【实验目的】配置防火墙OSPF路由实现不同网段之间的互通并且管理员可以通过防火墙地址绑定功能有效的防止IP欺骗和IP地址盗用。【知识点】安全域安全策略OSPFDHCP地址绑定安全策略。【场景描述】运维管理区是整个网络安全运维管理的重点区域具有较高的访问权限。目前防火墙已经完成了基本的授权、升级配置现在为了管理部门A和部门B的员工终端运维工程师工小王想通过运维终端通过OSPF动态路由的形式直接访问部门A和部门B。工程师在运维过程中发现内网中存在IP地址欺骗攻击考虑到内部网络、DMZ以及运维区域通信安全需要针对运维区域、部门A、部门B区域通过防火墙做网络连通和安全访问配置具体要求如下防火墙安全设备同步内网路由器动态路由配置运维区管理终端可ping通部门A和部门B用户终端。为避免恶意攻击者对防火墙设备做恶意配置或破坏对运维管理终端做IP-MAC地址绑定。目前已对企业内网三层交换机做OSPF动态路由配置如果你是运维工程师为了满足以上技术需求该如何实现【实验原理】1.动态路由协议防火墙支持的动态路由包括 RIP、RIPng、OSPF、OSPFv3 和 BGP。与静态路由相比动态路由通常用在中大型网络环境中。当网络环境越大网段越复杂时需要维护的路由信息就越多。静态路由这样的手动维护就会给管理员新增大量的工作量。另一个显著的问题在于当网络中某一链路出现故障时静态路由需要您的管理员去排查并进行路由的调整在此期间网络可能已经发生断网的现象。动态路由主要解决的就是自适应网络环境的变化并防止出现环路。在某一链路出现故障时能够进行动态调整。同时通过动态学习路由信息动态维护路由表降低管理员的工作量。2.OSPF动态路由协议OSPF(Open Shortest Path First)开放式最短路径优先协议是一个基于链路状态的内部网关路由协议。OSPF适应于各种规模的网络通过通告网络接口的状态来建立链路状态数据库生成最短路径树每个开启OSPF功能的设备使用这些最短路径构造路由表。同时在网络拓扑结构发生变化后能快速完成收敛减少路由震荡并且OSPF协议不会产生路由环路。是目前使用广泛的动态路由协议。在防火墙配置OSPF功能时用户需要指定防火墙的Route ID在同一个OSPF区域内该Route ID必须唯一。3.DHCPDHCPDynamic Host Configuration Protocol动态主机配置协议是一种可以使主机开机后自动获取IP地址、子网掩码、DNS等信息的技术手段。应用DHCP技术可以为客户机自动分配IP地址、子网掩码以及缺省网关、DNS服务器的IP地址等TCP/IP参数不仅可以简化用户的上网流程方便用户上网如果从企业的角度来说还可以实现对公司内部网络用户的管理。4.IP-MAC地址绑定防火墙支持手动基于安全域的IP-MAC绑定地址绑定是防止 IP 欺骗和防止盗用 IP 地址的有效手段。目前防火墙支持手动添加基于安全域的 IP-MAC 绑定同时支持用户将 ARP 表中学习到的和IP-MAC 探测中探测到的 IP-MAC 对应关系直接进行绑定。也可以从邻居表中将学习到的 IPv6 邻居及 MAC 地址对应关系直接进行绑定。防火墙接口收到数据包后先进行黑名单检测、攻击防护检测然后进行IP-MAC 绑定检查。【实验设备】安全设备防火墙 1台网络设备交换机 1台终端设备Windows 7 2台windows 10 1台。【实验拓扑】拓扑说明本拓扑模拟的一个完整的企业网网络功能受资源限制不能完全仿真仅对关键功能和区域进行模拟。企业网络总共分9个安全区域互联网电信、互联网联通、运维区、DMZ区域、部门A、部门B、部门C、数据中心、DNS服务器。其中互联网电信、互联网联通属于企业互联网边界拓扑模拟了两条运营商链路一条来自电信一条来自联通。运维区属于运维人员对设备进行管理和运维的区域包括设备巡检、日志分析、设备升级等工作DMZ区域也叫隔离区或者非军事化管理区。企业中对互联网开放的服务和应用如门户网站、邮件系统都部署在DMZ区域。部门A、部门B、部门C模拟的是企业内部各个部门。由于部门之间的业务不尽相同通常他们的网络也是有区别管理的如销售部、财务部、研发部其权限是不同的。数据中心属于企业中最核心最有价值的区域所有核心数据如研发数据、生成材料、财务数据、企业管理数据都存于此处仅向有权限的人或部门开放。DNS服务器用于模拟内、外网DNS服务器主要用作内、外网域名服务解析使用。本次实验并不会用到所有资源仅启用拓扑中蓝色高亮图标设备。【实验思路】创建安全域和地址组配置OSPF动态路由配置DHCP服务配置安全访问策略配置IP-MAC地址绑定策略。【实验预期】防火墙与路由器之间生成邻居关系。防火墙路由表项中包含已配置宣告的路由条目。部门A终端能够自动获取IP地址并且在防火墙DHCP服务中可查看到相关租约信息。管理终端可以实现ping通部门A和部门B终端。管理终端修改IP地址后无法ping通部门A和部门B主机并且无法访问防火墙web管理界面。通俗讲就是✅ 让运维人员IP:10.0.0.44能ping通部门A/B终端172.16.1.x / 172.16.2.x✅ 保证内网三层交换机与防火墙通过OSPF自动学习路由不用手动配静态路由✅ 防止有人冒充运维终端IP10.0.0.44搞破坏 → 做IPMAC绑定✅ 所有通信都要经过防火墙策略控制保证安全域隔离【实验步骤】1.创建安全域和地址组即【安全域】—— 网络的“行政区划”定义把网络划分为不同信任级别的区域如“运维区”、“部门区”、“DMZ区”、“互联网区”作用便于统一管理策略、隔离风险、控制访问本实验操作创建“运维管理区” → 绑定GE1口IP:10.0.0.1/24创建“部门AB安全域” → 绑定GE2口IP:172.16.3.1/24作为部门A/B网关为什么这么做防火墙必须知道“哪个接口属于哪个信任区域”才能正确执行安全策略比如运维区→部门区要放行ICMP、SSH互联网→内网要严格过滤。1在管理终端中打开浏览器在地址栏中输入防火墙设备IP地址https://10.0.0.1进入防火墙的登录界面。输入管理员用户名admin和密码!1fw2soc#3vpn登录防火墙。2为提高防火墙系统的安全性如果用户用默认密码登录防火墙防火墙会提示用户修改初始密码本密码无需修改密码点击【取消】按钮3成功登录防火墙设备后进入防火墙【首页】菜单4登录防火墙管理界面后首先为运维管理区、部门A和部门B配置安全域和接口信息。