-
2020-05-14 21:00:50
要求:trust区域pc可以ping通连接路由器的untrust区域的pc
1,先上拓扑图
2,pc设备具体配置
3,路由器配置[Huawei]int Ethernet0/0/0 [Huawei-Ethernet0/0/0]ip add 169.1.10.1 24 [Huawei]int Ethernet0/0/1 [Huawei-Ethernet0/0/1]ip add 10.255.255.254 244.防火墙配置
1)接口配置
3_口之所以配置网关,因为直连的是路由器(模拟外网)
2)配置安全策略
我本以为到此为止,就配置成功,pc1可以ping通pc2,但失败了,感觉原因是:我在pc1上ping pc2,数据包 从10.1.1.1发到10.1.1.254,防火墙在自己的接口未找到10.255.255.0/24网段,故丢弃
然后我想到NAT可以进行地址转换,如果把源地址(10.1.1.1)转换成出接口地址(169.1.10.50),那么就可以把数据包发送到路由器进行路由。
配置完成后,确实可以ping通
###############
TO BE CONTINUE…更多相关内容 -
实验7 路由器模拟防火墙实验 - 实验步骤 - 要求.doc
2021-06-21 14:24:55实验7 路由器模拟防火墙实验 - 实验步骤 - 要求.doc -
路由器模拟防火墙实验报告.doc
2022-07-12 20:40:54路由器模拟防火墙实验报告.doc该文档详细且完整,值得借鉴下载使用,欢迎下载使用,有问题可以第一时间联系作者~ -
路由器防火墙实验1
2018-03-12 15:20:37实验要求:1、配置交换机,正确划分VLAN 、保证直连接口正常通信 2、配置每一个接口的IP地址 3、所有路由器启动EIGRP路由协议,保证全网互联 4、配置R2为IOS防火墙,开启CBAC,e0/1为“untrusted”接口,e0/0为...展开全文实验要求:1、配置交换机,正确划分VLAN 、保证直连接口正常通信
2、配置每一个接口的IP地址
3、所有路由器启动EIGRP路由协议,保证全网互联
4、配置R2为IOS防火墙,开启CBAC,e0/1为“untrusted”接口,e0/0为“Trusted”接口
5、“untrusted”接口默认拒绝所有流量,并保证“Trusted”端可以正常访问“untrusted”网络的任何资源
6、一旦流量被e0/1口拒绝,R2向服务器发送系统日志消息
7、一旦R2监控产生“Trusted”网络对“untrusted”网络产生TCP连接,立即向服务器发送系统日志消息
8、保证R1可以通过远程登录192.168.0.3,来远程管理R3
实验步骤:
1、R1和R2属于VLAN10 IP 12.1.1.0/24、R2和R3属于VLAN20 IP 23.1.1.0/24
R3和服务器属于VLAN100 IP192.168.1.0/24 各路由器环回接口192.168.0.X/32 x为路由器编号(EIGRP宣告32位加反掩码)
测试连通性
在R1上查看路由表
配置R2为IOS防火墙,开启CBAC,e0/1为“untrusted”接口,接口默认拒绝所有流量,e0/0为“trusted”接口,可以正常访问“untrusted”网络任何资源
抓取EIGRP R1到R2和所有网段的流量
在e0/0口调用 拒绝EIGRP所有流量
测试
流量在e0/1口拒绝 R2向服务器发送日志
R2 查看日志 R2# show logging
在R2上配置NAT 定义e0/1 为outside e0/0为inside
在R3创建用户ccnp 密码321 在R1测试登录
-
VMware模拟网络防火墙配置实验
2021-05-21 20:02:03centos7+VMware+win7配置虚拟防火墙实验 文中的指令都是centos7的指令,不同版本的centos指令可能有差别,不同版本仅供参考 文章目录网络防火墙配置实验前言一、准备工作二、配置内外网主机和服务器配置包过滤防火墙...展开全文网络防火墙配置实验
centos7+VMware+win7配置虚拟防火墙实验
文中的指令都是centos7的指令,不同版本的centos指令可能有差别,不同版本仅供参考
前言
本人小白一枚,本实验只是我个人做完随手写的记录一下,仅供参考,若有不当请另寻其他大佬博客
一、准备工作
首先要打开虚拟机,创建一台centos7系统,让他当作路由器
在创建的时候,点击虚拟机->设置
添加三块网卡(一块对应外网,一块对应内网,一块对应服务器)
添加成功后进入设置,点击网络,可以看到下图,三块网卡,点击网卡后面那个齿轮
