day21、2 - 防火墙的部署实验

最新推荐文章于 2024-03-09 12:00:00 发布
最新推荐文章于 2024-03-09 12:00:00 发布
阅读量938 收藏 9
点赞数 1
分类专栏: web安全基础 文章标签: 网络 运维 web安全 服务器 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Edimade/article/details/124741634
版权
本文详细介绍了如何部署防火墙、创建区域、配置策略,并通过虚拟机模拟环境进行实验。涵盖了防火墙的区域划分规则、IP配置、端口映射、访问控制以及不同功能的实战演示,如PAT转换、URL过滤等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、总实验说明

  • 要求如图所示

    image-20211118180346452

二、防火墙部署说明

  • 先在防火墙上创建区域,创建好后将对应的端口划分到对应的区域。
  • 写策略:一般都是高区域向低区域写策略,只允许高区域主动去访问低区域,不允许低区域与向高区域主动访问。高到低:inside > DMZ > outside

三、环境搭建说明

  • 命名规则:防火墙的接口和路由器交换机的接口命名不太一样,防火墙的大部分厂家的接口命名为eth0/1/2/3,因为大部分的防火墙都是基于linux开发的,linux中eth就是接口的意思。inside即内部区域、outside为外部区域、DMZ为为DMZ区域

  • 我们怎么用虚拟机模拟防火墙:硬件防火墙也是买硬件然后在其中装防火墙软件,然后配置好,来模拟一个简单的硬件防火墙。一般天融信的防火墙出厂时就给第一个端口–名为eth0配置了IP,目的就是为了方便我们配置防火墙的内置功能,比如现在eth0为防火墙的第一个接口,配置的IP为192.168.1.254,且端口一般为80/443。那么我们可以插一根网线到防火墙的eth0端口,另一端连接我们的PC,将我们的PC的IP地址配置与防火墙的端口在同一网段的IP地址,打开浏览器地址栏输入192.168.1.254:80或者443来访问防火墙的配置页面,配置相关的内置功能即可。我们使用的模拟硬件防火墙的虚拟机中接口的端口号默认为8080,所以输入IP:8080即可访问。

  • 但是如果是最新的防火墙,可能不支持版本太低的浏览器去访问配置页面,所以就选把xpIP配置同网段,也无法访问。但是我们知道我们的真实机有一块虚拟网卡,打开后是可以桥接到vmnet1的,所以我们可以用真实机打开vmnet1虚拟网卡,配置IP与防火墙第一个端口IP在同一网段,用真实机的浏览器访问防火墙配置页面即可

    image-20211118160123195 image-20211118160151357

  • 如何给实验中的网络设置模拟不同的区域不同的网段:我们可以把防火墙的每个端口和其连接的PC桥接到同一个vmnet,但是防火墙的不同端口桥接到不同vmnet。如图中防火墙的eth0端口与xp端口都桥接到vmnet1;防火墙的eth1端口与2003端口都桥接到vmnet2;防火墙的eth2端口与下面的2003都桥接到vmnet3。那么此时三台PC虚拟机相互通信都要经过防火墙,把防火墙对应连接的接口当网关

四、实验一

1.环境搭建

  • 在网上找FortiGate镜像,https://blog.youkuaiyun.com/B_E_A_S_T/article/details/117573687?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522163722321316780261974980%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fall.%2522%257D&request_id=163722321316780261974980&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2allfirst_rank_ecpm_v1~rank_v31_ecpm-1-117573687.first_rank_v2_pc_rank_v29&utm_term=%E6%9C%89%E5%85%B3fortigate&spm=1018.2226.3001.4187,下载好后代替实验中的topgate镜像防火墙

  • 开启连接防火墙的三个端口,从上到下依次是eth0,eth1,eth2;分别桥接到v1,v2,v3

    image-20211118163701898

  • 将xp虚拟机桥接到v1,2003-1桥接到v2,2003-2桥接到v3

    image-20211118164004065image-20211118164022864image-20211118164043903

  • 开启防火墙,登录成功(飞塔防火墙的默认用户名为 admin ,密码为空)

    image-20211118164435899

  • 开启真实机的vmnet1虚拟网卡

    image-20211118180112604

2.实验步骤

1)PC配置IP及网关

  • xp,win2003-1,win2003-2

    image-20211118180749209image-20211118180931097image-20211118181035794

2)进入防火墙配置页面

  • 给真实机的v1虚拟接口配IP,与eth0(fortigate防火墙的第一个端口名为port1)以及xp在同一网段,但是不用配置网关,因为我们只是用真实机访问防火墙的页面而不需要访问其他网段的几个虚拟机

    image-20211118181423473

  • 打开真实机浏览器,输入防火墙port1端口出厂自带的IP地址,真实中默认是80端口(没有的话打开命令行输入命令配置好即可)

    image-20211118182219612image-20211118182304851

  • 输入port1IP,再输入账号密码访问防火墙配置页面

    image-20211118182453623

  • 防火墙创建区域,接口加入区域

    image-20211118185255371

  • 并给接口配置IP(本实验不需要配置路由表,因为没涉及到有路由器网络)

    image-20211118183324102

  • 写策略并验证:inside --> outside inside --> dmz dmz --> outside 放行

    image-20211118184603348

    此时192.168.1.1可以ping通172.16.1.1和100.1.1.1,但是反过来就不行;172.16.1.1可以ping通100.1.1.1,但是反过来就不行