具体操作单击【网络配置】→【安全域】菜单单击【添加】按钮弹出添加安全域对话框5在弹出的添加安全域对话框中【名称】填写“运维管理区”【类型】选择“三层安全域”在【接口绑定】处将ge1选为已选列表中6继续单击【添加】按键为部门A和部门B添加安全域其中【名称】填写“部门AB安全域”【类型】选择“三层安全域”【接口绑定】选择ge2接口7添加完成后即可在安全域列表中查看到相关信息8接下来添加IP地址对象。单击【对象配置】→【地址】菜单点击左上角的【添加】按键进行添加9依次添加运维地址段、部门A地址段和部门B地址段。点击【添加】按钮后在所弹出的“添加地址”对话框中填入相关信息其中【名称】填写“运维地址段”【IP地址】填写10.0.0.0/24点击【确定】按钮完成地址对象添加10同上操作方法继续添加部门A地址和部门B地址段其中部门A地址段配置信息为【名称】填写“部门A地址段”【IP地址】填写172.16.1.0/24部门B地址段配置信息为【名称】填写“部门B地址段”【IP地址】填写172.16.2.0/24点击【确定】按钮完成添加11配置完成后返回地址对象列表确认所添加对象条目是否准确无误12本实验中ge2接口连接部门A和部门B终端需配置内网业务网段地址。具体操作单击ge2接口右侧【操作】列的笔形图标13在所弹出“编辑物理接口”对话框中填入相关信息其中配置【IP地址】为172.16.3.1【子网掩码】为255.255.255.0【安全域】为“部门AB安全域”【工作模式】选择“路由模式”。单击【本地地址列表】配置模块中的【IPv4】选项卡中的【添加】按钮14在弹出的“添加IPv4本地地址”对话框中配置【本地地址】为172.16.3.1【子网掩码】为255.255.255.0【类型】选择float选项。配置完成后单击【确定】按钮15Ge2接口信息配置完成后单击【确定】按钮关闭【编辑物理接口】对话框16关闭对话框后返回接口列表即可查看到ge2接口相关信息2.配置OSPF动态路由【OSPF动态路由】—— 让网络自己“找路”定义一种链路状态路由协议适用于中大型网络自动学习、自动收敛、防环路核心概念Router ID必须唯一Area 0骨干区域邻居关系建立Hello包LSDB链路状态数据库SPF算法最短路径树它们构成了OSPF的工作骨架1. Router ID路由器ID是什么一个32位的数字格式像IP地址例如1.1.1.1在一个OSPF域内唯一标识一台路由器。干什么用的它是路由器的“身份证号”。在选举指定路由器DR/BDR或建立邻居关系时Router ID是区分不同设备的依据。实验注意点文档中提到“用户需要指定防火墙的Route ID在同一个OSPF区域内该Route ID必须唯一”。如果你不手动配置防火墙通常会自动选取接口IP最大的作为Router ID但为了稳定建议手动指定。2. Area 0骨干区域是什么OSPF网络中的“核心中枢”区域也叫Backbone Area。所有其他非骨干区域如Area 1, Area 2…都必须直接或间接连接到Area 0。干什么用的防环核心OSPF规定区域间的路由信息必须经过Area 0中转。这就好比一个城市的市中心Area 0所有郊区其他区域的交通都要经过市中心进行调度从而避免了跨区域环路。稳定性将网络分割成不同区域可以减少链路状态广播的范围降低单台路由器的计算压力。3. LSDB链路状态数据库是什么链路状态数据库的简称。每台运行OSPF的路由器都会维护一份相同的LSDB。干什么用的它是网络的“全景地图”。里面存储了所有路由器宣告的链路状态信息Link State Advertisements, LSAs。工作流程路由器之间互相发送Hello包建立邻居。邻居之间同步LSDB确保大家的地图一模一样。基于这份完整的地图运行SPF算法计算路由。4. SPF算法最短路径树是什么Dijkstra算法的一种应用全称Shortest Path First最短路径优先。干什么用的它是OSPF的“大脑”。路由器以自己为树根以LSDB为输入计算出一棵到达所有网络节点的最短路径树。结果算法输出的结果就是最终的路由表。因为是基于全局拓扑计算所以能保证路径是最优且无环的。三、 总结它们是如何协同工作的为了帮你更好地理解我们可以用“城市规划”来类比这次实验中的OSPF配置OSPF概念城市规划类比在本次实验中的作用Router ID每栋大楼的唯一门牌号防火墙和三层交换机在OSPF网络中的唯一身份标识LSDB (链路状态数据库)全市的精确电子地图防火墙和交换机都知道对方的存在以及有哪些网段10.0.0.0, 172.16.1.0等SPF算法导航软件的路径规划引擎防火墙根据地图自动算出“去部门A怎么走最快”Area 0 (骨干区域)城市的市中心交通枢纽确保所有区域的路由信息在此汇聚防止出现“迷路”或“绕圈”防环路单向循环高架桥设计无论网络怎么变数据包只会向前走不会在原地打转通过配置OSPF你的防火墙和三层交换机就能像拥有了对讲机和地图一样自动协商出最佳路线实现了实验预期的“运维区管理终端可ping通部门A和部门B”。本实验操作在防火墙上启动OSPF宣告运维网段10.0.0.0/24、部门网段172.16.1.0/24, 172.16.2.0/24三层交换机已配好OSPF → 防火墙要和它建立邻居 → 路由表自动学习为什么这么做如果手动配静态路由一旦部门网段扩容、拓扑变更就得一个个改而OSPF自动同步路由省事可靠让防火墙加入OSPF域宣告自己连接的网段运维区10.0.0.0/24 和 部门网关172.16.3.0/24并与三层交换机建立OSPF邻居关系从而自动学习到部门A/B的路由172.16.1.0/24, 172.16.2.0/24实现互通。1为实现企业内网部门A终端通过DHCP方式获取IP地址并且运维终端能够访问部门A或部门B终端主机接下来针对防火墙做OSPF路由配置注由于本实验主要突出内容为防火墙配置ospf动态路由因此在该实验环境中已经对内网三层交换机完成了ospf动态路由配置学员只需完成防火墙上配置即可。