点击齿轮后进入到下图点击IPv4,设置网卡(分三次设置,ip地址可自己定义)注意:我前边VMware设置网卡时是用的主机模式,三块网卡对应上图的三跨,设置下图ip后无法联网,如需联网,可以打开VMware设置,修改一块网卡为nat模式,然后把下图对应的一块网卡的【手动】换成【自动(DHCP)】,剩下两块网卡不需要修改,还是手动ip即可,然后如上面的图,把手动配置的网卡关掉,打开修改nat模式和改为自动获取ip地址的网卡即可上网,下载完东西,不用上网后,再改回来即可
三块网卡的IP分别是:
Ip;192.168.1.1(内网)
Ip:172.168.1.1(外网)
Ip:10.10.10.1(服务器)
ip addr可以查看网卡信息
设置完网卡后就要开启路由转发功能了
临时开启echo "1" > /proc/sys/net/ipv4/ip_forward永久开启(建议,本人采用此方法)
vim /etc/sysctl.conf执行此命令(啥?执行完不会用vim?详细学习请百度,此处执行完按i进入编辑模式,添加完后按esc,再切换大写按下Q(我也不知道为啥要大写按Q才能进入ex模式),然后切回小写,按wq按回车即可保存退出)
加入此行(如下图)
net.ipv4.ip_forward = 1
sysctl -p 执行此命令加载一下想查看就执行下一条命令,不想就跳过
sysctl -a |grep "ip_forward" 在执行此命令查看二、配置内外网主机和服务器
我内外网主机还有服务器都用的是win7(至于为啥用win7,我觉得win7配置简单🙈,我只是单纯的完成实验)没有win7镜像直接用centos7也行,原理都一样,内外网主机都是单纯的配个ip,服务器就多了一个服务器布置
这个我就不说了,不联网都用主机模式,当然桥接模式也可以,我是用的主机,也仅供参考。后边服务器,内外网主机,都是这个模式。
步骤:单击左下角网络-点击“打开网络和共享中心”-点击internet下的“本地连接”-点击左下角属性-双击ipv4-点手动配置ip
ip地址就是内外网主机,还有两台服务器,一共四台设备,分别设置
设置完关闭防火墙,关闭后,设备之间可以相互ping通,此处只展示一副截图,ping不同可以先试着ping最开始配置的路由器的三块网卡
ftp服务器配置附一个百度教程https://jingyan.baidu.com/article/77b8dc7f280d402074eab697.html
web服务器配置附一个百度教程https://jingyan.baidu.com/article/ed2a5d1f128ff609f6be17fa.html配置包过滤防火墙规则
用modprobe命令来启动iptables,其代码如下:
modprobe ip_tables输入后就可以开启iptables服务了,进行规则配置。
要求内部Web服务器为内、外网提供Web服务,内部FTP服务器仅为内网提供FTP服务,由此制定安全策略如下:只允许外网主机访问Web站点,不允许访问FTP站点和内网主机:内网主机可以与Web站点及FTP站点进行任意通信。该安全策略属于默认禁止策略,防火墙规则可采用白名单的方式进行配置。
接下来,配置防火墙规则以落实安全策略。“外网主机可以访问Web站点但是不能够访问FTP站点”规则,可通过向FORWARD表中添加相应外网和Web服务器间的包过滤规则实现,具体命令如下:(centos7的指令,不同版本的centos指令可能有差别)iptables -A FORWARD -s 10.10.10.20/32 -p tcp --sport 80 -j ACCEPT iptables -A FORWARD -d 10.10.10.20/32 -p tcp --dport 80 -j ACCEPT内网主机可以与Web站点及FTP站点进行任意通信”规则,同样通过向FORWARD表中添加内网主机对内网服务器区的包过滤规则实现,具体命令如下:
iptables -A FORWARD -s 192.168.1.0/24 -d t 10.10.10.0/24 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT iptables -A FORWARD -s 10.10.10.0/24 -j ACCEPT
最后,落实默认禁止策略,所有为匹配到上述规则的数据包均被丢弃,具体命令如下:iptables -P FORWARD DROP启动后就可以用外网ping服务器来验证了
该处使用的url网络请求的数据。
外网ping不同ftp服务器
但外网ping不同服务器但是可以访问web主页
内网可以ping通,也能访问主页外网主机利用Zenmap对Web站点进行扫描发现只有80端口开放,说明防火墙过滤规则将其他的数据包全都过滤掉了。软件自己下载,截图如下图
配置防火墙nat转换功能
为了配置防火墙NAT转换功能,首先需清除上面场景中的防火墙过滤规则,命令如下:
