防火墙技术

ensp课程设计(防火墙入侵与检测技术)

前言

ensp拓扑搭建的课程设计终于完成了,费了很大劲,因为课程上的很匆忙,很多东西都不懂,边查边做,最后总算做出来了。

课程设计要求

1, 内网分为两个部分,公办和服务器,其中办公区2个网段分别对应VLAN2和VLAN3 ,服务器+内网防火墙(dmz)

2, vlan2和vlan3三层互通

3, vlan2 网段可以ping通 内网服务器

4, vlan3 网段不可以ping通内网服务器

5, 在FW1出口防火墙做nat转换,允许vlan2和vlan3

6, vlan2可以访问外网的web和dns服务,利用web服务进行测试

7, vpn接入到内网,vpn地址是192.168.100.2-100 (192.168.100.1网关 )

8, vpn接入后只允许访问服务器,不能访问vlan2和vlan3

9, 要求全网可以路由

10,四人一组,每人一份报告+ 老师验收=通过

拓扑

在这里插入图片描述
拓扑简单说明:
因为上面要求讲过了,所以这里简单说一下拓扑,拓扑分为内网和外网,内网有四台pc机,划分vlan,vlan2可访问内网服务器,vlan2和3三层互通,vlan2可以访问外网的dns和http服务,外网vpn可以入内网,访问内网服务器。各设备ip和网关都已给出。

实验步骤

对于该拓扑我们下手的位置应先从配置内网入手比较容易些,又因为按照上述要求划分vlan,所以先从四台pc机和交换机开始配置。

0x01 配置交换机

划分vlan
我们首先划分vlan2和vlan3。
命令:

LSW1 :
sys
sysname LSW1
vlan 2
int e0/0/2
port link-type access
port default vlan 2

vlan3
int e0/0/3
port link-type access
port default vlan 3
int e0/0/4     //4接口至少要vlan2和3都通过
port link-type trunk
port trunk allow-pass vlan 2 3

LSW2:
sys
sysname LSW2
vlan 2
int e0/0/2
port link-type access
port default vlan 2

vlan3
int e0/0/3
port link-type access
port default vlan 3
int e0/0/4     //4接口至少要vlan2和3都通过
port link-type trunk
port trunk allow-pass vlan 2 3

完成此命令后,测试一下,发现vlan2之间可以互通,vlan3之间可以互通,但23不通。
vlan 2 3三层互通
然后继续往下,通过设置vlanif虚拟ip接口,让vlan 2 3三层互通。。
命令:

//LSW1、LSW2都如下配。
int vlanif 2
ip add 192.168.2.1 24
int vlanif 3
ip add 192.168.3.1 24
dis ip int br

在这里插入图片描述

这样就实现了vlan之间的三层互通。四台pc机都可以互相Ping通。

接下来为了可以让内网机通向路由访问其他设备,配置vlan4 和 vlan5,给vlan4一个ip 192.168.4.2/24 网关192.168.4.1 ,vlan5:5.2/24 网关5.1,建立vlan4,vlan5两个虚拟接口,但交换机不允许不通vlan间通讯的,现在是ping不通4.0、5.0段的ip的。所以给vlan 4 5添加一个通向路由方向的静态路由,因为需要访问多个设备,这里直接设置0.0.0.0/0了。

命令:

LSW1:
vlan 4
int e0/0/1
port link-type access
port default vlan 4
int vlanif 4
ip add 192.168.4.1 255.255.255.0
ip route-static 0.0.0.0 0.0.0.0 192.168.4.2   //配置静态路由,后期会减少麻烦,


LSW2:
vlan 5
int e0/0/1
port link-type access
port default vlan 5
int vlanif 5
ip add 192.168.5.1 255.255.255.0
ip route-static 0.0.0.0 0.0.0.0 192.168.5.2
dis this 

配置路由器R1

命令:

sys
sysname R1
int e0/0/0
ip add 192.168.4.2 24
int e0/0/1
ip add 192.168.5.2 24
dis ip int br

ip route-static 192.168.2.0 24 192.168.4.1     //配置去往2.0、3.0的路由
ip route-static 192.168.2.0 24 192.168.5.1
ip route-static 192.168.3.0 24 192.168.4.1
ip route-static 192.168.3.0 24 192.168.5.1
dis ip routing-table

在这里插入图片描述

配到这内网机应该可以通过交换机到路由了,也就是我们现在可以ping通4.1、5.1的ip了,后面方便设置路由的转发。

在这里插入图片描述

接下来进行实验的3、4步,vlan2可以通内网服务器,vlan3不可以。
完成该要求前提我们需要知道,至少要让vlan 2 3都能走到路由,也就是,vlan 2 3都可以正常路由,直观点就是能ping通10.1.1.2。可以先无视要求做到2和3都能访问内网服务器,然后防火墙做策略挡住3就行了。

继续先配置路由器,为了后续可以方便。

命令:

int g0/0/1
ip add 10.1.1.2 30
q
ip route-static 172.16.1.0 24 10.1.1.1  //配置通向服务器的静态路由
dis ip routing-table

配置防火墙FW2

命令:

配置ip

int g0/0/1
ip add 172.16.1.1
int g0/0/2
ip add 10.1.1.1
dis ip int br

划分区域:

firewall zone trust
add int g0/0/2
firewall zone dmz
add int g0/0/1

配置静态路由:

ip route-static 0.0.0.0 0.0.0.0 10.1.1.2   //因为要通向的路很多,我们直接设置这个,

firewall packet-filter default permit interzone local dmz direction inbound

配置策略:

policy interzone trust dmz outbound
policy 1
action permit
policy service service-set icmp  允许协议
policy source 192.168.2.0 mask 255.255.255.0   //这里直允许vlan2通过,所以不配3.0

quit
dis this

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
如上配置结束后,vlan2可以访问内网服务器了。

在这里插入图片描述

在这里插入图片描述

nat转换
接下来做给FW2做nat转换,nat通俗讲就是把我们内网的ip映射为外网ip,这样内网访问外网时可以隐藏内网ip。可以通过抓包查看是否成功

先把之前路由器R1配上
命令:

int g0/0/0
ip add 10.1.2.1 30
ip route-static 0.0.0.0 0.0.0.0 10.1.2.2

配置防火墙FW1

首先要保证内网能通到防火墙,至少要能ping通202.1.1.2
命令:

int g0/0/1
ip add 10.1.2.2 30
int g0/0/2
ip add 202.1.1.1 24
dis ip int br
//添加静态路由
ip route-static 0.0.0.0 0.0.0.0 202.1.1.2
ip route-static 192.168.2.0 24 10.1.2.1
ip route-static 192.168.3.0 24 10.1.2.1
dis ip routing-table
firewall packet-filter default permit interzone local untrust direction inbound

//配置防火墙策略
policy interzone trust untrust outbound
policy 1 
  action permit 
  policy service service-set icmp
  policy source 192.168.2.0 mask 255.255.255.0
  policy source 192.168.3.0 mask 255.255.255.0

配置路由器R2

将路由器相应接口ip添加上,这里不再写了
在这里插入图片描述
配置静态路由

ip route-static 0.0.0.0 0.0.0.0 202.1.1.1

实际上现在将外网服务器配置好后,内网vlan 2 3已经可以ping通外网服务器了,自然也能ping通路由器了

在这里插入图片描述

现在配置防火墙FW1的nat,我们可以直接将内网ip经nat转换为FW2外网接口地址202.1.1.1,所以不用设置外网地址池了。

命令:

nat-policy interzone trust untrust outbound

policy 1
action source-nat
dis this
policy source 192.168.2.0 mask 255.255.255.0
policy source 192.168.3.0 mask 255.255.255.0
easy-ip g0/0/2
dis this

quit

在这里插入图片描述

在R2 e0口抓包查看是否转换成功。
用内网机去ping202.1.1.2

在这里插入图片描述
内网机ip是192.168.2.3,可以看到访问后,显示是202.1.1.1访问的202.1.1.2。

接下来vlan2可以访问外网的web和dns服务,利用web服务进行测试
这步就相对简单了,所有的前戏基本上做足了,现在配下防火墙策略就行了。

配置vlan2访问外网服务

配置防火墙FW1策略
命令:

policy interzone trust untrust outbound
policy 2 
action permit 
policy service service-set http
policy service service-set dns
policy source 192.168.2.0 mask 255.255.255.0  
policy 3 
action deny 
policy service service-set http
policy source 192.168.3.0 mask 255.255.255.0

在这里插入图片描述

根据要求来看vlan 2 3都可以ping通服务器,但3是不能访问http服务的,所以做如上策略。
其他相关配置。
DNS服务器
在这里插入图片描述
在这里插入图片描述
web服务器

在这里插入图片描述
在这里插入图片描述

pc机绑定域名服务器
在这里插入图片描述

访问
在这里插入图片描述

最后一步配置vpn访问内网,这步连接成功了,就是ensp容易崩不知道什么问题。

配置vpn访问内网服务器

配置vpn博客里有,照搬就行。不会可看http://www.lin2zhen.top/index.php/archives/80/

1. 启动l2tp服务
FW1里 : l2tp enable

2. 配置vpn用户和ip pool 池子
aaa

loacl-user vpnu password cipher admin@123

ip pool 1 192.168.100.2 192.168.100.100

dis this

q

3.创建虚接口 

int virtual-Template 1

ip add 192.168.100.1 24

ppp authentication-mode chap

dis this

remote address pool 1

q

4: 配置L2TP

l2tp-group 1

allow l2tp virtual-template 1 remote client

tunnel password cipher admin@123

tunnel name LNS

q

q

save

reboot 重启

FW1里再加个东西:
firewall zone trust
add interface virtual-template 1



打开vpn 客户端


通过服务参数连接
配置地址

202.1.1.1
vpnu
admin@123

client

chap认证

admin@123

配置完成后,可以vpn客户端连接了,注意关掉本地网卡,如果还连不上看本地是否能ping通202.1.1.1,一定要保证能ping通才能连上。
这里给FW1设置静态路由。

ip route-static 100.1.1.0 24 202.1.1.2

一般配上这个就能通了。

连上vpn后就可以访问内网了,不过好像不能访问内网服务器,因为有防火墙挡着,所以需要配置一个静态路由,通向192.168.100.0的虚拟内网ip。在防火墙和路由中加。这里靠自己配吧。

容易崩....emmm

在这里插入图片描述

回复

  1. Unkn0wn Unkn0wn
    Edge 18 10

    Dr. BerL1n NB!

This is just a placeholder img.