【实验目的】在外网有多个出口的情况下配置防火墙接口设置使得每条出口对应防火墙的一个接口配置防火墙接口参数使得内网用户通过多条出口上网并且针对企业不同部门的带宽需求对内网用户的下行流量进行流量控制。【知识点】源NATISP路由静态路由安全策略Qos。【场景描述】近日公司为了给员工提供更好的上网环境在原来的基础上又申请了另外一条宽带线路新增的这条线路和原来的线路不是同一家运营商。现在领导要求员工可以通过两条线路上互联网并且公司在联通搭建了一个共享平台但是公司联通的互联网出口拥有50MB的出口带宽公司为了提高网络资源利用效率特安排安全运维工程师小王对内网用户的下行流量进行流量控制。在目前公司的网络出口只有一台防火墙设备的情况下如何满足如下需求部门A和部门B均可以通过电信和联通进行上网访问。根据公司出口带宽规划在防火墙上实现流量管控。如果你是运维工程师你会如何在已有配置基础上添加新的配置以满足如上技术需求【实验原理】1.网关多出口企业信息系统面临内网多用户多ISP出口时需要对网络环境进行优化配置通过对防火墙物理接口的设置以及安全域安全策略等参数的配置可以实现单ISP多出口多ISP多出口等情况进行设置。防火墙中预置了常见ISP中国电信、中国联通、中国移动、教育网的主要成员路由还可以通过自定义ISP信息实现额外的添加。通过多出口配置不仅能负载用户数据还可以在多个出口间实现备份当其中一个出口出现问题时可以使用其它出口进行通信。2.Qos1防火墙QosQoSQuality of Service用于对网络流量进行管理。下一代智慧防火墙的QoS 支持对网络流量进行基于内网地址、外网地址、服务、应用、用户及时间段参数进行多维多级的流量管理。在防火墙的【策略配置】→【QoS】菜单下可以对地址对象进行带宽策略定义通过定制化的带宽管理满足特定部门的使用需求疏解普通用户使用带宽通过最大带宽的限制利用规则规范用户的使用提高企业网络资源利用效率。2配置注意事项不能添加两条内网接口和外网接口完全相同的Qos线路否则数据总是命中先添加的那条线路而不会命中后添加的那条线路。【实验设备】服务器Windows 10 1台windows server 2016 1台安全设备防火墙 1台网络设备交换机 1台路由器 2台终端设备windows 10 1台Windows 7 2台。【实验拓扑】拓扑说明本拓扑模拟内容为一个完整的企业网络受资源限制不能完全仿真仅对关键功能和区域进行模拟。企业网络总共分为9个安全区域互联网电信、互联网联通、运维区、DMZ区域、部门A、部门B、部门C、数据中心。其中互联网电信、互联网联通属于企业互联网边界拓扑模拟了两条运营商链路一条来自电信一条来自联通。运维区属于运维人员对设备进行管理和运维的区域包括设备巡检、日志分析、设备升级等工作DMZ区域也叫隔离区或者非军事化管理区。企业中对互联网开放的服务和应用如门户网站、邮件系统都部署在DMZ区域。部门A、部门B、部门C模拟的是企业内部各个部门。由于部门之间的业务不尽相同通常他们的网络也是有区别管理的如销售部、财务部、研发部其权限是不同的。数据中心属于企业网络环境中最核心、最有价值的区域所有核心数据例如研发数据、生成材料、财务数据、企业管理数据等都存于此处仅向有权限的人或部门开放。DNS服务器用于模拟内、外网DNS服务器主要用于内、外网域名服务解析使用。本次实验并不会用到所有资源仅启用拓扑中蓝色高亮图标设备。【实验思路】创建安全域和地址对象配置部门A终端电信区域上网策略配置部门A终端联通区域上网策略配置部门B终端电信区域上网策略配置部门B终端联通区域上网策略ISP路由运营商自动选择Qos流量管控。【实验预期】部门A终端可以访问互联网电信网站和联通网站。部门B终端可以访问互联网电信网站和联通网站。防火墙ISP路由策略被命中。部门A终端从联通共享平台下载指定文档文档大小为980.77MB下载带宽大于部门B限制带宽。部门B终端从互联网共享平台下载相同文档下载带宽为10MB。网络带宽限制后用户进行文件下载时防火墙中所配置的Qos策略被命中。【实验步骤】1.创建安全域和地址组基础准备 —— 创建安全域 地址对象 接口配置目的为后续策略提供“对象基础”与“接口归属”是所有策略生效的前提。ge6IP 100.100.100.1/24安全域 电信安全域模式 路由添加浮动地址用于NATge7IP 200.200.200.1/24安全域 联通安全域模式 路由ge2IP 172.16.1.1/24或对应网关安全域 部门AB安全域 建议确保各接口“工作模式”均为“路由”且“安全域”归属正确这是策略匹配的关键。1在管理终端中打开浏览器在地址栏中输入防火墙设备IP地址https://10.0.0.1进入防火墙的登录界面。输入管理员用户名admin和密码!1fw2soc#3vpn登录防火墙2为提高防火墙系统的安全性如果用户用默认密码登录防火墙防火墙会提示用户修改初始密码本密码无需修改密码点击【取消】按钮3成功登录防火墙设备后进入防火墙【首页】菜单4登录防火墙管理界面后首先为电信互联网区域和联通互联网区域配置安全域和接口信息。