iptables -F防火墙过滤规则清除后,Web 站点、FTP 站点均可以与外网主机进行通信。
防火墙NAT转换功能的目标是向外发布Web网站地址为外网地址172.16.16.1.利用防火墙进行NAT转换,以实现向外网屏蔽内网信息。
首先,将进入访问Web服务器的数据包进行目的IP地址映射,具体映射根据端口号建立映射列表,命令如下:iptables -t nat -A PREROUTING -d 172.168.1.1 -p tcp --dport 80 -j DNAT --to-destinatie 10.10. 10.20接着,将离开内网的数据包进行源IP地址映射,具体命令如下:
iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -j SNAT --to-source 172.168.1.1由此,完成了Web服务的防火墙NAT转换功能的配置。
NAT转换功能实验验证
当外网主机访问Web站点时,在路由器关口通过NAT映射将目的地址改为Web站点地址,从而为外网主机提供了HTTP服务。对于不同的服务,可根据其端口号的不同将其映射到不同的IP地址主机上,外网主机通过HTTP访问网关所示。在防火墙所在主机运行Wireshark,可抓取数据包进行分析以验证NAT转换的流程。防火墙对HTTP服务进行转发如图9.29所示。从该图中可见172.168.1.4 外网主机访间172.169.1.1外网接口的80端口,防火墙收到这个数据包之后将目的地址修改为
10.10.10.20转发到Web服务器,同样来自Web服务器10.10.10.20 的数据包经过防火墙
时,将源IP地址变换成为172.168.1.1 再发送给外网主机。
此处就需要路由器联网了,下载软件嘛,下载完再切换成主机模式就行,方法翻到最开始就行。总结
以上配置纯属个人实验,有很多不足请自行百度,都可以找到方法,希望这个对大伙有帮助
-
ENSP网络实验环境搭建及防火墙功能实现
2020-12-22 13:13:16原标题:ENSP网络实验环境搭建及防火墙功能实现最近看了几本书,分别是:《Wireshark网络分析的艺术》(读完);《Wireshark网络分析就这么简单》(读完);《华为防火墙技术漫谈》(在读)。 读前两本书的时候知道一个叫...展开全文原标题:ENSP网络实验环境搭建及防火墙功能实现
最近看了几本书,分别是:
《Wireshark网络分析的艺术》(读完);
《Wireshark网络分析就这么简单》(读完);
《华为防火墙技术漫谈》(在读)。
读前两本书的时候知道一个叫Wireshark的工具,用来进行网络嗅探、抓包分析。读第三本书的时候知道一个叫eNSP的工具,用于构建华为的网络实验环境。
Wireshark可以安装在windows和linux平台,功能强大。eNSP,官方介绍如下:eNSP(Enterprise Network Simulation Platform)是一款由华为提供的免费的、可扩展的、图形化操作的网络仿真工具平台,主要对企业网络路由器、交换机进行软件仿真,完美呈现真实设备实景,支持大型网络模拟,让广大用户有机会在没有真实设备的情况下能够模拟演练,学习网络技术。
通过网络获取安装包资源(版本号:V100R003C00SPC100),然后迫不及待的安装了eNSP,界面如下:
其中Wireshark也集成到了eNSP工具中,还包括virtualBOX,搭建了eNSP实验平台,也可以对wireshark工具进行进一步学习。
安装eNSP软件之前,要提前安装WinPcap、wireshark以及VirtualBox。也可以在安装eNSP的时候使用系统自带的工具包。如下所示:
实验环境搭建成功之后,下面来做两个小实验,一个是通过eNSP和本机(笔记本电脑)进行桥接,然后通过IP地址访问华为USG6000V版本防火墙的web界面;一个是通过三台路由器和两台PC终端构建跨网段的访问,加深对网络的理解。
实验一:访问eNSP环境中USG6000V防火墙的web界面。
首先要创建一张环回地址网卡,用于eNSP和本机之间的交互。
添加本地环回网卡:
电脑-属性-设备管理器-操作-添加过时硬件:
安装完成之后得到一个新的网卡,如下:
笔记本连接wifi环境获取到的IP地址为192.168.1.20,这里将环回适配器地址手工指定为192.168.1.100,配置好之后需要重启计算机,否则在ENSP cloud里面找不到这块网卡。
打开ENSP,添加防火墙USG6000V设备,导入防火墙设备文件,添加云模块,创建铜缆连接:
在cloud中配置如下:
添加UDP和本地环回适配器,并配置双向通道。
防火墙命令行配置如下:
system-view
Enter system view, return user view with Ctrl+Z.