五、实验二

1.环境搭建

  • 模拟一个互联网的公网IP环境:将外网PC的网关去掉,则外网PC现在只能访问同网段的,访问不同网段的由于没指网关,则无法访问。

2.实验步骤

  • 此时如果在防火墙上添加PAT功能,将内网IP转换为外网IP,那么内部区域PC就可以直接访问外网服务器了,因为防火墙利用PAT做了一个IP地址转换的功能。

  • 根据区域的方向来做地址转换,不用定义内外网端口!

    image-20211118185832183

  • 验证inside区域和dmz区域的员工依然可以上网

六、实验三

1.实验步骤

  • 将DMZ区域的2003部署为web服务器并发布出去

    1)做目标转换–即做静态端口转换:从外网进来的流量目标IP为172.16.1.1且端口号为80,即可转换地址,转换成172.16.1.1

    2)还需要写策略:outside–>dmz:172.16.1.1:80

  • 使用outside区域2003通过访问http://100.1.1.88

七、实验四

1.实验步骤

完成应用层的过滤

  • 外网的2003部署成公网的某色情web服务器和dns服务器

  • 给DMZ区域以及inside区域员工指公网的DNS,然后在浏览器输入域名访问某色情网站,可以访问

  • 现在再在外网2003发布一个百度的网站

  • 现在要求做URL过滤,url为一般的网站可以访问,黑名单url禁止访问,即在inside到outside的策略里和在dmz到outside策略里再设置一个内容安全策略:

    image-20211118193348923 image-20211118193426875 image-20211118193644872

  • http内容过滤,结果包含敏感词汇,禁止访问网站

    image-20211118193842329 image-20211118193933066
防火墙部署
wzt888的博客
06-07 4947
yum install firewalld firewall-config1.火墙的启动systemctl stop iptables.servicesystemctl disable iptables.servicesystemctl start firewalld.service systemctl enable firewalld.service2.firewall管理 <1>f...
高可靠性部署系列(1)--- 防火墙双机热备
最新发布
接华为网络、网安方向小组作业,期末作业,课程设计、毕设等,有意可私信留言。
04-25 1278
本文介绍混合模式部署的主备备份的防火墙双机热备系统。
防火墙典型配置案例
10-29
华为防火墙配置案例 包括路由模式、透明模式、旁路模式配置
防火墙配置【最详细的实验演示】
ZL_1618的博客
03-09 2739
以上操作可定义一个名称为new,优先级为60的安全域。
防火墙实验及知识点
weixin_63750160的博客
07-23 165
网卡要选择第三、四个 防火墙更改的IP1是你所选的网卡ip的网段,如果你有网卡cloud没有显示要先卸载WinPcap 4.1.3重新安装。ip address 192.168.0.1 255.255.255.0这个是防火墙g0/0/0口的默认接口需要更矮改ip。在网上输入防火墙的ip进行登录配置防火墙的接口ip。要求:pc1到pc2。这些是主要的一些配置。
如何正确地部署防火墙
weixin_34237596的博客
05-13 778
防火墙在实际的部署应用过程当中,经常部署在网关的位置,也就是经常部署在网内和网外的一个"中间分隔点"上,而就是在这样一个部署的环境中,也还存在着多种方式,且存在着许多"陷阱",本文将对几种方式进行分析。 请阅读全文:http://netsecurity.51cto.com/art/201105/261341.htm   防火墙在实际的部署应用过程当中,经常部署在网关的位置,也就是经常部署在网...
HCIE-Security Day14:防火墙双机热备实验(二)防火墙直路部署,上下行连接路由器
小梁的博客
02-17 4756
vgmp与vrrp的配合只适用于防火墙连接二层设备的组网, 实验二:防火墙直路部署,上下行连接路由器 需求和拓扑 两台FW的业务接口都工作在三层,上下行分别连接路由器。FW与上下行路由器之间运行OSPF协议。现在希望两台FW以主备备份方式工作。正常情况下,流量通过FW_A转发。当FW_A出现故障时,流量通过FW_B转发,保证业务不中断。 操作步骤 1、配置接口ip和安全区域 2、配置ospf路由 r1/r2/r3/r4/f1/f2开启ospf进程1,将相连网段加入区域0 3、
HCIE-Security Day13:防火墙双机热备实验(一)防火墙直路部署,上下行连接交换机
小梁的博客
02-15 2425
实验一:防火墙直路部署,上下行连接交换机 需求和拓扑 企业的两台FW的业务接口都工作在三层,上下行分别连接二层交换机。上行交换机连接运营商的接入点,运营商为企业分配的IP地址为1.1.1.1。现在希望两台FW以主备备份方式工作。正常情况下,流量通过FW_A转发。当FW_A出现故障时,流量通过FW_B转发,保证业务不中断。 操作步骤 1、配置接口地址和安全区域 注意心跳线要加入同一安全区域,内网设备的默认网关地址是vrrp备份组2的虚拟ip地址。 2、配置路由 ...
HCIE-Security Day16:防火墙双机热备实验(四)防火墙直路部署,上行连接路由器(OSPF),下行连接交换机
小梁的博客
02-18 2369
目录 需求和拓扑 操作步骤 1、配置接口ip和安全区域 2、配置ospf动态路由 3、配置双机热备 3.1 配置vrrp备份组 3.2 配置心跳线 3.3 配置检测上行链路 3.4 开启双机热备 4、配置安全策略 验证和分析 1、检查vrrp备份组建立情况 2、检查vgmp组状态 3、检查r3的路由情况 4、检查f1和f2通告的一类lsa情况 5、在f1和f2上检查到达r3的路由情况 实验四:防火墙直路部署,上行连接路由器(OSPF),下行连接交换机 需求...
HCIE-Security Day1:防火墙概述、实验环境搭建、三种方式管理防火墙
小梁的博客
02-09 4501
防火墙了解 路由器、交换机、防火墙是最重要的三类网络设备。 交换机是部署在企业内部,用于实现局域网络互联,vlan划分的功能。路由器是部署在企业网络边缘,实现与其他节点,分支机构或者互联网连接的设备。园区网络内部,一般包含办公区,普通用户的业务一般在这里,数据中心,部署了很多服务器。为了保证企业网络安全性,需要部署防火墙防火墙一般部署在数据中心的出口、路由器与核心交换机之间,即网络的内外边界,用于防止非法访问和攻*击。 防火墙一般还会旁挂DMZ区,叫做非军事化区,DMZ区中也部署了一些服务器,..
华为云平台部署虚拟防火墙
08-31
华为云平台部署虚拟防火墙,详细介绍了如何上传镜像资源,怎么组网,怎么配置nat策略,实现内外网通信。 文档现在不可用了。不知道是csdn还是怎么回事。之前没有问题
实验防火墙内容过滤配置_防火墙_
10-03
掌握防火墙内容过滤配置方法,实现根据不同应用场景,灵活配置内容过滤策略,保证内网用户合理要求
中山大学WEB安全Windows防火墙管理实验
01-16
中山大学 WEB安全课程 的 实验3-Windows防火墙管理实验实验目的】 了解防火墙的配置与管理原理,掌握Windows防火墙的基本配置方法;分析防火墙的作用
防火墙初始化配置
04-08
防火墙初始化配置
飞塔防火墙详细配置指南
07-16
飞塔防火墙的详细配置指南从安装到配置一条龙教程超详细
防火墙实验
ly的博客
05-29 3356
实验环境:三台redhat虚拟机 内网主机:server1(172.25.92.1) 外网主机:server3(172.25.254.3) 防火墙服务器:server2,server2是一个双网卡主机,eth0网卡的ip为172.25.92.2,eth1的ip为172.25.254.2 server2上操作: 首先添加两块网卡: 然后在shell窗口: DEVICE="e...
vFW虚拟防火墙部署实战
衡水铁头哥的博客
07-23 4578
疫情还没结束,远程办公仍在继续,这个时间想做个实验都变得很困难,毕竟很少有人单独买设备放家里准备做实验的。远程登录实验室,又没人在现场配合做网线拔插等操作,怎么办呢?搞一台虚拟防火墙vFW吧! 以比较常用的VMware安装H3C的vFW为例,只需要下载vFW的系统镜像,然后在VMware上创建虚拟机,挂载系统镜像进行安装部署就可以了。操作十分简单,可以参考如下链接进行安装部署,需要特别提醒的是根据实际需求调整硬件配置,不要太低。 http://www.h3c.com/cn/d_201807/108957
防火墙相关实验
weixin_51774330的博客
03-13 170
防火墙相关实验
Day2Day Todo List - Chrome扩展程序助您轻松管理日常任务
资源摘要信息:"Day2Day - ToDo List是Google Chrome浏览器的一个扩展程序,旨在帮助用户管理日常任务。它允许用户在Chrome中添加和维护待办事项列表,非常适合需要处理日常任务安排和提醒的个人。 功能特点: 1. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值