案例模擬實(shí)驗(yàn)二

案例模擬實(shí)驗(yàn)二【實(shí)驗(yàn)背景】企業(yè)集團(tuán)總部通過(guò)使用一臺(tái)USG5320防火墻作為路由連接外網(wǎng)。各個(gè)子公司分別通過(guò)電信運(yùn)營(yíng)商和聯(lián)通運(yùn)營(yíng)商接入集團(tuán)總部網(wǎng)絡(luò)。【實(shí)驗(yàn)?zāi)康摹苛私夥阑饓Φ幕竟ぷ髟?；掌握防火墻安全區(qū)域的劃分配置；掌握防火墻基本安全策略的配置；掌握防火墻NAT的基本配置?！緦?shí)驗(yàn)內(nèi)容】模擬配置USG5320防火墻，實(shí)現(xiàn)防火墻基本功能。區(qū)域劃分，雙線接入，內(nèi)網(wǎng)外網(wǎng)隔離?！緦?shí)驗(yàn)環(huán)境】計(jì)算機(jī)一臺(tái)，華為模擬軟件ensp【實(shí)驗(yàn)原理】一、 安全區(qū)域在防火墻中引入“安全區(qū)域”的概念是為了對(duì)流量來(lái)源進(jìn)行安全等級(jí)的劃分，以判斷何時(shí)對(duì)流量進(jìn)行檢測(cè)。通常情況下，相同安全區(qū)域中的流量流動(dòng)是不需要檢測(cè)的，而跨安全區(qū)域的流量由于存在安全風(fēng)險(xiǎn)，是需要受到防火墻控制的（詳見(jiàn)配置指南7.2.1、7.2.2、7.2.3、7.2.4）二、 安全策略安全策略用于對(duì)流經(jīng)設(shè)備或訪問(wèn)設(shè)備的流量進(jìn)行安全檢查、控制哪些流量可以通過(guò)或訪問(wèn)設(shè)備。如果安全策略錯(cuò)誤將直接影響網(wǎng)絡(luò)的正常通信。（詳見(jiàn)配置指南7.5.1、7.5.2、7.5.3、7.5.4）三、 配置NATNAT主要用于多個(gè)私網(wǎng)用戶使用一個(gè)公網(wǎng)IP地址訪問(wèn)外部網(wǎng)絡(luò)的情況，從而減緩可用IP地址資源枯竭的速度。隨著NAT技術(shù)的發(fā)展，NAT已經(jīng)不僅可以實(shí)現(xiàn)源地址的轉(zhuǎn)換，還可以實(shí)現(xiàn)目的地址的轉(zhuǎn)換（詳見(jiàn)配置指南7.9.1、7.9.2、7.9.3、7.9.4、7.9.5、、）【實(shí)驗(yàn)拓?fù)洹吭谀M實(shí)驗(yàn)一拓?fù)浣Y(jié)構(gòu)基礎(chǔ)上，模擬雙線接入的連接，為了進(jìn)行配置的測(cè)試，電信和聯(lián)通端的設(shè)備用兩臺(tái)主機(jī)來(lái)模擬。

【實(shí)驗(yàn)步驟】IP地址規(guī)劃:USG5320BJ火墻接口地址接入接口IF地址子網(wǎng)掩碼電信G52聯(lián)通so/o/l220.趴土97.114：48內(nèi)網(wǎng)40外網(wǎng)HAT地址池分配接入電信6聯(lián)通14-18配置硬件接口地址<USG5320>systemview[USG5320]interfaceGigabitEthernet0/0/0 #進(jìn)入g0/0/0[USG5320-GigabitEthernet0/0/1]ipaddress652#為g0/0/0配置IP地址[USG5320]interfaceGigabitEthernet0/0/1[USG5320-GigabitEthernet0/0/1]ipaddress1448[USG5320]interfaceGigabitEthernet0/0/2[USG5320-GigabitEthernet0/0/2]ipaddress40劃分安全區(qū)域，把相應(yīng)的接口加入到安全區(qū)域內(nèi)#將集團(tuán)總部?jī)?nèi)網(wǎng)劃分到trust區(qū)域[USG5320]firewallzonetrust[USG5320-zone-trust]addinterfaceGigabitEthernet0/0/2[USG5320-zone-trust]descriptionto-neiwang#將連接電信的外網(wǎng)劃分到untrust區(qū)域[USG5320]firewallzoneuntrust[USG5320-zone-untrust]addinterfaceGigabitEthernet0/0/0[USG5320-zone-trust]descriptionto-dianxin#將連接聯(lián)通的外網(wǎng)劃分到isp區(qū)域[USG5320]firewallzonenameisp[USG5320-zone-isp]setpriority10[USG5320-zone-isp]addinterfaceGigabitEthernet0/0/1[USG5320-zone-trust]descriptionto-liantong配置基本安全策略（1）配置域間包過(guò)濾，以保證網(wǎng)絡(luò)基本通信正常[USG5320]firewallpacket-filterdefaultpermitinterzonelocaltrustdirectioninbound[USG5320]firewallpacket-filterdefaultpermitinterzonelocaltrustdirectionoutbound[USG5320]firewallpacket-filterdefaultpermitinterzonelocaluntrustdirectioninbound[USG5320]firewallpacket-filterdefaultpermitinterzonelocaluntrustdirectionoutbound[USG5320]firewallpacket-filterdefaultpermitinterzonelocalispdirectioninbound禁止內(nèi)網(wǎng)訪問(wèn)外網(wǎng)，允許外網(wǎng)數(shù)據(jù)流通過(guò)#untrust->trustpolicyinterzonetrustuntrustinboundpolicy0actionpermit#trunst->untrustpolicyinterzonetrustuntrustoutboundpolicy0actiondeny#isp->trustpolicyinterzonetrustispinboundpolicy0actionpermit#trust->isp2policyinterzonetrustispoutboundpolicy0actiondeny禁止ftp、qq、msn通信#firewallinterzonetrustuntrustdetectftpdetectqqdetectmsnfirewallinterzonetrustispdetectftpdetectqqdetectmsnNAT配置（此部分配置再參考案例模擬實(shí)驗(yàn)四中的相關(guān)配置）（1） 創(chuàng)建地址池電信：nataddress-group066聯(lián)通：nataddress-group11418（2） 配置轉(zhuǎn)換策略#通過(guò)電信訪問(wèn)Internetnat-policyinterzonetrustuntrustoutboundpolicy902actionsource-natpolicysource55address-group0#通過(guò)聯(lián)通訪問(wèn)Internetnat-policyinterzonetrustispoutboundpolicy900actionsource-natpolicysource55address-group1驗(yàn)證給“dianxin”這臺(tái)主機(jī)配置相應(yīng)的IP地址，與業(yè)務(wù)服務(wù)器進(jìn)行互ping。但此時(shí)我們的驗(yàn)證還不能進(jìn)行，因?yàn)檫@里涉及到了兩個(gè)遠(yuǎn)程網(wǎng)絡(luò)的互相通信，因此需要配置相應(yīng)的路由保證遠(yuǎn)程網(wǎng)絡(luò)的基本通信正常，才能去驗(yàn)證防火墻基本安全策略配置的正確性。在USG5320中配置到達(dá)業(yè)務(wù)服務(wù)器子網(wǎng)所在網(wǎng)絡(luò)的靜態(tài)路由：iproute-static2