单机【网络配置】→【路由】→【OSPF】菜单进入OSPF的【基本配置】配置页面2勾选【启用OSPF】右侧的方框内网三层交换机中所配置router-id为1.1.1.1因此这里防火墙配置【Router id】为2.2.2.2需要注意的是防火墙的Router id不能出现重名以免获取邻居信息失败。点击【应用】按钮完成OSPF的基本配置3在弹出的“提示”对话框中可看到“执行成功”的提示语点击【确定】按钮关闭对话框4返回至【基本配置】配置页面单击【区域配置】选项卡单击【添加】按键弹出添加区域配置对话框。在区域号位置填写0.0.0.0区域类型选择normal。点击【确定】按钮后完成添加你在做什么→ 为防火墙配置OSPF协议所在的“区域Area”。关键词解释区域号0.0.0.0 Area 0骨干区域这是OSPF的核心区域所有其他区域必须连接到它。区域类型 normal 普通区域允许接收所有类型的LSA链路状态通告适合大多数情况。如果是stub或nssa区域会有特殊限制本实验不需要5继续单击【网络配置】选项点击【添加】按钮在所弹出对话框中【网络地址/网络掩码】填入路由器与防火墙之间连接的网段10.0.0.0/24【区域号】选择0.0.0.0表示将防火墙运维网段信息列入OSPF信息中配置完成后点击【确定】按钮你在做什么→ 把“运维区网段”10.0.0.0/24宣告进OSPF区域0让邻居路由器知道“防火墙这边有这个网段”。技术本质→ 在OSPF中“宣告网络” 把该网段的接口加入OSPF进程让它参与路由信息广播。→ 防火墙会通过该网段接口GE1IP10.0.0.1向邻居三层交换机说“我这边有10.0.0.0网段你们要访问可以找我。”结合拓扑GE1接口连的是三层交换机的某个口IP可能是10.0.0.2所以这个“10.0.0.0/24”是防火墙与交换机的互联段直连网段宣告它是为了建立邻居 同时告诉别人“我能通这个网段”6以同样的操作方式添加用于连接部门A和部门B终端的网络地址其中【网络地址/网络掩码】填入172.16.3.0/24【区域号】为0.0.0.0添加成功后你在做什么→ 把“部门A/B的网关网段”172.16.3.0/24也宣告进OSPF。技术本质→ GE2接口IP是172.16.3.1它作为部门A/B的网关连接着两个部门的终端网段172.16.1.0 172.16.2.0→ 宣告这个网段是为了让三层交换机知道“防火墙这边能通172.16.3.0/24进而也能通后面的部门网段”为什么重要→ 三层交换机要想把部门A/B的路由传给防火墙必须知道“防火墙那边有个网关网段172.16.3.0/24”→ 同时防火墙通过这个宣告也能把自己的“可达性”告诉交换机 → 形成双向学习 小技巧你宣告的是“直连接口网段”不是终端网段。终端网段172.16.1.0/24, 172.16.2.0/24是由三层交换机宣告给防火墙的7单击【接口】配置选项卡进入【接口配置】配置页面点击页面左上角的【添加】按钮进行接口配置8在弹出的【添加接口配置】对话框中【三层接口】选择防火墙连接路由器的ge1接口【接口模式】选择【普通】选项【网络类型】【Cost值】和【DR选举优先级】保留默认值即可配置完成后单击【确定】按钮关闭对话框你在做什么→ 明确指定“哪个物理接口要参与OSPF”并配置OSPF相关参数。关键技术点三层接口选GE1 → 即防火墙和三层交换机互联的那个接口在防火墙或路由器中“三层接口”指的是具备IP地址、能进行路由转发即工作在网络层Layer 3的接口。对比“二层接口”如交换机的Access口只处理MAC地址不配IP三层接口可以配IP、子网掩码、网关、OSPF、静态路由等在你实验中你给GE1配置了IP10.0.0.1/24运维区网段你给GE2配置了IP172.16.3.1/24部门A/B的网关这两个接口都是三层接口因为它们都参与了路由OSPF和IP通信接口模式选“普通” → 表示这是普通OSPF接口不是虚链路或点对点等特殊类型网络类型默认是“广播”Broadcast适用于以太网Cost值默认自动计算基于带宽100M 101G 1DR优先级默认1用于选举指定路由器这里两个设备一个主一个备不影响为什么必须配置接口→ OSPF必须在物理接口上激活才能在这个接口发送Hello包、建立邻居、传递LSA。→ 比如你没在GE1上启用OSPF → 尽管你宣告了10.0.0.0/24但没有接口承载邻居也建不起来9同上操作对用于连接部门A和部门B的ge2接口进行相同操作添加完成后10至此已完成OSPF相关配置。继续单击【邻居信息监控】选项卡进入【邻居信息监控】配置页面此时可以查看到防火墙已获取所连接网段的相关OSPF信息如图所示。注防火墙通过OSPF获取到相连路由器的【邻居ID】为“1.1.1.1”以及相连路由器的【邻居地址】对应IP“172.16.3.2”该OSPF信息将于37秒后失效路由器与防火墙会保持交换OSPF信息使该条OSPF邻居信息保持存活3.配置DHCP服务1登录管理终端打开浏览器访问防火墙web管理界面单击【网络配置】→【DHCP】→【DHCP服务器】菜单进入“DHCP服务器”配置页面勾选配置页面中的【启动DHCP服务】选项在所弹出的确认对话框中点击【确认】按钮启用防火墙的DHCP功能如图所示。这是在干什么这是在防火墙系统层面开启DHCP功能。就像你要开店得先把店门打开一样。如果这一步不做后面配置的所有地址池都不会生效。为什么这么做防火墙默认处于安全考虑很多服务是关闭的。必须显式启用DHCP服务进程防火墙才会监听UDP 67端口DHCP服务器端口响应客户端的请求。2单击【DHCP服务器】配置页面的【添加】按钮在弹出的【添加DHCP】对话框中配置DHCP服务器信息。【名称】设置为“部门A地址获取”【地址池】选择“接口地址池”【接口】选择ge2口【网关地址】设置为172.16.1.1【DNS1】设置为192.168.1.100【网络地址】设置为172.16.1.0【网络掩码】设置为255.255.255.0【地址池列表】设置为172.16.1.2-172.16.1.4其他配置保持默认确认配置信息无误后单击【确定】按钮关闭【添加DHCP】步骤2添加DHCP地址池核心配置操作点击【添加】 → 填写一系列参数 → 点击【确定】这一步是配置的核心我们逐个拆解每个参数的含义和作用配置项设置的值含义与作用【名称】部门A地址获取描述性标签。