当前位置：首页 > news >正文

网络安全——防御课实验二

news 2026/4/1 22:30:38

在这里插入图片描述

在实验一的基础上，完成7-11题

拓扑图

在这里插入图片描述

7、办公区设备可以通过电信链路和移动链路上网(多对多的NAT，并且需要保留一个公网IP不能用来转换)

首先，按照之前的操作，创建新的安全区（电信和移动）分别表示两个外网网段，如图
在这里插入图片描述
然后，点击策略中的NAT策略中的NAT策略并新建策略，如图所示：

创建如下填写：

注意：我们是办公区访问外网，就是私网访问外网需要选择的转换模式是源地址转换
目标类型是电信和移动
应题目多对多要求，地址转换选择地址池中的地址，因为出接口地址是easy ip是一对多，而地址池中的地址有多对多也有动态NAPT，这里我地址池设置名为DX，具体配置如下：
移动的配置
在这里插入图片描述
电信的配置：

因为要保留一个ip，所以要有以下配置：
在这里插入图片描述
结果检验：

ping路由器的环回接口可以ping通。

8、分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器

首先配置分公司网络，如图：
同样的，配置NAT策略，先让分公司的网络可以访问外网，具体配置如下：
在这里插入图片描述
地址池FW配置：

安全策略可以自动生成：
在这里插入图片描述

然后配置DMZ区的防火墙，使能访问HTTP服务器，具体配置如下：
在这里插入图片描述
目标转换地址是要访问的HTTP服务器10.0.3.10，如图：

配置完成。
检验：可以访问DMZ的HTTP服务器

9、多出口环境基于带宽比例进行选路，但是，办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护，保护阈值80%；

10.0.2.10只能通过电信访问，运用出接口的方法，将接口定义到电信网段，配置如下：
在这里插入图片描述

多出口基于带宽比例选路，配置如下：
在这里插入图片描述
过载保护阈值在接口上配置，如图：

检验，配置好后，选路会有变化：

10、分公司内部的客户端可以通过域名访问到内部的服务器，公网设备也可以通过域名访问到分公司内部服务器；

首先，在之前的配置中，我们已经将分公司与公司连通，即公司能访问分公司的HTTP服务器，分公司也能访问DMZ的HTTP服务器，检验如下：
公司访问分公司
在这里插入图片描述
分公司访问公司DMZ

所以，接下来我们只要配置DNS即可，配置如下：
因为有防火墙，不能直接访问ip，所以要通过防火墙的地址转换接口进入访问

然后再在用于访问的机器上添加访问的DNS域名解析服务器ip，如图：
在这里插入图片描述
检验：
公司访问分公司

分公司访问公司

分公司访问内部服务器