配置实验拓扑,包括IP地址规划和防火墙接口划分。执行NAT策略,设置安全规则允许流量通过。测试PC间通信并验证地址转换。在HTTP服务器上做端口映射,使Client能访问Web服务。进行NAT域间和域内双向转换的配置与测试。最后,设置双机热备,确保高可用性,并测试主备切换功能。
实验拓扑:
按照拓扑地址规划给设备配置IP地址,然后进入防火墙图形化界面进行相关配置。
配置接口,将接口划分到相应的安全区域。
做NAT策略
因为默认所有流量是被防火墙阻拦的,因此要在安全策略里写一条策略放通流量。
测试PC1能否与PC2通讯,并使用抓包工具查看地址是否转换成功。
可见地址成功转换,源地址是防火墙的出接口地址,目的地址是PC2的地址。
在HTTP服务器上开启web服务,在防火墙上做端口映射,使得Client 1能够成功访问web服务。
添加服务器映射列表,注意安全区域为发布公网地址的区域,之后添加安全策略放行该流量。
测试Client 1能否成功访问HTTP服务器上的web服务。
NAT域间双向转换
做NAT策略(源安全区域为untrust区域)以及安全策略。
在server 2 上开启web服务
测试,使用client 1访问server 2 上的web服务
使用抓包工具,查看地址是否转换成功。
NAT域内双向转换
做NAT策略(源安全区域为trust)以及安全策略。
在DNS服务器上开启DNS服务,并在client 2上配置域名服务器。
使用client 2访问域名,测试能否成功访问。
使用抓包工具查看源目IP地址。
双机热备
添加两个防火墙,分别连接trunst和untrust区域,并在两个防火墙之间添加心跳线,拓扑图如下:
分别给两个防火墙的心跳接口配置IP地址
FW2做主设备,在FW2上配置双机热备,配置接口监控以及虚拟IP地址。
这里因为网关修改为了10.1.1.254和20.1.1.254,因此所有其他同区域设备的网关均需要修改。
防火墙的状态
同理在FW1上进行主备配置。
防火墙状态
写一条策略放行心跳线这个网段的流量。
最后登录备防火墙查看同步情况
测试关闭主服务器尝试使用内网PC访问外网PC
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