方便管理员在列表中识别这个地址池是给谁用的不影响功能。【地址池】接口地址池地址池类型。选择“接口地址池”意味着IP地址是从接口GE2所在的网段中分配的。【接口】ge2口DHCP服务绑定的接口。这是最关键的一步它决定了哪个物理接口会响应DHCP请求。因为部门A连在GE2口下所以必须选GE2。【网关地址】172.16.1.1默认网关。终端拿到这个IP后会把数据包发给这个地址。这里填的是防火墙GE2接口在部门A网段的IP文档前文提到GE2配置为172.16.3.1此处实验可能为了简化直接指向下一级网关或存在拓扑细节差异但逻辑是指向防火墙。【DNS1】192.168.1.100首选DNS服务器。终端上网时需要通过它解析域名如www.baidu.com。这个值通常指向内网DNS服务器。【网络地址】172.16.1.0网段定义。告诉DHCP服务器这个地址池是为哪个网段服务的。【网络掩码】255.255.255.0子网掩码。定义了网段的大小这里是254个可用IP。【地址池列表】172.16.1.2-172.16.1.4可分配的IP范围。并不是网段内所有IP都能分给终端。这里人为限制了只有3个IP.2, .3, .4可以分配通常用于实验环境限制终端数量或生产环境中预留部分IP给服务器/打印机。为什么这么做通过这一串配置防火墙明确了“我是GE2口的管家凡是连在GE2下面的设备如果要IP我就从172.16.1.2到.4这三个地址里挑一个给你并且告诉你网关是172.16.1.1DNS是192.168.1.100”。3配置完成后即可在DHCP服务器配置页面查看到相关信息对话框4.配置安全访问策略这一步的整体目的是什么在前面的步骤中你已经通过OSPF 动态路由解决了“能不能找到路”的问题网络层可达。但是在防火墙中“路由通”不等于“数据能过”。防火墙的核心职责是基于策略的访问控制。默认情况下防火墙会拒绝所有跨安全域的流量默认拒绝原则。因此这一步的目的是明确告诉防火墙“允许运维管理区的终端访问部门A和部门B的终端其他的流量一概不许过。”如果没有这一步即使 OSPF 路由表是全的运维终端 ping 部门 A 时数据包也会被防火墙直接丢弃1接下来配置基础安全策略。单击【策略配置】→【安全策略】菜单进入【安全策略】配置页面后单击配置页面左上角的【添加】按钮进行安全策略添加2在弹出的【添加安全策略】对话框中【名称】填入“运维区-部门AB”【动作】选择【允许】选项【源安全域】选择“运维管理区”【目的安全域】选择“部门AB安全域”【源地址/地区】选择“运维地址段”地址对象【目的地址/地区】选择“部门A地址段”和“部门B地址段”地址对象【服务】、【应用】均选择any其他配置保持默认配置完成后单击【确定】按钮关闭【添加安全策略】对话框3点击【确定】按钮后即可在安全策略列表中查看到相关信息5.配置IP-MAC地址绑定策略这一步的整体目的是什么在企业内网中IP地址通常是动态分配DHCP或由管理员规划的。恶意用户可能通过修改自己终端的IP地址例如改成运维管理员的IP10.0.0.44来绕过防火墙的安全策略访问本不该访问的资源或者冒充管理员进行破坏。IP-MAC绑定的作用就是将IP地址与终端的硬件MAC地址强制绑定。防火墙收到数据包后会检查报文的源IP和源MAC是否匹配。如果不匹配即有人伪造IP则直接丢弃数据包。本实验分为两个部分主动探测与绑定自动发现运维区现有的合法终端管理终端并将其IP-MAC关系固化。配置未绑定策略针对那些没有提前绑定的陌生IP可能是攻击者配置拒绝策略将其拒之门外1单击【策略配置】→【IP-MAC绑定】→【主动探测】按钮进入【主动探测】配置页面。单击【ge1】接口右侧操作列的开始探测图标2在弹出的【IP-MAC探测】对话框中【起始IP】配置为10.0.0.2【结束IP】配置为10.0.0.255。配置完成后单击【确定】按钮关闭“IP-MAC探测”对话框3返回【IP-MAC探测】配置页面可以看到ge1接口探测进度为100%时说明探测完成4单击【探测结果】选项卡进入【探测结果】配置页面查看到有一条探测结果勾选该条探测结果左侧的方框单击【批量绑定】按钮在弹出的确认对话框中单击【确定】按钮绑定此IP和MAC5单击【策略配置】→【IP-MAC绑定】→【绑定列表】菜单进入【绑定列表】配置页面可查看到已经完成的地址绑定信息6单击【策略配置】→【IP-MAC绑定】→【未绑定策略】菜单进入【未绑定策略】配置页面单击【添加】按钮添加【未绑定策略】7在弹出的【添加未绑定策略】对话框中【安全域】选择“运维管理区”【行为】选择“拒绝”选项【IP类型】选择IPv4选项。配置完成后单击【确定】按钮关闭对话框8点击【确定】按钮后可在【未绑定策略】配置界面查看到已添加的策略条目【实验结论】1.防火墙中生成与路由器间的邻居关系。1在管理终端虚拟机中访问防火墙界面点击【网络配置】→【路由】→【OSPF】菜单在【邻居信息监控】选项中可以查看到防火墙配置ospf路由协议后与路由器所生成的邻居关系如图所示。2综上所述满足实验预期1。2.防火墙路由表项中包含已配置宣告的路由条目。1在防火墙管理界面中点击【网络配置】→【路由】→【路由监控】菜单在【IPv4路由监控】选项中可以查看到ospf路由协议协商后所生成的路由条目如图所示。2综上所述防火墙路由表项中包含已配置宣告的路由条目满足实验预期2。3.部门A终端能够自动获取IP地址并且在防火墙DHCP服务中可查看到相关租约信息。1 切换至部门A终端右键点击桌面中的【网络】图标打开属性菜单点击左上角的【更改适配器设置】选项继续右键打开网卡属性配置IP地址为自动获取2 打开部门A终端的CMD窗口输入“ipconfig”命令查看地址是否获取3 再次切换至管理终端在防火墙【网络配置】→【DHCP】→【DHCP服务器】菜单中进入已经创建完成的DHCP服务在【租约信息】选项中即可查看到当前部门A终端所获取地址的租约信息4 综上所述部门A终端能够自动获取IP地址并且能够在防火墙DHCP服务中查看到相关租约信息满足实验预期3。4.管理终端可以实现ping通部门A和部门B终端。1切换至管理终端打开cmd命令窗口分别输入ping 172.16.1.2和ping 172.16.2.2命令测试网络连通性2综上所述管理终端可以ping通部门A和部门B终端满足实验预期4。