1. Toy模板网首页
  2. > Toy博客

ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】

8月前 作者:Johnny.G 分类:Toy博客 阅读(31) 违法举报

这篇具有很好参考价值的文章主要介绍了ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一、实验要求

1. 总部需要通过VPN与分支和合作伙伴进行通信

1)WEB服务器对外提供的IP地址为69.1.1.100
2)FW部署Easy-ip实现访问公网FTP服务

2. 分支机构(Branch)员工使用NGFW接入总部。要求实现分支机构安全访问IPSec保护的总部内网服务器。

1)手工方式建立IPSec隧道需要手工配置各项参数:
2)安全参数索引,使用ESP协议的安全联盟的参数
	a)入方向安全联盟的SPI为11111
	b)出方向安全联盟的SPI为11111。
3)安全联盟的认证密钥,使用ESP协议的安全联盟的参数,
	a)入方向安全联盟的认证密钥为字符串12345;
	b)出方向安全联盟的认证密钥为字符串12345
4)FW部署Easy-ip实现访问公网client4(ping)

3. 合作伙伴(Partner)使用NGFW接入总部。要求实训合作伙伴通过GRE隧道与总部进行通信。

1)地址要求:隧道IP地址范围为172.16.12.0/24
2)FW部署部署Easy-ip实现访问公网FTP服务

4. 所有的客户端可以通过公网IP地址来访问WEB服务器

注:所有的通信使用静态路由来保证。

二、实验拓补

ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】

三、实验配置

1. 防火墙安全区域划分(包括Tunnel接口)

HQ:

trust
 priority is 85
 interface of the zone is (2):
    GigabitEthernet1/0/0
#
untrust
 priority is 5
 interface of the zone is (3):
    GigabitEthernet1/0/2
    GigabitEthernet1/0/3
    Tunnel1
#
dmz
 priority is 50
 interface of the zone is (1):
    GigabitEthernet1/0/1

Partner

trust
 priority is 85
 interface of the zone is (2):
    GigabitEthernet1/0/0
#
untrust
 priority is 5
 interface of the zone is (2):
    GigabitEthernet1/0/1
    Tunnel1

Branch

trust
 priority is 85
 interface of the zone is (2):
    GigabitEthernet1/0/0
#
untrust
 priority is 5
 interface of the zone is (1):
    GigabitEthernet1/0/1

2. 静态路由

HQ

ip route-static 0.0.0.0 0.0.0.0 69.1.1.2
ip route-static 0.0.0.0 0.0.0.0 68.1.1.2
ip route-static 10.1.10.0 255.255.255.0 Tunnel1
ip route-static 10.1.20.0 255.255.255.0 68.1.1.2
ip route-static 111.1.1.0 255.255.255.0 69.1.1.2
ip route-static 112.1.1.0 255.255.255.0 68.1.1.2

注:其实一般公网环境使用缺省即可,两条访问111.1.1.0 & 112.1.1.0的静态路由是为了流量能够正常在公网同行;同时两条访问10.1.10.0 & 10.1.20.0的静态路由是为了指引访问这两个网段的流量怎么使用VPN穿越公网

Partner

ip route-static 0.0.0.0 0.0.0.0 111.1.1.2
ip route-static 10.1.1.0 255.255.255.0 Tunnel1
ip route-static 69.1.1.0 255.255.255.0 111.1.1.2

注:其实一般公网环境使用缺省即可,一条访问69.1.1.0的静态路由是为了流量能够正常在公网同行;另外一条访问10.1.1.0 的静态路由是为了指引访问这个网段的流量怎么使用VPN穿越公网

Branch

ip route-static 0.0.0.0 0.0.0.0 112.1.1.2
ip route-static 10.1.1.0 255.255.255.0 112.1.1.2
ip route-static 68.1.1.0 255.255.255.0 112.1.1.2

注:其实一般公网环境使用缺省即可,一条访问68.1.1.0的静态路由是为了流量能够正常在公网同行;另外一条访问10.1.1.0 的静态路由是为了指引访问这个网段的流量怎么使用VPN穿越公网

3. GRE配置

HQ

interface Tunnel1
 ip address 172.16.12.1 255.255.255.0
 tunnel-protocol gre
 source 69.1.1.1
 destination 111.1.1.1

Partner

interface Tunnel1
 ip address 172.16.12.2 255.255.255.0
 tunnel-protocol gre
 source 111.1.1.1
 destination 69.1.1.1

