国产无码综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

ENSP防火墻綜合實(shí)驗(yàn)（GRE、IPSec、NAT通信）【防火墻安全策略】

2年前作者：Johnny.G分類：Toy博客閱讀(28)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了ENSP防火墻綜合實(shí)驗(yàn)（GRE、IPSec、NAT通信）【防火墻安全策略】。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方，請大家不吝賜教，您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問。

一、實(shí)驗(yàn)要求

1. 總部需要通過VPN與分支和合作伙伴進(jìn)行通信

1）WEB服務(wù)器對外提供的IP地址為69.1.1.100
2）FW部署Easy-ip實(shí)現(xiàn)訪問公網(wǎng)FTP服務(wù)

2. 分支機(jī)構(gòu)（Branch）員工使用NGFW接入總部。要求實(shí)現(xiàn)分支機(jī)構(gòu)安全訪問IPSec保護(hù)的總部內(nèi)網(wǎng)服務(wù)器。

1）手工方式建立IPSec隧道需要手工配置各項(xiàng)參數(shù)：
2）安全參數(shù)索引，使用ESP協(xié)議的安全聯(lián)盟的參數(shù)
	a）入方向安全聯(lián)盟的SPI為11111
	b）出方向安全聯(lián)盟的SPI為11111。
3）安全聯(lián)盟的認(rèn)證密鑰，使用ESP協(xié)議的安全聯(lián)盟的參數(shù)，
	a）入方向安全聯(lián)盟的認(rèn)證密鑰為字符串12345；
	b）出方向安全聯(lián)盟的認(rèn)證密鑰為字符串12345
4）FW部署Easy-ip實(shí)現(xiàn)訪問公網(wǎng)client4（ping）

3. 合作伙伴（Partner）使用NGFW接入總部。要求實(shí)訓(xùn)合作伙伴通過GRE隧道與總部進(jìn)行通信。

1）地址要求：隧道IP地址范圍為172.16.12.0/24
2）FW部署部署Easy-ip實(shí)現(xiàn)訪問公網(wǎng)FTP服務(wù)

4. 所有的客戶端可以通過公網(wǎng)IP地址來訪問WEB服務(wù)器

注：所有的通信使用靜態(tài)路由來保證。

二、實(shí)驗(yàn)拓補(bǔ)

ENSP防火墻綜合實(shí)驗(yàn)（GRE、IPSec、NAT通信）【防火墻安全策略】

三、實(shí)驗(yàn)配置

1. 防火墻安全區(qū)域劃分（包括Tunnel接口）

HQ：

trust
 priority is 85
 interface of the zone is (2):
    GigabitEthernet1/0/0
#
untrust
 priority is 5
 interface of the zone is (3):
    GigabitEthernet1/0/2
    GigabitEthernet1/0/3
    Tunnel1
#
dmz
 priority is 50
 interface of the zone is (1):
    GigabitEthernet1/0/1

Partner

trust
 priority is 85
 interface of the zone is (2):
    GigabitEthernet1/0/0
#
untrust
 priority is 5
 interface of the zone is (2):
    GigabitEthernet1/0/1
    Tunnel1

Branch

trust
 priority is 85
 interface of the zone is (2):
    GigabitEthernet1/0/0
#
untrust
 priority is 5
 interface of the zone is (1):
    GigabitEthernet1/0/1

2. 靜態(tài)路由

HQ

ip route-static 0.0.0.0 0.0.0.0 69.1.1.2
ip route-static 0.0.0.0 0.0.0.0 68.1.1.2
ip route-static 10.1.10.0 255.255.255.0 Tunnel1
ip route-static 10.1.20.0 255.255.255.0 68.1.1.2
ip route-static 111.1.1.0 255.255.255.0 69.1.1.2
ip route-static 112.1.1.0 255.255.255.0 68.1.1.2

注：其實(shí)一般公網(wǎng)環(huán)境使用缺省即可，兩條訪問111.1.1.0 & 112.1.1.0的靜態(tài)路由是為了流量能夠正常在公網(wǎng)同行；同時兩條訪問10.1.10.0 & 10.1.20.0的靜態(tài)路由是為了指引訪問這兩個網(wǎng)段的流量怎么使用VPN穿越公網(wǎng)

Partner

ip route-static 0.0.0.0 0.0.0.0 111.1.1.2
ip route-static 10.1.1.0 255.255.255.0 Tunnel1
ip route-static 69.1.1.0 255.255.255.0 111.1.1.2