5.管理终端修改IP地址后无法ping通部门A和部门B主机并且无法访问防火墙web管理界面。1为验证所配置IP-MAC地址绑定策略是否生效需要将管理终端中的主机IP地址更改为10.0.0.452再次打开cmd窗口执行ping 172.16.1.2和ping 172.16.2.2指令此时发现网络异常3在浏览器中刷新IP地址修改操作前的防火墙web管理页面发现此时访问页面已断开连接4将管理终端IP地址改回10.0.0.44再次刷新防火墙web管理访问页面单机【数据中心】–【日志】-【威胁日志】菜单在威胁日志告警页面中会有大量ipmac不匹配告警提示5打开cmd窗口再次尝试对部门A和部门B终端进行ping操作发现此时应可以正常ping通6综上所述当管理终端修改IP地址不满足IP-MAC绑定策略后管理终端无法ping通部门A和部门B终端并且无法访问防火墙web管理界面满足实验预期5。
实验二:防火墙路由通信与安全访问实验
发布时间:2026/5/21 2:41:13
【实验目的】配置防火墙OSPF路由实现不同网段之间的互通并且管理员可以通过防火墙地址绑定功能有效的防止IP欺骗和IP地址盗用。【知识点】安全域安全策略OSPFDHCP地址绑定安全策略。【场景描述】运维管理区是整个网络安全运维管理的重点区域具有较高的访问权限。目前防火墙已经完成了基本的授权、升级配置现在为了管理部门A和部门B的员工终端运维工程师工小王想通过运维终端通过OSPF动态路由的形式直接访问部门A和部门B。工程师在运维过程中发现内网中存在IP地址欺骗攻击考虑到内部网络、DMZ以及运维区域通信安全需要针对运维区域、部门A、部门B区域通过防火墙做网络连通和安全访问配置具体要求如下防火墙安全设备同步内网路由器动态路由配置运维区管理终端可ping通部门A和部门B用户终端。为避免恶意攻击者对防火墙设备做恶意配置或破坏对运维管理终端做IP-MAC地址绑定。目前已对企业内网三层交换机做OSPF动态路由配置如果你是运维工程师为了满足以上技术需求该如何实现【实验原理】1.动态路由协议防火墙支持的动态路由包括 RIP、RIPng、OSPF、OSPFv3 和 BGP。与静态路由相比动态路由通常用在中大型网络环境中。当网络环境越大网段越复杂时需要维护的路由信息就越多。静态路由这样的手动维护就会给管理员新增大量的工作量。另一个显著的问题在于当网络中某一链路出现故障时静态路由需要您的管理员去排查并进行路由的调整在此期间网络可能已经发生断网的现象。动态路由主要解决的就是自适应网络环境的变化并防止出现环路。在某一链路出现故障时能够进行动态调整。同时通过动态学习路由信息动态维护路由表降低管理员的工作量。2.OSPF动态路由协议OSPF(Open Shortest Path First)开放式最短路径优先协议是一个基于链路状态的内部网关路由协议。OSPF适应于各种规模的网络通过通告网络接口的状态来建立链路状态数据库生成最短路径树每个开启OSPF功能的设备使用这些最短路径构造路由表。同时在网络拓扑结构发生变化后能快速完成收敛减少路由震荡并且OSPF协议不会产生路由环路。是目前使用广泛的动态路由协议。在防火墙配置OSPF功能时用户需要指定防火墙的Route ID在同一个OSPF区域内该Route ID必须唯一。3.DHCPDHCPDynamic Host Configuration Protocol动态主机配置协议是一种可以使主机开机后自动获取IP地址、子网掩码、DNS等信息的技术手段。应用DHCP技术可以为客户机自动分配IP地址、子网掩码以及缺省网关、DNS服务器的IP地址等TCP/IP参数不仅可以简化用户的上网流程方便用户上网如果从企业的角度来说还可以实现对公司内部网络用户的管理。4.IP-MAC地址绑定防火墙支持手动基于安全域的IP-MAC绑定地址绑定是防止 IP 欺骗和防止盗用 IP 地址的有效手段。目前防火墙支持手动添加基于安全域的 IP-MAC 绑定同时支持用户将 ARP 表中学习到的和IP-MAC 探测中探测到的 IP-MAC 对应关系直接进行绑定。也可以从邻居表中将学习到的 IPv6 邻居及 MAC 地址对应关系直接进行绑定。防火墙接口收到数据包后先进行黑名单检测、攻击防护检测然后进行IP-MAC 绑定检查。【实验设备】安全设备防火墙 1台网络设备交换机 1台终端设备Windows 7 2台windows 10 1台。【实验拓扑】拓扑说明本拓扑模拟的一个完整的企业网网络功能受资源限制不能完全仿真仅对关键功能和区域进行模拟。企业网络总共分9个安全区域互联网电信、互联网联通、运维区、DMZ区域、部门A、部门B、部门C、数据中心、DNS服务器。其中互联网电信、互联网联通属于企业互联网边界拓扑模拟了两条运营商链路一条来自电信一条来自联通。运维区属于运维人员对设备进行管理和运维的区域包括设备巡检、日志分析、设备升级等工作DMZ区域也叫隔离区或者非军事化管理区。企业中对互联网开放的服务和应用如门户网站、邮件系统都部署在DMZ区域。部门A、部门B、部门C模拟的是企业内部各个部门。由于部门之间的业务不尽相同通常他们的网络也是有区别管理的如销售部、财务部、研发部其权限是不同的。数据中心属于企业中最核心最有价值的区域所有核心数据如研发数据、生成材料、财务数据、企业管理数据都存于此处仅向有权限的人或部门开放。DNS服务器用于模拟内、外网DNS服务器主要用作内、外网域名服务解析使用。本次实验并不会用到所有资源仅启用拓扑中蓝色高亮图标设备。【实验思路】创建安全域和地址组配置OSPF动态路由配置DHCP服务配置安全访问策略配置IP-MAC地址绑定策略。【实验预期】防火墙与路由器之间生成邻居关系。防火墙路由表项中包含已配置宣告的路由条目。部门A终端能够自动获取IP地址并且在防火墙DHCP服务中可查看到相关租约信息。管理终端可以实现ping通部门A和部门B终端。管理终端修改IP地址后无法ping通部门A和部门B主机并且无法访问防火墙web管理界面。通俗讲就是✅ 让运维人员IP:10.0.0.44能ping通部门A/B终端172.16.1.x / 172.16.2.x✅ 保证内网三层交换机与防火墙通过OSPF自动学习路由不用手动配静态路由✅ 防止有人冒充运维终端IP10.0.0.44搞破坏 → 做IPMAC绑定✅ 所有通信都要经过防火墙策略控制保证安全域隔离【实验步骤】1.