[USG6000V1]sysname FW
[FW]int g0/0/0
[FW-GigabitEthernet0/0/0]ip address 192.168.1.101 24
[FW-GigabitEthernet0/0/0]service-manage all permit
指定防火墙的IP地址为192.168.1.101,和环回适配器所配置的IP地址在同一个网段。
在浏览器端打开防火墙的web页面(输入IP地址即可):
登录用户名密码之后来到web界面如下:
保存防火墙配置:
实验二:跨网段的通讯。拓扑图如下:
实验的最终结果,要实现PC1(192.168.1.2)到PC2(192.168.2.2)的通讯。实验中用到的路由器是华为AR1220。
PC1配置如下:
PC2配置如下:
路由器AR1配置如下(设置主机名、IP地址、静态路由等):
路由器AR2配置如下:
路由器AR3配置如下:
路由器和PC配置完毕之后,登录PC1的命令行界面,测试是否能和PC2进行通讯:
在PC2上打开wireshark进行icmp包的抓取,其结果如下:
责任编辑:
-
Linux模拟路由器实验
2021-05-12 04:47:40实验目标:将3台主机设置成路由器实现两台终端能够相互通信网络结构如下:准备工作:1、批量复制虚拟机文件,创建多个系统,提前把mac地址修改2、关闭防火墙service iptables stop //CentOS6版本systemctl stop ... -
关于Ensp中路由器启动防火墙的一点小问题
2018-05-25 11:44:34原来的一个实验环境,可以让学生理解网络基础中各网络协议的重要性。具体实验环境是Ensp软件中...我希望在路由器上配置防火墙功能,使PC1能ping通PC2,而PC2不能ping通PC1。我们先进行理论分析,如果上图中PC1 ping... -
华为eNSP实验-防火墙模拟配置(采用ping命令逐步分析)
2022-07-14 17:39:24eNSP模拟实现防火墙配置,采用ping来逐步分析命令的作用 -
标准实验报告(5)-防火墙设计实验.pdf
2022-06-13 22:34:58标准实验报告(5)-防火墙设计实验.pdf标准实验报告(5)-防火墙设计实验.pdf标准实验报告(5)-防火墙设计实验.pdf标准实验报告(5)-防火墙设计实验.pdf标准实验报告(5)-防火墙设计实验.pdf标准实验报告(5)-防火墙设计实验... -
linux模拟路由器实验
2021-05-15 09:13:44实验目标:将3台主机设置成路由器实现两台终端能够相互通信网络结构如下:准备工作:1、批量复制虚拟机文件,创建多个系统,提前把mac地址修改2、关闭防火墙service iptables stop //centos6版本systemctl stop ... -
PIX防火墙实验
2012-12-16 10:01:22PIX防火墙实验,帮助利用GNS3来学习思科的PIX防火墙的基本配置。 -
eNSP模拟实验——三层交换机与路由器的通信
2016-11-21 09:24:11ip route-static 0.0.0.0 0 192.168.3.2 #加一条默认路由,下一跳是路由器R1的Ethernet0/0/0端口 补充: Access链路类型端口:只允许缺省VLAN通过,仅接收和发送一个VLAN的数据帧;一般用于连接用户设备... -
HCIE-Security Day1:防火墙概述、实验环境搭建、三种方式管理防火墙
2022-02-09 23:48:40为了保证企业网络的安全性,需要部署防火墙,防火墙一般部署在数据中心的出口、路由器与核心交换机之间,即网络的内外边界,用于防止非法访问和攻*击。 防火墙一般还会旁挂DMZ区,叫做非军事化区,DMZ区中也部署了... -
cisco路由器和pix防火墙--kiwi日志服务器搭建配置-2
2020-04-10 13:49:43exit pc1是用的vpcs,因为pc2需要telnet功能,但好像vpcs实现不了,就用一个路由器模拟了 R3模拟pc2 R3#conf t Enter configuration commands, one per line. End with CNTL/Z. R3(config)#no ip routing R3(config)... -
Linux通过虚拟机模拟路由器实现主机跨路由通信