单击【网络配置】→【安全域】菜单点击【添加】按钮弹出“添加安全域”对话框5在弹出的添加安全域对话框中【名称】填写“电信安全域”【类型】选择“三层安全域”在【接口绑定】处将ge6选为已选列表中点击【确定】按钮完成操作6继续单击【添加】按键为联通互联网添加安全域其中【名称】填写“联通安全域”【类型】选择“三层安全域”【接口绑定】选择ge7接口点击【确定】按钮完成添加7添加完成后即可在安全域列表中查看到相关信息8接下来添加IP地址对象。单击【对象配置】→【地址】菜单点击左上角的【添加】按键进行添加9依次添加电信地址段和联通地址段。点击【添加】按钮后在所弹出的“添加地址”对话框中填入相关信息其中【名称】填写“电信地址段”【IP地址】填写100.100.100.0/24和10.140.16.0/24点击【确定】按钮完成地址对象添加10同上操作方法继续添加联通地址段其中【名称】填写“联通地址段”【IP地址】填写200.200.200.0/24和10.150.50.0/24点击【确定】按钮完成添加11配置完成后返回地址对象列表确认所添加对象条目是否准确无误12本实验中ge6接口连接电信互联网区域需配置电信区域出接口地址。单击【网络配置】→【接口】菜单点击ge6接口右侧【操作】列的笔形图标13在所弹出“编辑物理接口”对话框中填入相关信息其中配置【IP地址】为100.100.100.1【子网掩码】为255.255.255.0【安全域】为“电信安全域”【工作模式】选择“路由模式”。点击【本地地址列表】配置模块中的【IPv4】选项卡中的【添加】按钮14在弹出的“添加IPv4本地地址”对话框中配置【本地地址】为100.100.100.1【子网掩码】为255.255.255.0【类型】选择float选项。配置完成后点击【确定】按钮关闭对话框15Ge6接口信息配置完成后单击【确定】按钮关闭“编辑物理接口”对话框16同上操作继续配置用于连接联通互联网区域的ge7接口地址其中【安全域】为“联通安全域”【工作模式】选择“路由模式”【IP地址】为200.200.200.1【子网掩码】为255.255.255.017关闭对话框后返回接口列表即可查看到相关接口配置信息2.配置部门A终端电信区域上网策略配置双出口 NAT 策略 —— 部门A 部门B 分别走电信/联通1登录管理终端进入防火墙web管理界面。单击【策略配置】→【NAT策略】菜单进入“源NAT”配置界面点击【添加】按键增加部门A访问电信的源nat策略2在弹出的添加源NAT对话框中【名称】填写“部门A-电信nat”【源地址类型】选择地址对象【源地址】选择“部门A地址段”【目的地址类型】选择“地址对象”【目的地址】选择“电信地址段”【服务】选择any【入接口】选择ge2【出接口】选择ge6【转换模式】选择“动态端口nat”【类型】选择by_route点击【确定】按钮完成添加3继续配置部门A访问电信的访问控制策略。单击【策略配置】→【安全策略】菜单进入安全策略配置页面点击【添加】按键增加部门A访问电信的访问控制策略4在弹出的添加安全策略对话框中【名称】填写“部门A-电信”【动作】选择允许【源安全域】选择“部门AB安全域”【目的安全域】选择“电信安全域”【源地址/地区】选择“部门A地址段”【目的地址/地区】选择“电信地址段”【服务】和【应用】均选择any点击【确定】按钮完成添加3.配置部门A终端联通区域上网策略配置访问控制安全策略 —— 允许流量穿越目的允许内网用户访问对应外网区域配合NAT策略形成完整通路。1单击【策略配置】→【NAT策略】菜单进入“源NAT”配置界面点击【添加】按钮增加部门A访问联通的源nat策略2在弹出的添加源NAT对话框中【名称】填写“部门A-联通nat”【源地址类型】选择“地址对象”【源地址】选择“部门A地址段”【目的地址类型】选择“地址对象”【目的地址】选择“联通地址段”【服务】选择any【入接口】选择ge2【出接口】选择ge7【转换模式】选择“动态端口nat”【类型】选择by_route点击【确定】按钮完成添加3继续配置部门A访问电信的访问控制策略。单击【策略配置】→【安全策略】菜单进入安全策略配置页面点击【添加】按钮增加部门A访问联通的访问控制策略4在弹出的添加安全策略对话框中【名称】填写“部门A-联通”【动作】选择允许【源安全域】选择“部门AB安全域”【目的安全域】选择“联通安全域”【源地址/地区】选择“部门A地址段”【目的地址/地区】选择“联通地址段”【服务】和【应用】均选择any点击【确定】按钮完成添加4.