实验拓扑：

firewalld中支持两种类型的nat：

1.ip伪装

2.端口转发

1.修改内网主机的IP地址

2.修改网关服务器两个网卡地址

3.修改外网网卡地址信息

4.网关服务器开启路由转发功能      

以上基本环境搭建好（步骤有些省略，参考iptables防火墙做snat关于源地址转换实训）

1.内网可以访问服务器连接内网网卡ens33

2.网关服务器都可以连接内外网

3.外网可以访问网关服务器ens37网段

实验一：端口转发

1.网关服务器开启firewalld防火墙，在默认区域public中增加一条规则

（转发本机的456/tcp端口的流量到22/tcp端口）

2.外网测试

（登录成功，但是网关服务器并不想外网直接访问他的22号获取ssh服务，不公开默认ssh服务的22号端口可以增加服务器的安全性）

3.网关服务器firewalld移除ssh服务

4.再次测试

（外网不能直接通过默认的22号端口访问ssh服务，只能通过我在防火墙指定的456端口才能访问ssh服务）

实验二：IP伪装

1.清除实验一增加的规则，重新写入一条规则

（将本地的192.168.100.100：6666端口伪装成连接外网的192.168.200.200接口从而访问到192.168.200.10：22端口获取服务）

2.增加地址伪装功能

3.内网测试访问192.168.200.20 ssh服务

（内网主机192.168.100.10通过访问192.168.100.100：6666端口，触发网关服务器的防火墙ip伪装规则，伪装成连接外网接口的192.168.200.200地址再去访问192.168.200.20：22号端口访问到ssh服务）

       了解IPTABLE防火墙的NAT转发原理

1.2 实验内容

1. 创建三台linux centos7服务器虚拟机
   1. 前提：充当路由器网关这台linux7服务器已经安装iptables服务，安装完先关闭不然会影响实验结果（没有安装iptables服务的话，适配器默认vmware8 nat模式先下载好iptables服务），同时三台虚拟机要关闭centos7自带的firewalld服务，（关闭firewalld服务命令：systemctl stop firewalld）
2. 给网关路由器这台虚拟机多增加一块网卡

为了更好区分内外网和路由器分别给三台虚拟机重命名，重新调试三台主机的网络适配器

内网Vmware 1（仅主机模式）

路由器连接内网的网卡 Vmware 1（仅主机模式）

路由器连接外网的网卡 Vmware 2（仅主机模式）

外网Vmware 2（仅主机模式）

1.3 实验步骤（实验内容截图及适当文字解析和结果分析）

本实验的【C7】虚拟机为路由器，其余的内外网主机以实际名称显示。

1.设置内网主机的ip为192.168.100.10，如图1所示。

2.路由器主机设置两个网卡地址分别为内网和外网，如图2、图3所示。

3.用路由器去ping内网主机，发现可以ping通，如图4所示。

4.用路由器去ping外网主机，发现可以ping通，如图5所示。

5.配置路由器路由转发功能，如图6所示。

6.内网主机增加网关信息，如图7所示。

7.外网主机增加网关信息，如图8所示。

8.尝试用内网主机ping外网主机，如图9所示。

9.外网主机ping内网主机，如图10所示。

10.外网主机删除网关，如图11所示。

11.重启网络服务后，再次使用ping命令测试连通性，如图12所示。

12.增加防火墙规则，为数据包源地址是来自192.168.100.0网段的地址从ens37网卡流出，做动作是SNAT源地址转换，转换为公网出接口192.168.200.20。如图13所示。

13.使用ssh登录外网主机，发现可以成功登录，如图14所示。

14.外网主机查看安全日志，发现有登录的行为，如图15所示。

2.1实验结论

       通过实验，可以了解IPTABLE防火墙的NAT转发原理。完成相应的实践操作。

[root@localhost ~]# rpm -qa|grep iptables

iptables-services-1.4.21-35.el7.x86_64

iptables-1.4.21-35.el7.x86_64

2．安装iptables，图2显示已经完成了安装

[root@localhost ~]# yum install -y iptables

3．升级iptables，如图3所示。

[root@localhost ~]yum update iptables 

4．安装iptables-services，如图4所示。

[root@localhost ~]yum install iptables-services

二，禁用/停止自带的firewalld服务

1.停止firewalld服务

[root@localhost ~]systemctl stop firewalld

2.禁用firewalld服务，结果如图5所示。

[root@localhost ~]systemctl mask firewalld

1. 查看filter表中的规则，说出filter存在几种链：存在三种链：INPUT FORWARD OUTPUT。如图6所示。

• 举一反三同时我们可以查看raw，mangles，nat表中的规则，如图7所示。

• 查看指定filter表中的output链的详细信息（注意链的大小写），了解每个字段的信息，如图8所示。

• 再次查看filter表中input链的详细信息和列出规则序列编号，不对地址进行名称解析，如图9所示。

• 再创建一台虚拟机来模拟另外一台主机，分别查看两台虚拟主机的ip地址，用ping测试两台虚拟主机的连通性，在对应表的相关链中在首部写一条规则来拒绝来自另外一台主机的所有报文访问,查看定义的规则生效了没有

