2 外网访问配置(NAT 转换 + 安全策略)

首先实现pc2 ping 通7.7.7.6,不仅需要安全策略,还需要NAT转换,NAT 策略和安全策略如图

3.实现外网访问官网的步骤,需要安全策略和NAT映射(就可以实现外网访问到官网,同时不泄露官网的真实ip地址):

4.南校区FW IPSec VPN 策略配置

新建点到点策略

VPN 安全策略配置:

新建 ISAKMP 策略(UDP 500 端口):

新建 ESP 策略:

新建 VPN 数据策略:

结果如图:

  1. 交换机配置(LSW2,连接校本部 FW GE1/0/1)

创建VLAN10、20,配置接入端口(连接PC2、校本部团委PC),配置Trunk端口

测试一下,pc2到防火墙172.16.20.254通不通:

  1. ISP 路由器配置(ISP1、ISP2)

(1)ISP1 配置

配置接口,配置OSPF

在防火墙web页面看到已经学习到路由:

(2)ISP2 配置

配置接口,配置OSPF

配置访问官网:

配置官网服务器:

dns服务器,做域名解析:

实验结果:

打开client(7.7.7.7)客户端,在地址栏中输入我们的网址获取到了文件,也就意味着我们可以访问官网

pc2ping通7.7.7.6

二、第二阶段,VPN配置:

(1)南校区 FW 基础配置

接口配置:

进入web界面配置安全区域:

ospf配置:

(2)南校区FW IPSec VPN 策略配置

新建地址:

新建点到点策略:

VPN 安全策略配置:

新建 ISAKMP 策略(UDP 500 端口):

新建 ESP 策略:

新建 VPN 数据策略:

安全策略结果如下:

Ipsec协商结果:

校本部和南校区的ipsec协商均成功:

(5)静态路由配置(两端 FW)

校本部FW:添加到南校区团委的静态路由

ip route-static 192.168.20.0 24 13.13.13.3

南校区FW:添加到校本部团委的静态路由

ip route-static 192.168.10.0 24 25.25.25.2

实验结果:

校本部团委电脑和南校区团委电脑互相ping通

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/4/17 8:36:04

基于Android的居家养老管理系统(源码+lw+部署文档+讲解等)

课题介绍 本课题聚焦居家养老服务响应慢、老人状态监测不及时、家属监管不便的痛点,设计实现基于 Android 的居家养老管理系统。系统以 Java 为核心开发语言,基于 Android 原生框架搭建移动端应用,搭配后端云服务架构,处理老人健康…

作者头像 李华
网站建设 2026/4/18 23:28:38

LobeChat能否撰写商业计划书?创业者的秘密武器

LobeChat能否撰写商业计划书?创业者的秘密武器 在今天这个快节奏的创业环境中,一份逻辑清晰、数据扎实、结构完整的商业计划书,往往是决定项目能否获得投资的关键。然而现实是,大多数创业者既不是专业写手,也没有专职的…

作者头像 李华
网站建设 2026/4/18 18:20:02

中小企业备份方案: 如何评估备份方案是否符合企业实际需求

成本、安全性与法规合规性这三方面考量,构成了评估备份解决方案是否符合企业实际需求的基础框架。业务需求评估评估备份解决方案时,必须首先审视公司的具体需求。企业通常有着多样化的数据保护要求,例如保护 Microsoft 365 等关键应用&#x…

作者头像 李华
网站建设 2026/4/19 2:25:21

小白狂喜!护网行动日入 2K+,零基础也能冲

一、网络安全基础认知 1.1 网络安全定义与法律体系 什么是网络安全? 保护网络系统免受破坏/入侵/数据泄露,确保服务持续可用。例如: 医院系统防勒索病毒攻击电商平台防用户数据窃取 五大核心法律规范 法律名称核心要求违反后果《网络安…

作者头像 李华
网站建设 2026/4/17 12:11:51

ComfyUI_ACE-Step:高效音乐生成与编辑新工具

ComfyUI_ACE-Step:让音乐创作从灵感到交响仅需一步 你有没有过这样的经历?脑海中浮现出一段旋律,情绪饱满、画面感十足,却苦于无法记谱或编曲,最终只能眼睁睁看着它消散在风里。又或者,作为视频创作者&…

作者头像 李华