配置部门B终端电信区域上网策略1单击【策略配置】→【NAT策略】菜单进入【源NAT】配置界面点击【添加】按钮增加部门B访问电信的源nat策略2在弹出的添加源NAT对话框中【名称】填写“部门B-电信nat”【源地址类型】选择“地址对象”【源地址】选择“部门B地址段”【目的地址类型】选择“地址对象”【目的地址】选择“电信地址段”【服务】选择any【入接口】选择ge2【出接口】选择ge6【转换模式】选择“动态端口nat”【类型】选择by_route点击【确定】按钮完成添加3继续配置部门B访问电信的访问控制策略。单击【策略配置】→【安全策略】菜单进入“安全策略”配置界面点击【添加】按钮增加部门B访问电信的访问控制策略4在弹出的添加安全策略对话框中【名称】填写“部门B-电信”【动作】选择“允许”【源安全域】选择“部门AB安全域”【目的安全域】选择“电信安全域”【源地址/地区】选择“部门B地址段”【目的地址/地区】选择“电信地址段”【服务】和【应用】均选择any点击【确定】按钮完成添加5.配置部门B终端联通区域上网策略1单击【策略配置】→【NAT策略】菜单进入“源NAT”配置界面点击【添加】按钮增加部门B访问联通的源nat策略2在弹出的添加源NAT对话框中【名称】填写“部门B-联通nat”【源地址类型】选择“地址对象”【源地址】选择“部门B地址段”【目的地址类型】选择“地址对象”【目的地址】选择“联通地址段”【服务】选择any【入接口】选择ge2【出接口】选择ge7【转换模式】选择“动态端口nat”【类型】选择by_route点击【确定】按钮完成添加3继续配置部门B访问联通的访问控制策略。单击【策略配置】→【安全策略】菜单进入“安全策略”配置界面点击【添加】按钮进行部门B访问联通的访问控制策略添加4在弹出的添加安全策略对话框中【名称】填写“部门B-联通”【动作】选择“允许”【源安全域】选择“部门AB安全域”【目的安全域】选择“联通安全域”【源地址/地区】选择“部门B地址段”【目的地址/地区】选择“联通地址段”【服务】和【应用】均选择any点击【确定】按钮完成添加6.ISP路由运营商自动选择配置 ISP 路由策略 —— 实现智能选路目的让流量根据目的IP自动选择电信或联通出口避免手动静态路由导致路径单一。1为使内网用户可以按要求连接对应的链路需要配置相应的策略路由。单击【网络配置】→【路由】→【策略路由】菜单进入【策略路由】配置页面单击【ISP路由】选项卡。进入“ISP路由”配置页面点击【ISP路由】配置页面下的【添加】按钮2将电信和联通所对应的ge6、ge7添加到添加到ISP路由表中其中ge6接口连接电信接口其对应IP地址为100.100.100.1ge7接口连接的是联通接口其对应IP地址为200.200.200.1。在弹出的【添加ISP路由】对话框中【名称】输入“连接电信路由”【优先级】填入0【ISP名称】选择【中国电信】选项点击【网关】配置模块中的【添加】按钮3在弹出的【添加网关】对话框中【网关地址】输入100.100.100.2该IP地址为ge6接口连接的电信路由器所对应IP地址【权重】输入255权重值越大分配的会话数越多表明是主链路配置完成后点击【确定】按钮关闭“添加网关”对话框4确认配置信息无误后点击【确定】按钮关闭“添加ISP路由”对话框5返回至【ISP路由】配置页面继续单击【ISP路由】配置页面下的【添加】按钮在弹出的【添加ISP路由】对话框中【名称】输入“连接联通路由”【优先级】填入255【ISP名称】选择【中国联通】选项点击【网关】配置模块中的【添加】按钮6在弹出的【添加网关】对话框中【网关地址】输入200.200.200.2该IP地址为ge7接口连接的联通路由器对应IP地址【权重】输入255配置完成后点击【确定】按钮关闭“添加网关”对话框7确认配置信息无误后单击【确定】按钮关闭“添加ISP路由”对话框8返回到 【ISP路由】配置页面可查看到添加成功的两条ISP路由信息✅ 实现逻辑当访问目标属于“中国电信”IP段 → 走ge6属“中国联通”IP段 → 走ge7。若目标不属任何ISP则走默认静态路由。实现逻辑当访问目标属于“中国电信”IP段 → 走ge6属“中国联通”IP段 → 走ge7。若目标不属任何ISP则走默认静态路由9目前网络中包含二条ISP路由信息接下来需要配置一条静态路由。单击【网络配置】→【路由】→【静态路由】菜单进入静态路由配置页面点击页面左上角的【添加】按钮进行路10在弹出的【添加静态路由】对话框中【目的地址/掩码】保持默认配置0.0.0.0/0.0.0.0【类型】选择“网关”【网关】配置为公司电信网络出口IP地址100.100.100.2配置完成后点击【确定】按钮关闭对话框由添加11返回【静态路由】配置页面即可查看到添加成功的静态路由7.Qos流量管控1接下来为部门B配置访问联通区域的Qos策略。点击【策略配置】→【Qos】菜单进入“Qos”配置页面点击页面左上角的【添加】按钮配置Qos策略2在弹出的【添加线路】对话框中【线路名称】填入“部门B”部门B分配的带宽为10MB上下行带宽设置一致换算为Kb设置数值应为10MB101024881920Kb因此设备【上行带宽】和【下行带宽】为81920【内网接口】选择部门B对应的ge2接口【外网接口】选择ge7接口。