注：其實(shí)一般公網(wǎng)環(huán)境使用缺省即可，一條訪問69.1.1.0的靜態(tài)路由是為了流量能夠正常在公網(wǎng)同行；另外一條訪問10.1.1.0 的靜態(tài)路由是為了指引訪問這個網(wǎng)段的流量怎么使用VPN穿越公網(wǎng)

Branch

ip route-static 0.0.0.0 0.0.0.0 112.1.1.2
ip route-static 10.1.1.0 255.255.255.0 112.1.1.2
ip route-static 68.1.1.0 255.255.255.0 112.1.1.2

注：其實(shí)一般公網(wǎng)環(huán)境使用缺省即可，一條訪問68.1.1.0的靜態(tài)路由是為了流量能夠正常在公網(wǎng)同行；另外一條訪問10.1.1.0 的靜態(tài)路由是為了指引訪問這個網(wǎng)段的流量怎么使用VPN穿越公網(wǎng)

3. GRE配置

HQ

interface Tunnel1
 ip address 172.16.12.1 255.255.255.0
 tunnel-protocol gre
 source 69.1.1.1
 destination 111.1.1.1

Partner

interface Tunnel1
 ip address 172.16.12.2 255.255.255.0
 tunnel-protocol gre
 source 111.1.1.1
 destination 69.1.1.1

4. IPSec VPN配置

HQ

acl number 3000
 rule 5 permit ip source 10.1.1.1 0 destination 10.1.20.1 0
#
ipsec policy map 10 manual
 security acl 3000
 proposal 10
 tunnel local 68.1.1.1
 tunnel remote 112.1.1.1
 sa spi inbound esp 11111
 sa string-key inbound esp 12345
 sa spi outbound esp 11111
 sa string-key outbound esp 12345
#
interface GigabitEthernet1/0/3
 ipsec policy map

Branch

acl number 3000
 rule 5 permit ip source 10.1.20.1 0 destination 10.1.1.1 0
#
ipsec proposal 10
 esp authentication-algorithm sha2-256
 esp encryption-algorithm aes-256
#
ipsec policy map 10 manual
 security acl 3000
 proposal 10
 tunnel local 112.1.1.1
 tunnel remote 68.1.1.1
 sa spi inbound esp 11111
 sa string-key inbound esp 12345
 sa spi outbound esp 11111
 sa string-key outbound esp 12345
interface GigabitEthernet1/0/1
 ipsec policy map

5. Easy-ip配置

HQ

nat-policy
 rule name easy-ip
  source-zone trust
  egress-interface GigabitEthernet1/0/2
  source-address 10.1.1.1 mask 255.255.255.255
  action source-nat easy-ip
Partner：
nat-policy
 rule name easy-ip
  source-zone trust
  egress-interface GigabitEthernet1/0/1
  source-address 10.1.10.1 mask 255.255.255.255
  action source-nat easy-ip

Branch

nat-policy
 rule name easy-ip
  source-zone trust
  egress-interface GigabitEthernet1/0/1
  source-address 10.1.20.1 mask 255.255.255.255
  action source-nat easy-ip

6. NAT Server配置

HQ

nat server http protocol tcp global 69.1.1.100 www inside 10.1.2.1 www

7. 安全策略配置

HQ

security-policy
 rule name gre
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  service gre
  action permit
 rule name icmpv4_C3-C1
  source-zone trust
  source-zone untrust
  destination-zone trust
  destination-zone untrust
  source-address 10.1.1.1 mask 255.255.255.255
  source-address 10.1.10.1 mask 255.255.255.255
  destination-address 10.1.1.1 mask 255.255.255.255
  destination-address 10.1.10.1 mask 255.255.255.255
  service icmp
  action permit
 rule name esp
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  service esp
  action permit
 rule name icmpv4_C3-C2
  source-zone trust
  source-zone untrust
  destination-zone trust
  destination-zone untrust
  source-address 10.1.1.1 mask 255.255.255.255
  source-address 10.1.20.1 mask 255.255.255.255
  destination-address 10.1.1.1 mask 255.255.255.255
  destination-address 10.1.20.1 mask 255.255.255.255
  service icmp
  action permit
 rule name allC-web
  source-zone trust
  source-zone untrust
  destination-zone dmz
  source-address 10.1.1.1 mask 255.255.255.255
  source-address 111.1.1.1 mask 255.255.255.255
  source-address 112.1.1.1 mask 255.255.255.255
  source-address 8.8.8.8 mask 255.255.255.255
  destination-address 10.1.2.1 mask 255.255.255.255
  destination-address 69.1.1.100 mask 255.255.255.255
  service http
  service icmp
  action permit
 rule name C3-FTP
  source-zone trust
  destination-zone untrust
  source-address 10.1.1.1 mask 255.255.255.255
  destination-address 7.7.7.7 mask 255.255.255.255
  service ftp
  service icmp
  action permit