2021-05-11 07:08:17实验目的:通过虚拟机模拟路由器,实现两台主机之间跨路由通信。实验器材:5个虚拟机,其中2个作为主机使用,3个模拟路由器使用。本实验中所用虚拟机均为CentOS 6。实验步骤:1、画出构图,部署所需要的网络环境。如... -
防火墙、路由器、交换机+模拟软件+流控
2011-07-25 09:35:33防火墙nat+交换机路由+系统软路由构造的网络环境 dynamips之入门篇(dynamipsGUI小凡模拟器) GNS-3教程 海蜘蛛路由系统安装与介绍 Cisco Packet Tracer试验:实现VLAN的负载均衡 关于Cisco Packet Tracer ... -
防火墙入门实验
2020-06-04 08:20:10一、实验原理 1.1 Iptables Iptables 是用来设置、维护和检查Linux内核的IP包过滤规则的。 可以定义不同的表,每个表都包含几个内部的链,也能包含用户定义的链。每个链都是一个规则列表,对对应的包进行匹配:每条... -
Cisco的ASA防火墙和路由器上实现IPSec虚拟专用网
2019-09-18 06:03:32博文目录一、IPSec 虚拟专用网故障排查二、配置防火墙和路由器实现IPSec 虚拟专用网三、总结 关于IPSec 虚拟专用网工作原理及概念,前面写过一篇博文:Cisco路由器IPSec 虚拟专用网原理与详细配置,博客里都有详细... -
(九)防火墙详细介绍+天融信topgate模拟实验(运维安全)
2020-07-02 20:44:453 防火墙实验 3.1 单个防火墙配置 3.2 两个防火墙做HA 1 防火墙概述 1.1 定义 是一款具备安全防护功能的网络设备,将需要保护的网络与不可信任网络进行隔离,隐藏信息并进行安全防护 1.2 基本功能 访问控制... -
网络安全实验四 防火墙技术的具体应用
2020-10-15 19:11:411、通过实验深入理解防火墙的功能和工作原理 2、熟悉天网防火墙个人版的配置和使用 二、实验环境: 实验室所有机器安装了Windows 2000操作系统,组成了 局域网,并安装了天网防火墙。 三、实验内容: 实验原理 ... -
华为三层交换机和防火墙模拟真实环境(一)
2021-04-15 17:14:28实验说明: 防火墙左边模拟内网,防火墙右边模拟外网,内网通过NAT访问外网; PC1访问PC2; PC3不能访问PC2; 实验拓扑图: 实验规划: 实验编址 设备 接口 IP地址 网关 VLAN Cloud1 Ethernet 0/0/1 172.16.10.1/24 ... -
linux做路由器搭建局域网实验
2017-09-10 20:27:19局域网搭建实验需要使用到IP地址、路由器的配置等知识,用到的知识较多,属于一个难点,并且还是一个重点。小编花了一点儿时间,将该实验整理了一下,一来可以帮助自己梳理一下这部分内容,巩固一下,另外也希望能够... -
路由器性能问题.docx
2021-08-21 22:29:13某厂商采购RR路由器,其性能问题与规格问题阐述 -
ensp中防火墙nat实验
2020-11-17 23:31:271.拓扑图如下: 2.需求 ...注:这个实验中,trust区域和dmz区域模拟内网,untrust区域模拟外网,防火墙作为内网连接外网的设备 3.分析 1.实现需求一,则需要放行trust区域到dmz区域的安全策略 2.要想cl -
GNS3使用一:ASA 防火墙实验环境搭建
2019-10-26 10:53:21GNS3使用一:ASA 防火墙实验环境搭建 需要的设备和环境: 使用 GNS3 和 VMWare 等软件搭建虚拟的 ASA 防火墙实验环境 1、GNS3-1.3.10-all-in-one GNS 模拟软件,请安装在英文路径之下 2、asa842-initrd,asa842... -
HCIA/HCIP使用eNSP模拟大型组网配置综合实验(二层交换机 路由器 单臂路由 VLAN 直连&静态路由的综合应用)
2021-12-29 18:31:52使用eNSP模拟 大型组网配置综合实验 二层交换机 路由器 单臂路由 VLAN 直连&静态路由的综合应用 目录使用eNSP模拟 大型组网配置综合实验拓扑预览一、基础配置1 Switch的配置2 PC的配置二、配置单臂路由三、... -
Linux模拟三路由实验
2017-08-19 17:53:48需要,与命名现用三台CentOS6.9系统的服务器,模拟三台路由器. 另用CentOS6.9与CentOS7.3一台,模拟两台用户服务器. 为方便实验。两台用户服务器,6.9和7.3的两台服务器称呼为:A和B机器。 三台模拟路由器的6.9的...