配置完成后点击【确定】按钮关闭“添加线路”对话框3返回至【Qos】配置页面点击名称为“部门B”的Qos策略右侧【操作】列下的【】按钮4在弹出的【添加虚拟Qos】对话框中【虚拟Qos名称】填入“部门B下行”【方向】选择下行选项配置完成后点击【确定】按钮关闭“添加虚拟Qos”对话框5因本实验中Qos主要用于控制下行带宽因此虚拟Qos中设置内容为控制下行链路方向。6返回【Qos】配置页面可查看到已添加成功的“部门B下行”虚拟Qos7单击名称为“部门B下行”的虚拟Qos在页面下方会显示该虚拟Qos的通道消息。点击页面下方名称为“部门B下行”通道右侧【操作】列下边的【】按钮8在弹出的【添加带宽通道】对话框中【带宽通道】填入“部门B带宽10MB”【最大带宽】和【保证带宽】均输入此前设置的带宽参数81920kb其他配置保持默认配置完成后点击【确定】按钮关闭“添加带宽通道”对话框9接下来指定部门B下行通道的规则返回至【Qos】配置页面点击通道名称为“部门B下行”的【规则管理】列下边的数字0注意不是下方【下行通道】旁的数字0为部门B下行添加Qos通道规则10进入“规则管理”配置界面点击左上角的【添加】按钮在弹出的【添加规则】对话框中为部门B添加QoS规则输入【规则名称】为“部门B下行规则”【规则类型】选择“普通”【子级带宽通道名称】选择 “部门B带宽10MB”【源安全域】选择“部门AB安全域”【目的安全域】选择“联通安全域”【内网地址】选择“部门B地址段”【外网地址】选择“联通地址段”【服务】和【应用】均选择any。配置完成后点击【确定】按钮关闭“添加规则”对话框11返回【规则管理】配置页面可查看到添加成功的“部门B下行规则”Qos规则12返回至【Qos】配置页面中可查看到【部门B下行】右侧的【规则管理】列中数字由原来的0变更为1表明成功添加了一条规则13至此防火墙关于Qos参数的设置均已完成。【实验结论】1. 部门A终端可以访问互联网电信网站和联通网站。1登录部门A终端打开桌面浏览器先来访问电信网站http://10.140.16.2能够正常访问。2继续部门A终端在浏览器访问联通网站http://10.150.50.23在部门A终端打开两个cmd窗口同时执行ping 10.140.16.2 –t 和ping 10.150.50.2 –t命令,4切换到电信区域的外网终端内打开桌面wireshark工具双击选择“以太网”选项5在命令行输入icmp回车。会看到大量的100.100.100.1地址在做icmp协议请求说明源nat功能生效6切换到联通区域的互联网网站虚拟机内双击打开wireshark7在命令行输入icmp回车。会看到大量的200.200.200.1地址在做icmp协议请求说明源nat功能生8关闭所发起的ping请求。9综上所述部门B终端可以访问互联网电信网站和联通网站满足实验预期2。3. 防火墙ISP路由策略被命中1切换至管理终端打开浏览器并访问防火墙web管理界面单击【网络配置】→【路由】→【策略路由】菜单点击【ISP路由】选项在ISP路由列表中可以看到所添加的名为“连接电信路由”和“连接联通路由”的ISP路由条目分别被命中如图所示。2综上所述当部门A和部门B终端访问互联网时ISP路由策略被命中满足实验预期3。4. 部门A终端从联通共享平台下载指定文档文档大小为980.77MB下载带宽大于部门B限制带宽。部门B终端从互联网共享平台下载相同文档下载带宽为10MB左右。1登录部门A终端打开桌面预留的GlassWire软件点击【防火墙】模块2打开浏览器访问互联网共享平台地址http://10.150.50.2:8080打开“共享资源库”共享目录单击“服务安装.zip”文件进行下载点击后返回GlassWire软件内可以查看到当前下载速率为22MB/s3查看完部门A终端下载速率后需要点击下载页面下载任务中的【取消】按钮释放当前所占用网络带宽4同部门A终端操作登录部门B终端开启桌面上GlassWire工具并打开浏览器访问互联网平台http://10.150.50.2:8080单击“服务安装.zip”文件进行下载。进入GlassWire工具点击【防火墙】选项可以查看到当前下载速率为10MB/s注网速上下浮动属于正常现象5综上所述部门B终端经过防火墙Qos策略进行带宽整形后文件下载速率远低于部门A终端下载速率满足实验预期4。5. 网络带宽限制后用户进行文件下载时防火墙中所配置的Qos策略被命中。1切换至管理终端打开浏览器并访问防火墙地址https://10.0.0.1进入防火墙web管理界面单击【策略配置】→【Qos】菜单在Qos配置页面中点击名称为“部门B下行”通道的【规则管理】按钮2在所弹出的“规则管理”对话框中可以查看到名称为“部门B下行规则”的策略规则被命中如图所示。3综上所述防火墙所配置Qos策略可以被正常命中满足实验预期5。