Partner

security-policy
 rule name gre
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  service gre
  action permit
 rule name icmpv4
  source-zone trust
  source-zone untrust
  destination-zone trust
  destination-zone untrust
  source-address 10.1.1.1 mask 255.255.255.255
  source-address 10.1.10.1 mask 255.255.255.255
  destination-address 10.1.1.1 mask 255.255.255.255
  destination-address 10.1.10.1 mask 255.255.255.255
  service icmp
  action permit
 rule name C1-FTP
  source-zone trust
  destination-zone untrust
  source-address 10.1.10.1 mask 255.255.255.255
  destination-address 7.7.7.7 mask 255.255.255.255
  service ftp
  service icmp
  action permit
 rule name C1-web
  source-zone trust
  destination-zone untrust
  source-address 10.1.10.1 mask 255.255.255.255
  source-address 69.1.1.100 mask 255.255.255.255
  destination-address 10.1.10.1 mask 255.255.255.255
  destination-address 69.1.1.100 mask 255.255.255.255
  service http
  action permit

Branch

security-policy
 rule name esp
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  service esp
  action permit
 rule name icmpv4_C3-C2
  source-zone trust
  source-zone untrust
  destination-zone trust
  destination-zone untrust
  source-address 10.1.1.1 mask 255.255.255.255
  source-address 10.1.20.1 mask 255.255.255.255
  destination-address 10.1.1.1 mask 255.255.255.255
  destination-address 10.1.20.1 mask 255.255.255.255
  service icmp
  action permit
 rule name C2-C4
  source-zone trust
  source-zone untrust
  destination-zone trust
  destination-zone untrust
  source-address 10.1.20.1 mask 255.255.255.255
  source-address 8.8.8.8 mask 255.255.255.255
  destination-address 10.1.20.1 mask 255.255.255.255
  destination-address 8.8.8.8 mask 255.255.255.255
  service icmp
  action permit
 rule name C2-web
  source-zone trust
  destination-zone untrust
  source-address 10.1.20.1 mask 255.255.255.255
  destination-address 69.1.1.100 mask 255.255.255.255
  service http
  action permit

四、驗(yàn)證結(jié)果（截圖）

1. client3訪問FTP服務(wù)器

ENSP防火墻綜合實(shí)驗(yàn)（GRE、IPSec、NAT通信）【防火墻安全策略】
注：此為FTP服務(wù)器設(shè)置

注：客戶端Client3成功訪問FTP服務(wù)器的截圖

注：通過抓包抓取FTP的流量（篩選ftp），可以看到有多個ftp的包，點(diǎn)開其中一個流量，可以清晰看到有ftp的封裝。

2. client1訪問FTP服務(wù)器

ENSP防火墻綜合實(shí)驗(yàn)（GRE、IPSec、NAT通信）【防火墻安全策略】
== 注：此為FTP服務(wù)器設(shè)置==

注：客戶端Client1成功訪問FTP服務(wù)器的截圖

注：通過抓包抓取FTP的流量（篩選ftp），可以看到有多個ftp的包，點(diǎn)開其中一個流量，可以清晰看到有ftp的封裝。

3. client2訪問client4

ENSP防火墻綜合實(shí)驗(yàn)（GRE、IPSec、NAT通信）【防火墻安全策略】

注：client2通過缺省訪問client4（ping五個包）
ENSP防火墻綜合實(shí)驗(yàn)（GRE、IPSec、NAT通信）【防火墻安全策略】
注：通過抓包抓取icmp的流量（篩選icmp），可以看到有10個icmp的包（數(shù)據(jù)通信是雙向的，一去一回共10個包），點(diǎn)開其中一個流量，可以清晰看到有icmp的封裝。

4. GRE隧道驗(yàn)證

ENSP防火墻綜合實(shí)驗(yàn)（GRE、IPSec、NAT通信）【防火墻安全策略】

注：client3通過GRE ping client1五個包
ENSP防火墻綜合實(shí)驗(yàn)（GRE、IPSec、NAT通信）【防火墻安全策略】
注：通過抓包抓取gre的流量（篩選gre），可以看到有10個gre的包（數(shù)據(jù)通信是雙向的，一去一回共10個包），點(diǎn)開其中一個流量，可以清晰看到有GRE的封裝。