4. IPSec VPN配置

HQ

acl number 3000
 rule 5 permit ip source 10.1.1.1 0 destination 10.1.20.1 0
#
ipsec policy map 10 manual
 security acl 3000
 proposal 10
 tunnel local 68.1.1.1
 tunnel remote 112.1.1.1
 sa spi inbound esp 11111
 sa string-key inbound esp 12345
 sa spi outbound esp 11111
 sa string-key outbound esp 12345
#
interface GigabitEthernet1/0/3
 ipsec policy map

Branch

acl number 3000
 rule 5 permit ip source 10.1.20.1 0 destination 10.1.1.1 0
#
ipsec proposal 10
 esp authentication-algorithm sha2-256
 esp encryption-algorithm aes-256
#
ipsec policy map 10 manual
 security acl 3000
 proposal 10
 tunnel local 112.1.1.1
 tunnel remote 68.1.1.1
 sa spi inbound esp 11111
 sa string-key inbound esp 12345
 sa spi outbound esp 11111
 sa string-key outbound esp 12345
interface GigabitEthernet1/0/1
 ipsec policy map

5. Easy-ip配置

HQ

nat-policy
 rule name easy-ip
  source-zone trust
  egress-interface GigabitEthernet1/0/2
  source-address 10.1.1.1 mask 255.255.255.255
  action source-nat easy-ip
Partner:
nat-policy
 rule name easy-ip
  source-zone trust
  egress-interface GigabitEthernet1/0/1
  source-address 10.1.10.1 mask 255.255.255.255
  action source-nat easy-ip

Branch

nat-policy
 rule name easy-ip
  source-zone trust
  egress-interface GigabitEthernet1/0/1
  source-address 10.1.20.1 mask 255.255.255.255
  action source-nat easy-ip

6. NAT Server配置

HQ

nat server http protocol tcp global 69.1.1.100 www inside 10.1.2.1 www

7. 安全策略配置

HQ

security-policy
 rule name gre
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  service gre
  action permit
 rule name icmpv4_C3-C1
  source-zone trust
  source-zone untrust
  destination-zone trust
  destination-zone untrust
  source-address 10.1.1.1 mask 255.255.255.255
  source-address 10.1.10.1 mask 255.255.255.255
  destination-address 10.1.1.1 mask 255.255.255.255
  destination-address 10.1.10.1 mask 255.255.255.255
  service icmp
  action permit
 rule name esp
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  service esp
  action permit
 rule name icmpv4_C3-C2
  source-zone trust
  source-zone untrust
  destination-zone trust
  destination-zone untrust
  source-address 10.1.1.1 mask 255.255.255.255
  source-address 10.1.20.1 mask 255.255.255.255
  destination-address 10.1.1.1 mask 255.255.255.255
  destination-address 10.1.20.1 mask 255.255.255.255
  service icmp
  action permit
 rule name allC-web
  source-zone trust
  source-zone untrust
  destination-zone dmz
  source-address 10.1.1.1 mask 255.255.255.255
  source-address 111.1.1.1 mask 255.255.255.255
  source-address 112.1.1.1 mask 255.255.255.255
  source-address 8.8.8.8 mask 255.255.255.255
  destination-address 10.1.2.1 mask 255.255.255.255
  destination-address 69.1.1.100 mask 255.255.255.255
  service http
  service icmp
  action permit
 rule name C3-FTP
  source-zone trust
  destination-zone untrust
  source-address 10.1.1.1 mask 255.255.255.255
  destination-address 7.7.7.7 mask 255.255.255.255
  service ftp
  service icmp
  action permit

Partner

security-policy
 rule name gre
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  service gre
  action permit
 rule name icmpv4
  source-zone trust
  source-zone untrust
  destination-zone trust
  destination-zone untrust
  source-address 10.1.1.1 mask 255.255.255.255
  source-address 10.1.10.1 mask 255.255.255.255
  destination-address 10.1.1.1 mask 255.255.255.255
  destination-address 10.1.10.1 mask 255.255.255.255
  service icmp
  action permit
 rule name C1-FTP
  source-zone trust
  destination-zone untrust
  source-address 10.1.10.1 mask 255.255.255.255
  destination-address 7.7.7.7 mask 255.255.255.255
  service ftp
  service icmp
  action permit
 rule name C1-web
  source-zone trust
  destination-zone untrust
  source-address 10.1.10.1 mask 255.255.255.255
  source-address 69.1.1.100 mask 255.255.255.255
  destination-address 10.1.10.1 mask 255.255.255.255
  destination-address 69.1.1.100 mask 255.255.255.255
  service http
  action permit

