ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】

本文档详细介绍了ENSPI防火墙的配置,包括安全区域划分、静态路由、GRE、IPSec、Easy-ip、NATServer及安全策略的设定。实验目标是实现总部与分支、合作伙伴之间的安全通信,以及所有客户端对WEB服务器的访问。通过验证结果的截图,确认了GRE隧道、IPSec隧道、NAT通信及FTP和HTTP服务的正常运行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、实验要求

1. 总部需要通过VPN与分支和合作伙伴进行通信

1)WEB服务器对外提供的IP地址为69.1.1.100
2)FW部署Easy-ip实现访问公网FTP服务

2. 分支机构(Branch)员工使用NGFW接入总部。要求实现分支机构安全访问IPSec保护的总部内网服务器。

1)手工方式建立IPSec隧道需要手工配置各项参数:
2)安全参数索引,使用ESP协议的安全联盟的参数
	a)入方向安全联盟的SPI为11111
	b)出方向安全联盟的SPI为11111。
3)安全联盟的认证密钥,使用ESP协议的安全联盟的参数,
	a)入方向安全联盟的认证密钥为字符串12345;
	b)出方向安全联盟的认证密钥为字符串12345
4)FW部署Easy-ip实现访问公网client4(ping)

3. 合作伙伴(Partner)使用NGFW接入总部。要求实训合作伙伴通过GRE隧道与总部进行通信。

1)地址要求:隧道IP地址范围为172.16.12.0/24
2)FW部署部署Easy-ip实现访问公网FTP服务

4. 所有的客户端可以通过公网IP地址来访问WEB服务器

注:所有的通信使用静态路由来保证。

二、实验拓补

请添加图片描述

三、实验配置

1. 防火墙安全区域划分(包括Tunnel接口)

HQ:

trust
 priority is 85
 interface of the zone is (2):
    GigabitEthernet1/0/0
#
untrust
 priority is 5
 interface of the zone is (3):
    GigabitEthernet1/0/2
    GigabitEthernet1/0/3
    Tunnel1
#
dmz
 priority is 50
 interface of the zone is (1):
    GigabitEthernet1/0/1

Partner

trust
 priority is 85
 interface of the zone is (2):
    GigabitEthernet1/0/0
#
untrust
 priority is 5
 interface of the zone is (2):
    GigabitEthernet1/0/1
    Tunnel1

Branch

trust
 priority is 85
 interface of the zone is (2):
    GigabitEthernet1/0/0
#
untrust
 priority is 5
 interface of the zone is (1):
    GigabitEthernet1/0/1

2. 静态路由

HQ

ip route-static 0.0.0.0 0.0.0.0 69.1.1.2
ip route-static 0.0.0.0 0.0.0.0 68.1.1.2
ip route-static 10.1.10.0 255.255.255.0 Tunnel1
ip route-static 10.1.20.0 255.255.255.0 68.1.1.2
ip route-static 111.1.1.0 255.255.255.0 69.1.1.2
ip route-static 112.1.1.0 255.255.255.0 68.1.1.2

注:其实一般公网环境使用缺省即可,两条访问111.1.1.0 & 112.1.1.0的静态路由是为了流量能够正常在公网同行;同时两条访问10.1
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值