来日并不方长,坚持不懈才能到达远方!静下心,保持好心态
=====================================
回顾:端口镜像
ARP欺骗原理
1,路由器作用-----通/转发
防火墙作用-----控制/防控
2,防火墙发展史
包过滤-----代理------状态检测------UTM------下一代防火墙
3,防火墙产品
USG2000
USG5000----UTM
USG6000----下一代防火墙
USG9500----高端 ----政府、光电等
4,防火墙实验环境:
-- ENSP(防护墙导入软件包)--设置密码两种字符8位以上
-- 防火墙里查看 接口信息 dis ip int bri
--管理接口G0/0/0 默认IP 192.168.0.1
--查看自己电脑里虚拟网卡IP不要与防火墙G0/0/0地址冲突
--网云里添加的VM虚拟网卡与KALI系统用的一样 (如都是VM1)
测试KALI系统与防火墙管理接口G0/0/0互通即可
--在KALI系统里 ----火狐浏览器----输入https://192.168.0.1 :8443
默认用户名:admin
默认密码:Admin@123
建议更改密码:ADMIN@123
5,安全区域:
local 本地区域------防火墙本身----安全级别100
trust 受信任区域---内网------------安全级别85
DMZ 非军事化区域-服务器区域-----安全级别50
untrust 非受信任区域-互联网流量------安全级别5
不同的安全区域默认是不能通信的!
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/1
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/2
#
6,实验一 :实现trust 内网访问untrust外网
---将接口加入对应安全区域、配置IP地址
---不同安全区域要实现通信-----配置安全策略
7,NAT 网络地址转换
静态
动态 :easy IP 基于出接口的地址转换 (公网地址)
NAPT 基于地址池的地址转换
实验二:easy-IP
1),配置安全策略 ,实现不同安全区域互通
#
security-policy
rule name OUT
source-zone trust
destination-zone untrust
action permit
#
2),配置NAT策略,实现内网私有地址与外网公有地址的转换
3),外网接口抓包测试
#
nat-policy
rule name EASYIP
source-zone trust
destination-zone untrust
action nat easy-ip
#
五元组:源IP 目标IP 源端口 目标端口 协议号
8,NAPT 基于地址池的PAT
实验三 NAPT
1),配置安全策略 ,实现不同安全区域互通
2),配置地址池;配置NAT策略,实现内网私有地址与外网公有地址的转换
3),外网接口抓包测试
#
nat-policy
rule name NAPT
source-zone trust
destination-zone untrust
action nat address-group pool
#
#
nat address-group pool 0
mode pat
section 0 200.1.1.250 200.1.1.250
#
9, 实验四 服务器发布
1),配置安全策略 ,实现不同安全区域互通
2),配置NAT策略---服务器映射,实现untrust访问DMZ服务器
3),外网接口抓包测试 /内网接口抓包测试