实验四:防火墙网关多出口与流量管理实验
【实验目的】在外网有多个出口的情况下配置防火墙接口设置使得每条出口对应防火墙的一个接口配置防火墙接口参数使得内网用户通过多条出口上网并且针对企业不同部门的带宽需求对内网用户的下行流量进行流量控制。【知识点】源NATISP路由静态路由安全策略Qos。【场景描述】近日公司为了给员工提供更好的上网环境在原来的基础上又申请了另外一条宽带线路新增的这条线路和原来的线路不是同一家运营商。现在领导要求员工可以通过两条线路上互联网并且公司在联通搭建了一个共享平台但是公司联通的互联网出口拥有50MB的出口带宽公司为了提高网络资源利用效率特安排安全运维工程师小王对内网用户的下行流量进行流量控制。在目前公司的网络出口只有一台防火墙设备的情况下如何满足如下需求部门A和部门B均可以通过电信和联通进行上网访问。根据公司出口带宽规划在防火墙上实现流量管控。如果你是运维工程师你会如何在已有配置基础上添加新的配置以满足如上技术需求【实验原理】1.网关多出口企业信息系统面临内网多用户多ISP出口时需要对网络环境进行优化配置通过对防火墙物理接口的设置以及安全域安全策略等参数的配置可以实现单ISP多出口多ISP多出口等情况进行设置。防火墙中预置了常见ISP中国电信、中国联通、中国移动、教育网的主要成员路由还可以通过自定义ISP信息实现额外的添加。通过多出口配置不仅能负载用户数据还可以在多个出口间实现备份当其中一个出口出现问题时可以使用其它出口进行通信。2.Qos1防火墙QosQoSQuality of Service用于对网络流量进行管理。下一代智慧防火墙的QoS 支持对网络流量进行基于内网地址、外网地址、服务、应用、用户及时间段参数进行多维多级的流量管理。在防火墙的【策略配置】→【QoS】菜单下可以对地址对象进行带宽策略定义通过定制化的带宽管理满足特定部门的使用需求疏解普通用户使用带宽通过最大带宽的限制利用规则规范用户的使用提高企业网络资源利用效率。2配置注意事项不能添加两条内网接口和外网接口完全相同的Qos线路否则数据总是命中先添加的那条线路而不会命中后添加的那条线路。【实验设备】服务器Windows 10 1台windows server 2016 1台安全设备防火墙 1台网络设备交换机 1台路由器 2台终端设备windows 10 1台Windows 7 2台。【实验拓扑】拓扑说明本拓扑模拟内容为一个完整的企业网络受资源限制不能完全仿真仅对关键功能和区域进行模拟。企业网络总共分为9个安全区域互联网电信、互联网联通、运维区、DMZ区域、部门A、部门B、部门C、数据中心。其中互联网电信、互联网联通属于企业互联网边界拓扑模拟了两条运营商链路一条来自电信一条来自联通。运维区属于运维人员对设备进行管理和运维的区域包括设备巡检、日志分析、设备升级等工作DMZ区域也叫隔离区或者非军事化管理区。企业中对互联网开放的服务和应用如门户网站、邮件系统都部署在DMZ区域。部门A、部门B、部门C模拟的是企业内部各个部门。由于部门之间的业务不尽相同通常他们的网络也是有区别管理的如销售部、财务部、研发部其权限是不同的。数据中心属于企业网络环境中最核心、最有价值的区域所有核心数据例如研发数据、生成材料、财务数据、企业管理数据等都存于此处仅向有权限的人或部门开放。DNS服务器用于模拟内、外网DNS服务器主要用于内、外网域名服务解析使用。本次实验并不会用到所有资源仅启用拓扑中蓝色高亮图标设备。【实验思路】创建安全域和地址对象配置部门A终端电信区域上网策略配置部门A终端联通区域上网策略配置部门B终端电信区域上网策略配置部门B终端联通区域上网策略ISP路由运营商自动选择Qos流量管控。【实验预期】部门A终端可以访问互联网电信网站和联通网站。部门B终端可以访问互联网电信网站和联通网站。防火墙ISP路由策略被命中。部门A终端从联通共享平台下载指定文档文档大小为980.77MB下载带宽大于部门B限制带宽。部门B终端从互联网共享平台下载相同文档下载带宽为10MB。网络带宽限制后用户进行文件下载时防火墙中所配置的Qos策略被命中。【实验步骤】1.创建安全域和地址组基础准备 —— 创建安全域 地址对象 接口配置目的为后续策略提供“对象基础”与“接口归属”是所有策略生效的前提。ge6IP 100.100.100.1/24安全域 电信安全域模式 路由添加浮动地址用于NATge7IP 200.200.200.1/24安全域 联通安全域模式 路由ge2IP 172.16.1.1/24或对应网关安全域 部门AB安全域 建议确保各接口“工作模式”均为“路由”且“安全域”归属正确这是策略匹配的关键。1在管理终端中打开浏览器在地址栏中输入防火墙设备IP地址https://10.0.0.1进入防火墙的登录界面。输入管理员用户名admin和密码!1fw2soc#3vpn登录防火墙2为提高防火墙系统的安全性如果用户用默认密码登录防火墙防火墙会提示用户修改初始密码本密码无需修改密码点击【取消】按钮3成功登录防火墙设备后进入防火墙【首页】菜单4登录防火墙管理界面后首先为电信互联网区域和联通互联网区域配置安全域和接口信息。