Branch

security-policy
 rule name esp
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  service esp
  action permit
 rule name icmpv4_C3-C2
  source-zone trust
  source-zone untrust
  destination-zone trust
  destination-zone untrust
  source-address 10.1.1.1 mask 255.255.255.255
  source-address 10.1.20.1 mask 255.255.255.255
  destination-address 10.1.1.1 mask 255.255.255.255
  destination-address 10.1.20.1 mask 255.255.255.255
  service icmp
  action permit
 rule name C2-C4
  source-zone trust
  source-zone untrust
  destination-zone trust
  destination-zone untrust
  source-address 10.1.20.1 mask 255.255.255.255
  source-address 8.8.8.8 mask 255.255.255.255
  destination-address 10.1.20.1 mask 255.255.255.255
  destination-address 8.8.8.8 mask 255.255.255.255
  service icmp
  action permit
 rule name C2-web
  source-zone trust
  destination-zone untrust
  source-address 10.1.20.1 mask 255.255.255.255
  destination-address 69.1.1.100 mask 255.255.255.255
  service http
  action permit

四、验证结果(截图)

1. client3访问FTP服务器

ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】
注:此为FTP服务器设置
ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】
注:客户端Client3成功访问FTP服务器的截图
ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】
注:通过抓包抓取FTP的流量(筛选ftp),可以看到有多个ftp的包,点开其中一个流量,可以清晰看到有ftp的封装。

2. client1访问FTP服务器

ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】
== 注:此为FTP服务器设置==
ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】
注:客户端Client1成功访问FTP服务器的截图
ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】
注:通过抓包抓取FTP的流量(筛选ftp),可以看到有多个ftp的包,点开其中一个流量,可以清晰看到有ftp的封装。

3. client2访问client4

ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】

注:client2通过缺省访问client4(ping五个包)
ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】
注:通过抓包抓取icmp的流量(筛选icmp),可以看到有10个icmp的包(数据通信是双向的,一去一回共10个包),点开其中一个流量,可以清晰看到有icmp的封装。

4. GRE隧道验证

ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】

注:client3通过GRE ping client1五个包
ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】
注:通过抓包抓取gre的流量(筛选gre),可以看到有10个gre的包(数据通信是双向的,一去一回共10个包),点开其中一个流量,可以清晰看到有GRE的封装。

5. IPSec隧道验证

ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】
注:client3通过IPsec ping client1五个包
ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】
注:通过抓包抓取esp(IPSec加密)的流量(筛选esp),可以看到有10个esp的包(数据通信是双向的,一去一回共10个包),点开其中一个流量,可以清晰看到有esp的封装。

6. 所有客户端访问WEB服务器验证

ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】
注:此为WEB服务器设置
ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】
ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】
ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】
ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】
注:以上四张图为各客户端(Client1、Client2、Client3、Client4)成功访问WEB服务器的截图

Client2:
ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】
Client1:
ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】
Client4:
ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】
Client3:
ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】
注:通过抓包抓取tcp(http)的流量(筛选tcp),可以看到有10个tcp的包(数据通信是双向的,一去一回共10个包),点开其中一个流量,可以清晰看到有tcp的封装(点开可以清晰看到http服务)。文章来源地址https://www.toymoban.com/news/detail-404347.html

到了这里,关于ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

分享到:
领支付宝红包 赞助服务器费用

相关文章

  • 【华为_安全】防火墙IPsec双机实验

    【华为_安全】防火墙IPsec双机实验

    学习华为防火墙IPsec双机实验记录 ensp拓扑链接:拓扑 防火墙登录账号都为admin 密码为Huawei@123 总部: 两台防火墙 采用双机部署,分别连接到ISP1、ISP2 总部两台防火墙的 ISP1 出口是 G0/0/3,连接 ISP2 的出口是 G0/0/5,缺省情况下,流量走 FW1 的 G0/0/3 接口 两台防火墙 作为内网用

    2024年02月04日
    浏览(34)
  • eNSP实验日记四(防火墙配置)

    eNSP实验日记四(防火墙配置)

    今天这期紧跟上篇文章,来讲讲华为防火墙的配置以及进阶,这次也会用到NAT转换 4台PC、路由器、防火墙、服务器、交换机各一个 如图: 如图: PC2、3、4在内网,地址网段为192.168.10.x,服务器端IP地址为172.16.1.1,外网网段为64.1.1.x,同时也为内网配置了DHCP 1、用防火墙实现

