防火墙简单实验

---

实验拓扑

实验要求

• 全网互通

实验配置

地址规划

# AR1
int g0/0/0
	ip ad 172.16.1.254 24
int g0/0/2
	ip ad 192.168.1.254 24
int g0/0/1
	ip ad 10.1.12.1 24

# FW
int g0/0/0
	ip ad 192.168.43.3 24  //这里配置与桥接的网卡的地址同一个网段的IP
int g1/0/0
	ip ad 10.1.12.2 24
int g1/0/1
	ip ad 12.1.1.1 24
int g1/0/2
	ip ad 13.1.1.1 24

# AR2
int g0/0/0
	ip ad 12.1.1.2 24
int g0/0/1
	ip ad 2.2.2.254 24
int g0/0/2
	ip ad 2.2.1.254 24

如果需要使用Web管理界面管理，需要在防火墙的G0/0/0接口下开启Web管理service-manage all permit

• 在物理机上测试与防火墙G0/0/0接口的连通性
• 在浏览器访问：https://192.168.43.3:8443登录

静态路由配置

# AR1
ip route-static 0.0.0.0 0 10.1.12.2  //配置缺省路由,也可以写明细路由

# AR2
ip route-static 0.0.0.0 0 12.1.1.1

# AR3
ip route-static 0.0.0.0 0 13.1.1.1

# FW
ip route-static 3.3.3.0 24 13.1.1.3
ip route-static 2.2.0.0 22 12.1.1.2
ip route-static 192.168.1.0 24 10.1.12.1
ip route-static 172.16.1.0 24 10.1.12.1

防火墙划分安全区域

# FW
firewall zone trust
	add int g 1/0/0
	q
firewall zone untrust
	add int g 1/0/2
	q
firewall zone dmz
	add int g 1/0/1
	q

防火墙配置安全策略

# FW
security-policy
 rule name tr_un
  source-zone trust
  destination-zone untrust
  source-address 172.16.1.0 24  //也可以精确匹配
  source-address 192.168.1.0 24
  action permit

 rule name tr_dmz
  source-zone trust
  destination-zone dmz
  source-address 172.16.1.0 24
  source-address 192.168.1.0 24
  action permit

rule name un_dmz
  source-zone untrust
  destination-zone dmz
  source-address 3.3.3.0 24
  action permit

rule name dmz_tr
  source-zone dmz
  destination-zone trust
  source-address 2.2.0.0 22
  action permit

rule name dmz_un
  source-zone dmz
  destination-zone untrust
  source-address 2.2.0.0 22
  action permit

配置NAT地址池

# FW
nat address-group 1
	mode no-pat local  //不使用一对一映射，不做端口转换
 	route enable
 	section 0 100.1.1.1 100.1.1.10   //公网映射的地址范围

配置NAT策略

# FW
nat-policy
 rule name 1
  source-zone trust
  destination-zone untrust
  source-address 172.16.1.0 24   //可以写精确地址
  source-address 192.168.1.0 24
  destination-address 3.3.3.0 24
  action source-nat address-group 1   //对源做NAT地址转换

• 配置AR3回防火墙的静态路由

ip route-static 100.1.1.0 24 13.1.1.1

连通性测试

• 在PC和Client上分别测试与其他设备的连通性
• 在防火墙的G1/0/2接口抓包查看源地址是否转换

使用Easy-ip做地址转换

# FW
nat-policy
	rule name 1
	 undo action source-nat
nat address-group 1
	mode pat
nat-policy
	rule name 1
	 action source-nat easy-ip  //使用easy-ip 做地址转换

通过命令dis firewall session table查看地址转换的表项
通过抓包查看

DMZ区域配置FTP服务器

• 配置公网IP映射到内网的服务器地址

# FW
nat server 1 protocol tcp global 100.1.1.1 ftp inside 2.2.1.1 ftp

• 防火墙配置从untrust区域到dmz区域的安全策略（前面已配置，这里可以不用配置）

rule name un_dmz
  source-zone untrust
  destination-zone dmz
  source-address 3.3.3.0 24
  destination-address 2.2.1.0 24  //可以配置精确地址也可以不配置
  action permit

配置Server 1的FTP服务，使用给Client 2访问

• 如果不能访问，检查AR3上是否有路由

查看防火墙上的会话表信息dis firewall session table
配置HTTP相同的配置nat server

• nat server protocol tcp global 100.1.1.2 80 inside 2.2.1.1 80

拓展：

• 这里还可以在Server端配置DNS服务器，配置相关的域名与IP的映射关系
• 客户端也配置相应的DNS服务器地址，可以实现在客户端通过域名访问HTTP

总结

• 如果不通，检查以下步骤：

1. 检查路由器以及防火墙的路由表dis ip routing-table查看是否有去往目的网段的路由，没有则检查静态路由配置
2. 有路由，检查防火墙的安全策略以及接口的区域规划
3. 检查在AR3上是否配置了回防火墙的静态路由
4. 可以通过dis firewall session table查看地列表会话址转换
5. 如果无法访问Server端的服务，检查Server端的服务是否启动

---

以上内容均属原创，如有不详或错误，敬请指出。

本文作者： 坏坏

本文链接： https://blog.csdn.net/qq_45668124/article/details/109110876

版权声明： 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请联系作者注明出处并附带本文链接！