单击【网络配置】→【安全域】菜单点击【添加】按钮弹出“添加安全域”对话框5在弹出的添加安全域对话框中【名称】填写“电信安全域”【类型】选择“三层安全域”在【接口绑定】处将ge6选为已选列表中点击【确定】按钮完成操作6继续单击【添加】按键为联通互联网添加安全域其中【名称】填写“联通安全域”【类型】选择“三层安全域”【接口绑定】选择ge7接口点击【确定】按钮完成添加7添加完成后即可在安全域列表中查看到相关信息8接下来添加IP地址对象。单击【对象配置】→【地址】菜单点击左上角的【添加】按键进行添加9依次添加电信地址段和联通地址段。点击【添加】按钮后在所弹出的“添加地址”对话框中填入相关信息其中【名称】填写“电信地址段”【IP地址】填写100.100.100.0/24和10.140.16.0/24点击【确定】按钮完成地址对象添加10同上操作方法继续添加联通地址段其中【名称】填写“联通地址段”【IP地址】填写200.200.200.0/24和10.150.50.0/24点击【确定】按钮完成添加11配置完成后返回地址对象列表确认所添加对象条目是否准确无误12本实验中ge6接口连接电信互联网区域需配置电信区域出接口地址。单击【网络配置】→【接口】菜单点击ge6接口右侧【操作】列的笔形图标13在所弹出“编辑物理接口”对话框中填入相关信息其中配置【IP地址】为100.100.100.1【子网掩码】为255.255.255.0【安全域】为“电信安全域”【工作模式】选择“路由模式”。点击【本地地址列表】配置模块中的【IPv4】选项卡中的【添加】按钮14在弹出的“添加IPv4本地地址”对话框中配置【本地地址】为100.100.100.1【子网掩码】为255.255.255.0【类型】选择float选项。配置完成后点击【确定】按钮关闭对话框15Ge6接口信息配置完成后单击【确定】按钮关闭“编辑物理接口”对话框16同上操作继续配置用于连接联通互联网区域的ge7接口地址其中【安全域】为“联通安全域”【工作模式】选择“路由模式”【IP地址】为200.200.200.1【子网掩码】为255.255.255.017关闭对话框后返回接口列表即可查看到相关接口配置信息2.配置部门A终端电信区域上网策略配置双出口 NAT 策略 —— 部门A 部门B 分别走电信/联通1登录管理终端进入防火墙web管理界面。单击【策略配置】→【NAT策略】菜单进入“源NAT”配置界面点击【添加】按键增加部门A访问电信的源nat策略2在弹出的添加源NAT对话框中【名称】填写“部门A-电信nat”【源地址类型】选择地址对象【源地址】选择“部门A地址段”【目的地址类型】选择“地址对象”【目的地址】选择“电信地址段”【服务】选择any【入接口】选择ge2【出接口】选择ge6【转换模式】选择“动态端口nat”【类型】选择by_route点击【确定】按钮完成添加3继续配置部门A访问电信的访问控制策略。单击【策略配置】→【安全策略】菜单进入安全策略配置页面点击【添加】按键增加部门A访问电信的访问控制策略4在弹出的添加安全策略对话框中【名称】填写“部门A-电信”【动作】选择允许【源安全域】选择“部门AB安全域”【目的安全域】选择“电信安全域”【源地址/地区】选择“部门A地址段”【目的地址/地区】选择“电信地址段”【服务】和【应用】均选择any点击【确定】按钮完成添加3.配置部门A终端联通区域上网策略配置访问控制安全策略 —— 允许流量穿越目的允许内网用户访问对应外网区域配合NAT策略形成完整通路。1单击【策略配置】→【NAT策略】菜单进入“源NAT”配置界面点击【添加】按钮增加部门A访问联通的源nat策略2在弹出的添加源NAT对话框中【名称】填写“部门A-联通nat”【源地址类型】选择“地址对象”【源地址】选择“部门A地址段”【目的地址类型】选择“地址对象”【目的地址】选择“联通地址段”【服务】选择any【入接口】选择ge2【出接口】选择ge7【转换模式】选择“动态端口nat”【类型】选择by_route点击【确定】按钮完成添加3继续配置部门A访问电信的访问控制策略。单击【策略配置】→【安全策略】菜单进入安全策略配置页面点击【添加】按钮增加部门A访问联通的访问控制策略4在弹出的添加安全策略对话框中【名称】填写“部门A-联通”【动作】选择允许【源安全域】选择“部门AB安全域”【目的安全域】选择“联通安全域”【源地址/地区】选择“部门A地址段”【目的地址/地区】选择“联通地址段”【服务】和【应用】均选择any点击【确定】按钮完成添加4.