    2024年02月02日
    浏览(30)
  • 防火墙综合实验

    防火墙综合实验

    实验要求: 1.办公区设备可以通过电信和移动两条链路上网,且需要保留一个公网ip不能用来转换。 2.分公司设备可以通过两条链路访问到dmz区域的http服务器。 3.分公司内部客户端可以通过公网地址访问到内部服务器。 4.FW1和FW2组成主备模式的双击热备。 5.办公区上网用户限

    2024年02月21日
    浏览(34)
  • 安全防御——二、ENSP防火墙实验学习

    安全防御——二、ENSP防火墙实验学习

    我们使用实验进行讲解: 首先我们自行完成安全防御一,进入到如下界面: 这里我们的ENSP拓扑依旧是简单拓扑: 在这里呢,我们经常会发现时常超时,重连,虽然我们不建议配置永不超时,但是我们在实验界面就没那么多硬性要求: 我们可以通过如下命令配置永不超时:

    2024年02月05日
    浏览(35)
  • 防御保护---防火墙综合实验

    防御保护---防火墙综合实验

    办公区的设备可以通过电信链路和移动链路上网 分公司设备可以通过总公司的移动链路和电信链路访问到DMZ区域的HTTP服务器 分公司内部的客户端可以通过公网地址访问到内部的服务器 FW1和FW2组成主备模式双击热备 办公区上网用户限制流量不超过60M,其中销售部10人,每人限

    2024年02月19日
    浏览(42)
  • 华为防火墙nat(easy-ip)实验

    华为防火墙nat(easy-ip)实验

    目的:         掌握在防火墙上配置源NAT的方法,使内网用户可以通过NAT技术访问外网资源,节省公网IP地址,增强网络安全性。 需求: 办公网内网(trust)可以访问生产服务器(dmz)和外网client2(untrust)。 client2可以访问生产服务器,但不可以访问办公网。 生产服务器不能

    2024年02月09日
    浏览(35)
  • 网络安全之防火墙 server nat 基本配置实验

    网络安全之防火墙 server nat 基本配置实验

    目录 网络安全之防火墙 server nat 基本配置实验 实验图  1.进入视图模式  2.配置端口IP地址即区域 防火墙       ​编辑  untrust区域 DMZ区域 trust区域 配置trust-untrust区域的ftp 在untrust区域中的server1开启ftp服务  配置trust-untrust区域的ftp的安全策略 登陆ftp  查找server-map 配置 

    2024年02月15日
    浏览(35)
  • eNSP防火墙配置实验(trust、DMZ、untrust)

    eNSP防火墙配置实验(trust、DMZ、untrust)

    【拓扑】 设备 接口 IP地址/子网掩码/网关 AR1 G0/0/0 10.1.3.2/24 G0/0/1 100.1.1.2/24 FW1 G0/0/0 192.168.166.254/24 G1/0/0 10.1.1.1/24,trust域 G1/0/1 10.1.2.1/24,DMZ域 G1/0/2 100.1.3.1/24,untrust域 LSW1 G0/0/1 vlan 3:172.16.1.1/24 G0/0/2 vlan 2:10.1.1.2/24 LSW2 G0/0/1 vlan 2:10.1.2.2/24 G0/0/2 vlan 3:192.168.1.1/24 PC1 e0/0/1 17

    2024年04月29日
    浏览(34)
  • 网络毕业设计--基于华为ensp防火墙双出口负载拟真实验

    网络毕业设计--基于华为ensp防火墙双出口负载拟真实验

     由于之前的实验很多同学提出了问题,确实是我排版不当导致,我重新梳理规划,发给大家。 本次论文实验是园区多出口带宽资源调配和管理,大家可以参考组网结构,在此基础上可以进行各种改良,符合自己的实验需求是最终目的,下面直接上配置,想要定制的+绿泡泡

    2024年02月08日
    浏览(31)
  • 高级网络应用复习——TCP与UDP,ACL列表, 防火墙,NAT复习与实验(带命令)

    高级网络应用复习——TCP与UDP,ACL列表, 防火墙,NAT复习与实验(带命令)

            作者简介:一名在校云计算网络运维学生、每天分享网络运维的学习经验、和学习笔记。   座右铭:低头赶路,敬事如仪 个人主页:网络豆的主页​​​​​​ 目录  前言 一.知识点总结 1.传输层的

    2024年02月01日
    浏览(35)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包