     5.1查看CENTOS的IP地址，如图10所示。

     5.2用另外一台虚拟机尝试使用ping命令进行连通性测试。发现可以正常连通 ，如图11所示。

     5.3添加拒绝访问的防火墙规则，如图12所示。

     5.4再次使用ping命令进行连通性测试，发现已经不能进行连通， 如图13所示。

       双机备份：FW直连部署，上下行连接二层设备的主备备份，组网要求：

1.企业的两台FW的业务都工作在三层，上下行分别连接三层交换机

2.上行交换机连接运营商的接入点，运营商为企业分配的IP地址为192.168.1.0/24

3.两台FW主备备份方式工作，正常情况下，流量通过主防火墙转发，当主防火墙发生故障时，流量通过备份防火墙转发，保证业务不中断

1.2 实验内容

       主备备份模式的双机热备，其中一台防火墙处于Active（活动）状态用于转发数据，另一台防火墙处于Standby（备份）状态不转发数据，两台防火墙通过心跳线同步信息，当处于Active状态防火墙发生故障时，处于Standby状态防火墙自动切换为Active状态，继续提供服务，以避免网络访问出现中断的情况。

1.3 实验步骤（实验内容截图及适当文字解析和结果分析）

   （1）对防火墙进行基本网络配置，结构如图1所示。

（2）配置信任的local区域和心跳接口dmz区域，区间的拓扑地址表可参见表1.

（3）配置VRP组。

（4）在指定的心跳接口启用双机热备份功能。

（5）配置安全策略：只要双机热备的状态建立成功，仅配置Master，Backup设备可以不用配置，配置命令会自动切换。

（6）配置NAT策略，使内网用户可以访问Internet

              6.1FW1的命令配置如图2-图6所示。

6.2 FW2的命令配置如图7-图11所示。

6.3 R1的命令配置如图12所示。

6.4查看双机备份状态，如图13，图14所示。

（7）进行验证：先测试正常状态下的访问连接，然后将主备份防火墙一个接口关闭模拟线路发生故障，验证备份防火墙是否能进行转发，保持内网用户正常访问internet。

7.1使用GUI界面查看端口信息，如图15所示。

7.2观察热备份的web 界面，可见备份成功，如图16所示。

7.3使用ping命令验证通信情况 ,如图17所示。

       7.4在FW1上观察防火墙会话表，可见通信成功。如图18所示。

7.5验证备份情况：尝试断开与主线的接口，如图19所示。

7.6对FW1显示hrp状态，如图20所示。

7.7对FW2显示hrp状态，如图21所示。

7.8使用ping命令再次对PC1与路由器通信情况进行验证，如图22所示。

7.9观察Fw2的防火墙会话状态表。如图23所示。

7.10观察华为防火墙的web界面，如图24所示。

2.1实验结论

两台防火墙使用主备备份方式工作。正常情况下，流量通过主防火墙转发，当主防火墙发生故障时，流量通过备份防火墙转发，保证业务不中断。

公司有财务部，人事部，销售部三个部门统一规划为trust区域，还有部署服务器供內部和外网访问的dmz区域，外网区域untrust区域

2.实验目的：
了解华为防火墙安全策略。
掌握华为防火墙安全策略的配置。

3.实验环境

华为ensp模拟器

4.实验要求

1.公司內部三个部门可以互相通信，同时财务部可以访问服务器获得服务，其他部门不能访问服务器区

2.外网可以访问服务器区获得服务

3.员工区域trust通过easy-ip模式的nat地址转换技术安全访问外网

4.服务器dmz区域它通过pat模式的nat地址转换技术来访问外网

一．网络拓扑结构图

二．IP地址规划

根据网络拓扑图填写IP地址规划表如下表1：

三．VLAN规划表

根据网络拓扑图填写Vlan规划表如下表2：

三．各设备的相关命令截图

1.LSW2的配置命令如图2-3所示。

2.LSW3 的配置命令如图4-5所示。

3.LSW4 的配置命令如图6-8所示。

4.AR1的配置命令如图9所示，IP路由表如图10所示、OSPF区域如图11所示。

5.AR2的配置命令如图12所示，IP路由表如图13所示。

6.AR3的IP路由表如图14所示。 配置方式同AR2

四．实训要求

公司内部三个部门可以相互通信，同时财务部可以访问服务器获得服务，其他不能访问服务器区

财务部（PC）：192.168.1.1       销售部IP：192.168.4.1   人事部IP：192.168.2.1

PC1可以Ping通另外两个部门（如图15所示）

PC2也可以Ping通另外另个部门（如图16所示）

（人事部）PC1（192.168.2.1）[如图17所示]、和（销售部）PC2（192.168.4.1）[如图18所示]都不能访问服务器区：