配置部门B终端电信区域上网策略1单击【策略配置】→【NAT策略】菜单进入【源NAT】配置界面点击【添加】按钮增加部门B访问电信的源nat策略2在弹出的添加源NAT对话框中【名称】填写“部门B-电信nat”【源地址类型】选择“地址对象”【源地址】选择“部门B地址段”【目的地址类型】选择“地址对象”【目的地址】选择“电信地址段”【服务】选择any【入接口】选择ge2【出接口】选择ge6【转换模式】选择“动态端口nat”【类型】选择by_route点击【确定】按钮完成添加3继续配置部门B访问电信的访问控制策略。单击【策略配置】→【安全策略】菜单进入“安全策略”配置界面点击【添加】按钮增加部门B访问电信的访问控制策略4在弹出的添加安全策略对话框中【名称】填写“部门B-电信”【动作】选择“允许”【源安全域】选择“部门AB安全域”【目的安全域】选择“电信安全域”【源地址/地区】选择“部门B地址段”【目的地址/地区】选择“电信地址段”【服务】和【应用】均选择any点击【确定】按钮完成添加5.配置部门B终端联通区域上网策略1单击【策略配置】→【NAT策略】菜单进入“源NAT”配置界面点击【添加】按钮增加部门B访问联通的源nat策略2在弹出的添加源NAT对话框中【名称】填写“部门B-联通nat”【源地址类型】选择“地址对象”【源地址】选择“部门B地址段”【目的地址类型】选择“地址对象”【目的地址】选择“联通地址段”【服务】选择any【入接口】选择ge2【出接口】选择ge7【转换模式】选择“动态端口nat”【类型】选择by_route点击【确定】按钮完成添加3继续配置部门B访问联通的访问控制策略。单击【策略配置】→【安全策略】菜单进入“安全策略”配置界面点击【添加】按钮进行部门B访问联通的访问控制策略添加4在弹出的添加安全策略对话框中【名称】填写“部门B-联通”【动作】选择“允许”【源安全域】选择“部门AB安全域”【目的安全域】选择“联通安全域”【源地址/地区】选择“部门B地址段”【目的地址/地区】选择“联通地址段”【服务】和【应用】均选择any点击【确定】按钮完成添加6.ISP路由运营商自动选择配置 ISP 路由策略 —— 实现智能选路目的让流量根据目的IP自动选择电信或联通出口避免手动静态路由导致路径单一。1为使内网用户可以按要求连接对应的链路需要配置相应的策略路由。单击【网络配置】→【路由】→【策略路由】菜单进入【策略路由】配置页面单击【ISP路由】选项卡。进入“ISP路由”配置页面点击【ISP路由】配置页面下的【添加】按钮2将电信和联通所对应的ge6、ge7添加到添加到ISP路由表中其中ge6接口连接电信接口其对应IP地址为100.100.100.1ge7接口连接的是联通接口其对应IP地址为200.200.200.1。在弹出的【添加ISP路由】对话框中【名称】输入“连接电信路由”【优先级】填入0【ISP名称】选择【中国电信】选项点击【网关】配置模块中的【添加】按钮3在弹出的【添加网关】对话框中【网关地址】输入100.100.100.2该IP地址为ge6接口连接的电信路由器所对应IP地址【权重】输入255权重值越大分配的会话数越多表明是主链路配置完成后点击【确定】按钮关闭“添加网关”对话框4确认配置信息无误后点击【确定】按钮关闭“添加ISP路由”对话框5返回至【ISP路由】配置页面继续单击【ISP路由】配置页面下的【添加】按钮在弹出的【添加ISP路由】对话框中【名称】输入“连接联通路由”【优先级】填入255【ISP名称】选择【中国联通】选项点击【网关】配置模块中的【添加】按钮6在弹出的【添加网关】对话框中【网关地址】输入200.200.200.2该IP地址为ge7接口连接的联通路由器对应IP地址【权重】输入255配置完成后点击【确定】按钮关闭“添加网关”对话框7确认配置信息无误后单击【确定】按钮关闭“添加ISP路由”对话框8返回到 【ISP路由】配置页面可查看到添加成功的两条ISP路由信息✅ 实现逻辑当访问目标属于“中国电信”IP段 → 走ge6属“中国联通”IP段 → 走ge7。若目标不属任何ISP则走默认静态路由。实现逻辑当访问目标属于“中国电信”IP段 → 走ge6属“中国联通”IP段 → 走ge7。若目标不属任何ISP则走默认静态路由9目前网络中包含二条ISP路由信息接下来需要配置一条静态路由。单击【网络配置】→【路由】→【静态路由】菜单进入静态路由配置页面点击页面左上角的【添加】按钮进行路10在弹出的【添加静态路由】对话框中【目的地址/掩码】保持默认配置0.0.0.0/0.0.0.0【类型】选择“网关”【网关】配置为公司电信网络出口IP地址100.100.100.2配置完成后点击【确定】按钮关闭对话框由添加11返回【静态路由】配置页面即可查看到添加成功的静态路由7.Qos流量管控1接下来为部门B配置访问联通区域的Qos策略。点击【策略配置】→【Qos】菜单进入“Qos”配置页面点击页面左上角的【添加】按钮配置Qos策略2在弹出的【添加线路】对话框中【线路名称】填入“部门B”部门B分配的带宽为10MB上下行带宽设置一致换算为Kb设置数值应为10MB101024881920Kb因此设备【上行带宽】和【下行带宽】为81920【内网接口】选择部门B对应的ge2接口【外网接口】选择ge7接口。