下一代防火墙混合模式部署
实验设备
1、 山石网科(hillstone)系列下一代防火墙(实训平台v1.0中hillstone设备)
2、 三层交换机一台(实训平台v1.0中cisco vios l2设备)
3、 二层交换机一台(实训平台v1.0中cisco iol switch设备)
4、 路由器一台,用来模拟web服务器(实训平台v1.0中cisco iol设备或者cisco vIOS
设备)
5、 vpc 一台 (实训平台v1.0中virtual pc设备)
6、 增加一个网络net:cloud0
实验拓扑图
实验目的
1. 了解NGAF有几种部署模式以及每种部署模式适用场景;
2. 能根据客户不同场景选择恰当的部署模式并独立完成部署配置。
实验需求、步骤及配置
vpc配置,指定vpc主机ip为192.168.10.1,网关为192.168.10.254:
VPCS> ip 192.168.10.1 255.255.255.0 192.168.10.254
VPCS> ip dns 114.114.114.114 指定dns服务器
接入层交换机IOL_SW的配置:
Switch(config)#vlan 10
Switch(config-vlan)#exit
Switch(config)#interface e0/0
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#exit
Switch(config)#interface e0/1
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
核心/汇聚层交换机vIOS_SW配置
Switch(config)#vlan 10
Switch(config-vlan)#exit
Switch(config)#interface g0/0
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
Switch(config-if)#exit
Switch(config)#ip routing 启动路由功能
Switch(config)#interface vlan10
Switch(config-if)#ip address 192.168.10.254 255.255.255.0
Switch(config-if)#no shut
Switch(config)#interface g0/1
Switch(config-if)#no switchport 改为三层接口
Switch(config-if)#no shutdown
Switch(config-if)#ip address 10.1.1.1 255.255.255.252
Switch(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2 配置上网的缺省路由,下一跳为防火墙
接口e0/1 IP
下一代防火墙的配置:
基本配置:修改e0/0口属性为管理口且采用http管理方式,默认启动DHCP。
login: hillstone //用户名和密码都为hillstone
(进入要设置新密码(min@123))
password:
SG-6000# conf
SG-6000(config)# interface e0/0
SG-6000(config-if-eth0/0)# manage http
SG-6000(config-if-eth0/0)# show interface 查看e0/0自动获得的IP地址,为管理IP
接下来,在物理主机上,通过浏览器访问管理IP,使用图形化管理下一代防火墙:
创建安全区域,下一代防火墙默认已创建多个安全区域,如需自定义区域,可
以如图新建安全区域:
配置e0/2接口:绑定安全区域为L2二层安全区域(网桥模式)等:
配置e0/1接口:绑定安全区域为trust三层安全区域(路由模式)、IP地址等:
配置e0/0接口:修改绑定安全区域为L2-untrust二层安全区域(网桥模式)等:
注意:此时e0/0变为二层接口,之前的管理IP会被清除,需回到命令行配置vswitchif1接
口,作为网桥的管理接口及新管理IP,与公网区域及服务器区属于同一子网(vswitchif1同
时也作为路由模式的untrust区域接口,与E0/1接口成为路由模式的进\出接口。)
SG-6000#conf
SG-6000(config)# interface vswitchif1
SG-6000(config-if-vsw1)# zone untrust 绑定为三层untrust区域
SG-6000(config-if-vsw1)# ip address dhcp setroute 自动从网络net获取IP,并获得默认路由
SG-6000(config-if-vsw1)# no shutdown
SG-6000(config-if-vsw1)# manage http 开启http管理
SG-6000(config-if-vsw1)# show interface 查看vswitchif1自动获得的IP地址,为新管理IP
在物理主机上,通过浏览器访问新管理IP
为路由模式,配置路由,包括回程路由和缺省路由(通过vswitchif1接口dhcp
已经获得)
为路由模式,配置源NAT策略(即动态NAT),实现内网vpc上公网需求:
为路由模式,配置安全策略即包过滤策略(默认拒绝区域间访问),配置策略
让内网网段可以访问公网,即e0/1区域访问vswitchif1区域,而vswitchif1区域与公网、
服务器区同为一个三层untrust区。
接下来测试内网vpc主机是否可以上公网,如图代表ok:
至此,在混合模式部署的防火墙中,实现内网通过路由模式上公网,接下来实现公
网用户通过网桥模式与服务器区进行正常业务转发,此时公网与服务器仅通过一个网桥模式
进行互联,故防火墙无需路由配置和NAT配置,仅需配置安全策略,允许L2-untrust区域访
问L2-dmz区域:
完成服务器区配置,用路由器模拟一台开启TCP 80端口的web服务器:
Router(config)#interface e0/0
Router(config-if)#ip add 192.168.142.135 255.255.255.0 配置为vswitchif1同网段IP
Router(config-if)#no shut
Router(config)#no ip routing 关闭路由功能,模拟一台服务器主机
Router(config)#ip default-gateway 192.168.142.2 给主机配置默认网关,与防火墙中缺省
路由的下一跳一样。
Router(config)#ip name-server 114.114.114.114 给主机配置dns服务器
Router(config)#ip http server 开启80端口
为网桥模式,配置安全策略,让公网用户可以访问服务器区web服务:
接下来,在物理主机上,测试是否可以访问服务器web,如图:
或者直接浏览器访问测试:
提示路由器http访问需要用户名,则代表服务访问OK。