5. IPSec隧道驗(yàn)證

ENSP防火墻綜合實(shí)驗(yàn)（GRE、IPSec、NAT通信）【防火墻安全策略】
注：client3通過IPsec ping client1五個包

注：通過抓包抓取esp（IPSec加密）的流量（篩選esp），可以看到有10個esp的包（數(shù)據(jù)通信是雙向的，一去一回共10個包），點(diǎn)開其中一個流量，可以清晰看到有esp的封裝。

6. 所有客戶端訪問WEB服務(wù)器驗(yàn)證

ENSP防火墻綜合實(shí)驗(yàn)（GRE、IPSec、NAT通信）【防火墻安全策略】
注：此為WEB服務(wù)器設(shè)置

注：以上四張圖為各客戶端（Client1、Client2、Client3、Client4）成功訪問WEB服務(wù)器的截圖

Client2：
ENSP防火墻綜合實(shí)驗(yàn)（GRE、IPSec、NAT通信）【防火墻安全策略】
Client1：

Client4：

Client3：

注：通過抓包抓取tcp（http）的流量（篩選tcp），可以看到有10個tcp的包（數(shù)據(jù)通信是雙向的，一去一回共10個包），點(diǎn)開其中一個流量，可以清晰看到有tcp的封裝（點(diǎn)開可以清晰看到http服務(wù)）。文章來源地址http://www.zghlxwxcb.cn/news/detail-404347.html

到了這里，關(guān)于ENSP防火墻綜合實(shí)驗(yàn)（GRE、IPSec、NAT通信）【防火墻安全策略】的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！

本文來自互聯(lián)網(wǎng)用戶投稿，該文觀點(diǎn)僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務(wù)，不擁有所有權(quán)，不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載，請注明出處：如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符，請點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋，一經(jīng)查實(shí)，立即刪除！