配置完成后点击【确定】按钮关闭“添加线路”对话框3返回至【Qos】配置页面点击名称为“部门B”的Qos策略右侧【操作】列下的【】按钮4在弹出的【添加虚拟Qos】对话框中【虚拟Qos名称】填入“部门B下行”【方向】选择下行选项配置完成后点击【确定】按钮关闭“添加虚拟Qos”对话框5因本实验中Qos主要用于控制下行带宽因此虚拟Qos中设置内容为控制下行链路方向。6返回【Qos】配置页面可查看到已添加成功的“部门B下行”虚拟Qos7单击名称为“部门B下行”的虚拟Qos在页面下方会显示该虚拟Qos的通道消息。点击页面下方名称为“部门B下行”通道右侧【操作】列下边的【】按钮8在弹出的【添加带宽通道】对话框中【带宽通道】填入“部门B带宽10MB”【最大带宽】和【保证带宽】均输入此前设置的带宽参数81920kb其他配置保持默认配置完成后点击【确定】按钮关闭“添加带宽通道”对话框9接下来指定部门B下行通道的规则返回至【Qos】配置页面点击通道名称为“部门B下行”的【规则管理】列下边的数字0注意不是下方【下行通道】旁的数字0为部门B下行添加Qos通道规则10进入“规则管理”配置界面点击左上角的【添加】按钮在弹出的【添加规则】对话框中为部门B添加QoS规则输入【规则名称】为“部门B下行规则”【规则类型】选择“普通”【子级带宽通道名称】选择 “部门B带宽10MB”【源安全域】选择“部门AB安全域”【目的安全域】选择“联通安全域”【内网地址】选择“部门B地址段”【外网地址】选择“联通地址段”【服务】和【应用】均选择any。配置完成后点击【确定】按钮关闭“添加规则”对话框11返回【规则管理】配置页面可查看到添加成功的“部门B下行规则”Qos规则12返回至【Qos】配置页面中可查看到【部门B下行】右侧的【规则管理】列中数字由原来的0变更为1表明成功添加了一条规则13至此防火墙关于Qos参数的设置均已完成。【实验结论】1. 部门A终端可以访问互联网电信网站和联通网站。1登录部门A终端打开桌面浏览器先来访问电信网站http://10.140.16.2能够正常访问。2继续部门A终端在浏览器访问联通网站http://10.150.50.23在部门A终端打开两个cmd窗口同时执行ping 10.140.16.2 –t 和ping 10.150.50.2 –t命令,4切换到电信区域的外网终端内打开桌面wireshark工具双击选择“以太网”选项5在命令行输入icmp回车。会看到大量的100.100.100.1地址在做icmp协议请求说明源nat功能生效6切换到联通区域的互联网网站虚拟机内双击打开wireshark7在命令行输入icmp回车。会看到大量的200.200.200.1地址在做icmp协议请求说明源nat功能生8关闭所发起的ping请求。9综上所述部门B终端可以访问互联网电信网站和联通网站满足实验预期2。3. 防火墙ISP路由策略被命中1切换至管理终端打开浏览器并访问防火墙web管理界面单击【网络配置】→【路由】→【策略路由】菜单点击【ISP路由】选项在ISP路由列表中可以看到所添加的名为“连接电信路由”和“连接联通路由”的ISP路由条目分别被命中如图所示。2综上所述当部门A和部门B终端访问互联网时ISP路由策略被命中满足实验预期3。4. 部门A终端从联通共享平台下载指定文档文档大小为980.77MB下载带宽大于部门B限制带宽。部门B终端从互联网共享平台下载相同文档下载带宽为10MB左右。1登录部门A终端打开桌面预留的GlassWire软件点击【防火墙】模块2打开浏览器访问互联网共享平台地址http://10.150.50.2:8080打开“共享资源库”共享目录单击“服务安装.zip”文件进行下载点击后返回GlassWire软件内可以查看到当前下载速率为22MB/s3查看完部门A终端下载速率后需要点击下载页面下载任务中的【取消】按钮释放当前所占用网络带宽4同部门A终端操作登录部门B终端开启桌面上GlassWire工具并打开浏览器访问互联网平台http://10.150.50.2:8080单击“服务安装.zip”文件进行下载。进入GlassWire工具点击【防火墙】选项可以查看到当前下载速率为10MB/s注网速上下浮动属于正常现象5综上所述部门B终端经过防火墙Qos策略进行带宽整形后文件下载速率远低于部门A终端下载速率满足实验预期4。5. 网络带宽限制后用户进行文件下载时防火墙中所配置的Qos策略被命中。1切换至管理终端打开浏览器并访问防火墙地址https://10.0.0.1进入防火墙web管理界面单击【策略配置】→【Qos】菜单在Qos配置页面中点击名称为“部门B下行”通道的【规则管理】按钮2在所弹出的“规则管理”对话框中可以查看到名称为“部门B下行规则”的策略规则被命中如图所示。3综上所述防火墙所配置Qos策略可以被正常命中满足实验预期5。