创建安全域和地址组即【安全域】—— 网络的“行政区划”定义把网络划分为不同信任级别的区域如“运维区”、“部门区”、“DMZ区”、“互联网区”作用便于统一管理策略、隔离风险、控制访问本实验操作创建“运维管理区” → 绑定GE1口IP:10.0.0.1/24创建“部门AB安全域” → 绑定GE2口IP:172.16.3.1/24作为部门A/B网关为什么这么做防火墙必须知道“哪个接口属于哪个信任区域”才能正确执行安全策略比如运维区→部门区要放行ICMP、SSH互联网→内网要严格过滤。1在管理终端中打开浏览器在地址栏中输入防火墙设备IP地址https://10.0.0.1进入防火墙的登录界面。输入管理员用户名admin和密码!1fw2soc#3vpn登录防火墙。2为提高防火墙系统的安全性如果用户用默认密码登录防火墙防火墙会提示用户修改初始密码本密码无需修改密码点击【取消】按钮3成功登录防火墙设备后进入防火墙【首页】菜单4登录防火墙管理界面后首先为运维管理区、部门A和部门B配置安全域和接口信息。具体操作单击【网络配置】→【安全域】菜单单击【添加】按钮弹出添加安全域对话框5在弹出的添加安全域对话框中【名称】填写“运维管理区”【类型】选择“三层安全域”在【接口绑定】处将ge1选为已选列表中6继续单击【添加】按键为部门A和部门B添加安全域其中【名称】填写“部门AB安全域”【类型】选择“三层安全域”【接口绑定】选择ge2接口7添加完成后即可在安全域列表中查看到相关信息8接下来添加IP地址对象。单击【对象配置】→【地址】菜单点击左上角的【添加】按键进行添加9依次添加运维地址段、部门A地址段和部门B地址段。点击【添加】按钮后在所弹出的“添加地址”对话框中填入相关信息其中【名称】填写“运维地址段”【IP地址】填写10.0.0.0/24点击【确定】按钮完成地址对象添加10同上操作方法继续添加部门A地址和部门B地址段其中部门A地址段配置信息为【名称】填写“部门A地址段”【IP地址】填写172.16.1.0/24部门B地址段配置信息为【名称】填写“部门B地址段”【IP地址】填写172.16.2.0/24点击【确定】按钮完成添加11配置完成后返回地址对象列表确认所添加对象条目是否准确无误12本实验中ge2接口连接部门A和部门B终端需配置内网业务网段地址。具体操作单击ge2接口右侧【操作】列的笔形图标13在所弹出“编辑物理接口”对话框中填入相关信息其中配置【IP地址】为172.16.3.1【子网掩码】为255.255.255.0【安全域】为“部门AB安全域”【工作模式】选择“路由模式”。单击【本地地址列表】配置模块中的【IPv4】选项卡中的【添加】按钮14在弹出的“添加IPv4本地地址”对话框中配置【本地地址】为172.16.3.1【子网掩码】为255.255.255.0【类型】选择float选项。配置完成后单击【确定】按钮15Ge2接口信息配置完成后单击【确定】按钮关闭【编辑物理接口】对话框16关闭对话框后返回接口列表即可查看到ge2接口相关信息2.配置OSPF动态路由【OSPF动态路由】—— 让网络自己“找路”定义一种链路状态路由协议适用于中大型网络自动学习、自动收敛、防环路核心概念Router ID必须唯一Area 0骨干区域邻居关系建立Hello包LSDB链路状态数据库SPF算法最短路径树它们构成了OSPF的工作骨架1. Router ID路由器ID是什么一个32位的数字格式像IP地址例如1.1.1.1在一个OSPF域内唯一标识一台路由器。干什么用的它是路由器的“身份证号”。在选举指定路由器DR/BDR或建立邻居关系时Router ID是区分不同设备的依据。实验注意点文档中提到“用户需要指定防火墙的Route ID在同一个OSPF区域内该Route ID必须唯一”。如果你不手动配置防火墙通常会自动选取接口IP最大的作为Router ID但为了稳定建议手动指定。2. Area 0骨干区域是什么OSPF网络中的“核心中枢”区域也叫Backbone Area。所有其他非骨干区域如Area 1, Area 2…都必须直接或间接连接到Area 0。干什么用的防环核心OSPF规定区域间的路由信息必须经过Area 0中转。这就好比一个城市的市中心Area 0所有郊区其他区域的交通都要经过市中心进行调度从而避免了跨区域环路。稳定性将网络分割成不同区域可以减少链路状态广播的范围降低单台路由器的计算压力。3. LSDB链路状态数据库是什么链路状态数据库的简称。每台运行OSPF的路由器都会维护一份相同的LSDB。干什么用的它是网络的“全景地图”。里面存储了所有路由器宣告的链路状态信息Link State Advertisements, LSAs。工作流程路由器之间互相发送Hello包建立邻居。邻居之间同步LSDB确保大家的地图一模一样。基于这份完整的地图运行SPF算法计算路由。4. SPF算法最短路径树是什么Dijkstra算法的一种应用全称Shortest Path First最短路径优先。干什么用的它是OSPF的“大脑”。路由器以自己为树根以LSDB为输入计算出一棵到达所有网络节点的最短路径树。结果算法输出的结果就是最终的路由表。因为是基于全局拓扑计算所以能保证路径是最优且无环的。三、 总结它们是如何协同工作的为了帮你更好地理解我们可以用“城市规划”来类比这次实验中的OSPF配置OSPF概念城市规划类比在本次实验中的作用Router ID每栋大楼的唯一门牌号防火墙和三层交换机在OSPF网络中的唯一身份标识LSDB (链路状态数据库)全市的精确电子地图防火墙和交换机都知道对方的存在以及有哪些网段10.0.0.0, 172.16.1.0等SPF算法导航软件的路径规划引擎防火墙根据地图自动算出“去部门A怎么走最快”Area 0 (骨干区域)城市的市中心交通枢纽确保所有区域的路由信息在此汇聚防止出现“迷路”或“绕圈”防环路单向循环高架桥设计无论网络怎么变数据包只会向前走不会在原地打转通过配置OSPF你的防火墙和三层交换机就能像拥有了对讲机和地图一样自动协商出最佳路线实现了实验预期的“运维区管理终端可ping通部门A和部门B”。