分享到：

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

【華為_安全】防火墻IPsec雙機(jī)實(shí)驗(yàn)
學(xué)習(xí)華為防火墻IPsec雙機(jī)實(shí)驗(yàn)記錄 ensp拓?fù)滏溄樱和負(fù)?防火墻登錄賬號都為admin 密碼為Huawei@123 總部：兩臺防火墻采用雙機(jī)部署，分別連接到ISP1、ISP2 總部兩臺防火墻的 ISP1 出口是 G0/0/3，連接 ISP2 的出口是 G0/0/5，缺省情況下，流量走 FW1 的 G0/0/3 接口兩臺防火墻作為內(nèi)網(wǎng)用
2024年02月04日
瀏覽(32)
eNSP實(shí)驗(yàn)日記四（防火墻配置）
今天這期緊跟上篇文章，來講講華為防火墻的配置以及進(jìn)階，這次也會用到NAT轉(zhuǎn)換 4臺PC、路由器、防火墻、服務(wù)器、交換機(jī)各一個如圖：如圖: PC2、3、4在內(nèi)網(wǎng)，地址網(wǎng)段為192.168.10.x，服務(wù)器端IP地址為172.16.1.1，外網(wǎng)網(wǎng)段為64.1.1.x，同時也為內(nèi)網(wǎng)配置了DHCP 1、用防火墻實(shí)現(xiàn)
2024年02月02日
瀏覽(33)
防火墻綜合實(shí)驗(yàn)
實(shí)驗(yàn)要求： 1.辦公區(qū)設(shè)備可以通過電信和移動兩條鏈路上網(wǎng)，且需要保留一個公網(wǎng)ip不能用來轉(zhuǎn)換。 2.分公司設(shè)備可以通過兩條鏈路訪問到dmz區(qū)域的http服務(wù)器。 3.分公司內(nèi)部客戶端可以通過公網(wǎng)地址訪問到內(nèi)部服務(wù)器。 4.FW1和FW2組成主備模式的雙擊熱備。 5.辦公區(qū)上網(wǎng)用戶限
2024年02月21日
瀏覽(20)
安全防御——二、ENSP防火墻實(shí)驗(yàn)學(xué)習(xí)
我們使用實(shí)驗(yàn)進(jìn)行講解：首先我們自行完成安全防御一，進(jìn)入到如下界面：這里我們的ENSP拓?fù)湟琅f是簡單拓?fù)洌?在這里呢，我們經(jīng)常會發(fā)現(xiàn)時常超時，重連，雖然我們不建議配置永不超時，但是我們在實(shí)驗(yàn)界面就沒那么多硬性要求：我們可以通過如下命令配置永不超時：
2024年02月05日
瀏覽(22)
防御保護(hù)---防火墻綜合實(shí)驗(yàn)
辦公區(qū)的設(shè)備可以通過電信鏈路和移動鏈路上網(wǎng) 分公司設(shè)備可以通過總公司的移動鏈路和電信鏈路訪問到DMZ區(qū)域的HTTP服務(wù)器分公司內(nèi)部的客戶端可以通過公網(wǎng)地址訪問到內(nèi)部的服務(wù)器 FW1和FW2組成主備模式雙擊熱備辦公區(qū)上網(wǎng)用戶限制流量不超過60M，其中銷售部10人，每人限
2024年02月19日
瀏覽(24)
華為防火墻nat(easy-ip)實(shí)驗(yàn)
目的： ????????掌握在防火墻上配置源NAT的方法，使內(nèi)網(wǎng)用戶可以通過NAT技術(shù)訪問外網(wǎng)資源，節(jié)省公網(wǎng)IP地址，增強(qiáng)網(wǎng)絡(luò)安全性。需求：辦公網(wǎng)內(nèi)網(wǎng)（trust)可以訪問生產(chǎn)服務(wù)器（dmz)和外網(wǎng)client2（untrust)。 client2可以訪問生產(chǎn)服務(wù)器，但不可以訪問辦公網(wǎng)。生產(chǎn)服務(wù)器不能
2024年02月09日
瀏覽(21)
網(wǎng)絡(luò)安全之防火墻 server nat 基本配置實(shí)驗(yàn)
目錄網(wǎng)絡(luò)安全之防火墻 server nat?基本配置實(shí)驗(yàn) 實(shí)驗(yàn)圖 ?1.進(jìn)入視圖模式 ?2.配置端口IP地址即區(qū)域防火墻 ? ? ???編輯 ?untrust區(qū)域 DMZ區(qū)域 trust區(qū)域配置trust-untrust區(qū)域的ftp 在untrust區(qū)域中的server1開啟ftp服務(wù) ?配置trust-untrust區(qū)域的ftp的安全策略登陸ftp ?查找server-map 配置?
2024年02月15日
瀏覽(29)
eNSP防火墻配置實(shí)驗(yàn)（trust、DMZ、untrust）
【拓?fù)洹?設(shè)備接口 IP地址/子網(wǎng)掩碼/網(wǎng)關(guān) AR1 G0/0/0 10.1.3.2/24 G0/0/1 100.1.1.2/24 FW1 G0/0/0 192.168.166.254/24 G1/0/0 10.1.1.1/24，trust域 G1/0/1 10.1.2.1/24，DMZ域 G1/0/2 100.1.3.1/24，untrust域 LSW1 G0/0/1 vlan 3：172.16.1.1/24 G0/0/2 vlan 2：10.1.1.2/24 LSW2 G0/0/1 vlan 2：10.1.2.2/24 G0/0/2 vlan 3：192.168.1.1/24 PC1 e0/0/1 17
2024年04月29日
瀏覽(18)
網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)--基于華為ensp防火墻雙出口負(fù)載擬真實(shí)驗(yàn)
?由于之前的實(shí)驗(yàn)很多同學(xué)提出了問題，確實(shí)是我排版不當(dāng)導(dǎo)致，我重新梳理規(guī)劃，發(fā)給大家。本次論文實(shí)驗(yàn)是園區(qū)多出口帶寬資源調(diào)配和管理，大家可以參考組網(wǎng)結(jié)構(gòu)，在此基礎(chǔ)上可以進(jìn)行各種改良，符合自己的實(shí)驗(yàn)需求是最終目的，下面直接上配置，想要定制的+綠泡泡
2024年02月08日
瀏覽(24)
高級網(wǎng)絡(luò)應(yīng)用復(fù)習(xí)——TCP與UDP，ACL列表，防火墻，NAT復(fù)習(xí)與實(shí)驗(yàn)（帶命令）
??????? 作者簡介：一名在校云計(jì)算網(wǎng)絡(luò)運(yùn)維學(xué)生、每天分享網(wǎng)絡(luò)運(yùn)維的學(xué)習(xí)經(jīng)驗(yàn)、和學(xué)習(xí)筆記。? ?座右銘：低頭趕路，敬事如儀個人主頁：網(wǎng)絡(luò)豆的主頁?????? 目錄 ?前言一.知識點(diǎn)總結(jié) 1.傳輸層的
2024年02月01日
瀏覽(26)