本实验操作在防火墙上启动OSPF宣告运维网段10.0.0.0/24、部门网段172.16.1.0/24, 172.16.2.0/24三层交换机已配好OSPF → 防火墙要和它建立邻居 → 路由表自动学习为什么这么做如果手动配静态路由一旦部门网段扩容、拓扑变更就得一个个改而OSPF自动同步路由省事可靠让防火墙加入OSPF域宣告自己连接的网段运维区10.0.0.0/24 和 部门网关172.16.3.0/24并与三层交换机建立OSPF邻居关系从而自动学习到部门A/B的路由172.16.1.0/24, 172.16.2.0/24实现互通。1为实现企业内网部门A终端通过DHCP方式获取IP地址并且运维终端能够访问部门A或部门B终端主机接下来针对防火墙做OSPF路由配置注由于本实验主要突出内容为防火墙配置ospf动态路由因此在该实验环境中已经对内网三层交换机完成了ospf动态路由配置学员只需完成防火墙上配置即可。单机【网络配置】→【路由】→【OSPF】菜单进入OSPF的【基本配置】配置页面2勾选【启用OSPF】右侧的方框内网三层交换机中所配置router-id为1.1.1.1因此这里防火墙配置【Router id】为2.2.2.2需要注意的是防火墙的Router id不能出现重名以免获取邻居信息失败。点击【应用】按钮完成OSPF的基本配置3在弹出的“提示”对话框中可看到“执行成功”的提示语点击【确定】按钮关闭对话框4返回至【基本配置】配置页面单击【区域配置】选项卡单击【添加】按键弹出添加区域配置对话框。在区域号位置填写0.0.0.0区域类型选择normal。点击【确定】按钮后完成添加你在做什么→ 为防火墙配置OSPF协议所在的“区域Area”。关键词解释区域号0.0.0.0 Area 0骨干区域这是OSPF的核心区域所有其他区域必须连接到它。区域类型 normal 普通区域允许接收所有类型的LSA链路状态通告适合大多数情况。如果是stub或nssa区域会有特殊限制本实验不需要5继续单击【网络配置】选项点击【添加】按钮在所弹出对话框中【网络地址/网络掩码】填入路由器与防火墙之间连接的网段10.0.0.0/24【区域号】选择0.0.0.0表示将防火墙运维网段信息列入OSPF信息中配置完成后点击【确定】按钮你在做什么→ 把“运维区网段”10.0.0.0/24宣告进OSPF区域0让邻居路由器知道“防火墙这边有这个网段”。技术本质→ 在OSPF中“宣告网络” 把该网段的接口加入OSPF进程让它参与路由信息广播。→ 防火墙会通过该网段接口GE1IP10.0.0.1向邻居三层交换机说“我这边有10.0.0.0网段你们要访问可以找我。”结合拓扑GE1接口连的是三层交换机的某个口IP可能是10.0.0.2所以这个“10.0.0.0/24”是防火墙与交换机的互联段直连网段宣告它是为了建立邻居 同时告诉别人“我能通这个网段”6以同样的操作方式添加用于连接部门A和部门B终端的网络地址其中【网络地址/网络掩码】填入172.16.3.0/24【区域号】为0.0.0.0添加成功后你在做什么→ 把“部门A/B的网关网段”172.16.3.0/24也宣告进OSPF。技术本质→ GE2接口IP是172.16.3.1它作为部门A/B的网关连接着两个部门的终端网段172.16.1.0 172.16.2.0→ 宣告这个网段是为了让三层交换机知道“防火墙这边能通172.16.3.0/24进而也能通后面的部门网段”为什么重要→ 三层交换机要想把部门A/B的路由传给防火墙必须知道“防火墙那边有个网关网段172.16.3.0/24”→ 同时防火墙通过这个宣告也能把自己的“可达性”告诉交换机 → 形成双向学习 小技巧你宣告的是“直连接口网段”不是终端网段。终端网段172.16.1.0/24, 172.16.2.0/24是由三层交换机宣告给防火墙的7单击【接口】配置选项卡进入【接口配置】配置页面点击页面左上角的【添加】按钮进行接口配置8在弹出的【添加接口配置】对话框中【三层接口】选择防火墙连接路由器的ge1接口【接口模式】选择【普通】选项【网络类型】【Cost值】和【DR选举优先级】保留默认值即可配置完成后单击【确定】按钮关闭对话框你在做什么→ 明确指定“哪个物理接口要参与OSPF”并配置OSPF相关参数。关键技术点三层接口选GE1 → 即防火墙和三层交换机互联的那个接口在防火墙或路由器中“三层接口”指的是具备IP地址、能进行路由转发即工作在网络层Layer 3的接口。对比“二层接口”如交换机的Access口只处理MAC地址不配IP三层接口可以配IP、子网掩码、网关、OSPF、静态路由等在你实验中你给GE1配置了IP10.0.0.1/24运维区网段你给GE2配置了IP172.16.3.1/24部门A/B的网关这两个接口都是三层接口因为它们都参与了路由OSPF和IP通信接口模式选“普通” → 表示这是普通OSPF接口不是虚链路或点对点等特殊类型网络类型默认是“广播”Broadcast适用于以太网Cost值默认自动计算基于带宽100M 101G 1DR优先级默认1用于选举指定路由器这里两个设备一个主一个备不影响为什么必须配置接口→ OSPF必须在物理接口上激活才能在这个接口发送Hello包、建立邻居、传递LSA。→ 比如你没在GE1上启用OSPF → 尽管你宣告了10.0.0.0/24但没有接口承载邻居也建不起来9同上操作对用于连接部门A和部门B的ge2接口进行相同操作添加完成后10至此已完成OSPF相关配置。继续单击【邻居信息监控】选项卡进入【邻居信息监控】配置页面此时可以查看到防火墙已获取所连接网段的相关OSPF信息如图所示。注防火墙通过OSPF获取到相连路由器的【邻居ID】为“1.1.1.1”以及相连路由器的【邻居地址】对应IP“172.16.3.2”该OSPF信息将于37秒后失效路由器与防火墙会保持交换OSPF信息使该条OSPF邻居信息保持存活3.配置DHCP服务1登录管理终端打开浏览器访问防火墙web管理界面单击【网络配置】→【DHCP】→【DHCP服务器】菜单进入“DHCP服务器”配置页面勾选配置页面中的【启动DHCP服务】选项在所弹出的确认对话框中点击【确认】按钮启用防火墙的DHCP功能如图所示。这是在干什么这是在防火墙系统层面开启DHCP功能。就像你要开店得先把店门打开一样。如果这一步不做后面配置的所有地址池都不会生效。为什么这么做防火墙默认处于安全考虑很多服务是关闭的。必须显式启用DHCP服务进程防火墙才会监听UDP 67端口DHCP服务器端口响应客户端的请求。2单击【DHCP服务器】配置页面的【添加】按钮在弹出的【添加DHCP】对话框中配置DHCP服务器信息。【名称】设置为“部门A地址获取”【地址池】选择“接口地址池”【接口】选择ge2口【网关地址】设置为172.16.1.1【DNS1】设置为192.168.1.100【网络地址】设置为172.16.1.0【网络掩码】设置为255.255.255.0【地址池列表】设置为172.16.1.2-172.16.1.4其他配置保持默认确认配置信息无误后单击【确定】按钮关闭【添加DHCP】步骤2添加DHCP地址池核心配置操作点击【添加】 → 填写一系列参数 → 点击【确定】这一步是配置的核心我们逐个拆解每个参数的含义和作用配置项设置的值含义与作用【名称】部门A地址获取描述性标签。方便管理员在列表中识别这个地址池是给谁用的不影响功能。【地址池】接口地址池地址池类型。选择“接口地址池”意味着IP地址是从接口GE2所在的网段中分配的。【接口】ge2口DHCP服务绑定的接口。这是最关键的一步它决定了哪个物理接口会响应DHCP请求。因为部门A连在GE2口下所以必须选GE2。【网关地址】172.16.1.1默认网关。终端拿到这个IP后会把数据包发给这个地址。这里填的是防火墙GE2接口在部门A网段的IP文档前文提到GE2配置为172.16.3.1此处实验可能为了简化直接指向下一级网关或存在拓扑细节差异但逻辑是指向防火墙。【DNS1】192.168.1.100首选DNS服务器。终端上网时需要通过它解析域名如www.baidu.com。这个值通常指向内网DNS服务器。【网络地址】172.16.1.0网段定义。告诉DHCP服务器这个地址池是为哪个网段服务的。【网络掩码】255.255.255.0子网掩码。定义了网段的大小这里是254个可用IP。【地址池列表】172.16.1.2-172.16.1.4可分配的IP范围。并不是网段内所有IP都能分给终端。这里人为限制了只有3个IP.2, .3, .4可以分配通常用于实验环境限制终端数量或生产环境中预留部分IP给服务器/打印机。为什么这么做通过这一串配置防火墙明确了“我是GE2口的管家凡是连在GE2下面的设备如果要IP我就从172.16.1.2到.4这三个地址里挑一个给你并且告诉你网关是172.16.1.1DNS是192.168.1.100”。3配置完成后即可在DHCP服务器配置页面查看到相关信息对话框4.配置安全访问策略这一步的整体目的是什么在前面的步骤中你已经通过OSPF 动态路由解决了“能不能找到路”的问题网络层可达。但是在防火墙中“路由通”不等于“数据能过”。防火墙的核心职责是基于策略的访问控制。默认情况下防火墙会拒绝所有跨安全域的流量默认拒绝原则。因此这一步的目的是明确告诉防火墙“允许运维管理区的终端访问部门A和部门B的终端其他的流量一概不许过。”如果没有这一步即使 OSPF 路由表是全的运维终端 ping 部门 A 时数据包也会被防火墙直接丢弃1接下来配置基础安全策略。单击【策略配置】→【安全策略】菜单进入【安全策略】配置页面后单击配置页面左上角的【添加】按钮进行安全策略添加2在弹出的【添加安全策略】对话框中【名称】填入“运维区-部门AB”【动作】选择【允许】选项【源安全域】选择“运维管理区”【目的安全域】选择“部门AB安全域”【源地址/地区】选择“运维地址段”地址对象【目的地址/地区】选择“部门A地址段”和“部门B地址段”地址对象【服务】、【应用】均选择any其他配置保持默认配置完成后单击【确定】按钮关闭【添加安全策略】对话框3点击【确定】按钮后即可在安全策略列表中查看到相关信息5.配置IP-MAC地址绑定策略这一步的整体目的是什么在企业内网中IP地址通常是动态分配DHCP或由管理员规划的。恶意用户可能通过修改自己终端的IP地址例如改成运维管理员的IP10.0.0.44来绕过防火墙的安全策略访问本不该访问的资源或者冒充管理员进行破坏。IP-MAC绑定的作用就是将IP地址与终端的硬件MAC地址强制绑定。防火墙收到数据包后会检查报文的源IP和源MAC是否匹配。如果不匹配即有人伪造IP则直接丢弃数据包。本实验分为两个部分主动探测与绑定自动发现运维区现有的合法终端管理终端并将其IP-MAC关系固化。配置未绑定策略针对那些没有提前绑定的陌生IP可能是攻击者配置拒绝策略将其拒之门外1单击【策略配置】→【IP-MAC绑定】→【主动探测】按钮进入【主动探测】配置页面。单击【ge1】接口右侧操作列的开始探测图标2在弹出的【IP-MAC探测】对话框中【起始IP】配置为10.0.0.2【结束IP】配置为10.0.0.255。配置完成后单击【确定】按钮关闭“IP-MAC探测”对话框3返回【IP-MAC探测】配置页面可以看到ge1接口探测进度为100%时说明探测完成4单击【探测结果】选项卡进入【探测结果】配置页面查看到有一条探测结果勾选该条探测结果左侧的方框单击【批量绑定】按钮在弹出的确认对话框中单击【确定】按钮绑定此IP和MAC5单击【策略配置】→【IP-MAC绑定】→【绑定列表】菜单进入【绑定列表】配置页面可查看到已经完成的地址绑定信息6单击【策略配置】→【IP-MAC绑定】→【未绑定策略】菜单进入【未绑定策略】配置页面单击【添加】按钮添加【未绑定策略】7在弹出的【添加未绑定策略】对话框中【安全域】选择“运维管理区”【行为】选择“拒绝”选项【IP类型】选择IPv4选项。配置完成后单击【确定】按钮关闭对话框8点击【确定】按钮后可在【未绑定策略】配置界面查看到已添加的策略条目【实验结论】1.防火墙中生成与路由器间的邻居关系。1在管理终端虚拟机中访问防火墙界面点击【网络配置】→【路由】→【OSPF】菜单在【邻居信息监控】选项中可以查看到防火墙配置ospf路由协议后与路由器所生成的邻居关系如图所示。2综上所述满足实验预期1。2.防火墙路由表项中包含已配置宣告的路由条目。1在防火墙管理界面中点击【网络配置】→【路由】→【路由监控】菜单在【IPv4路由监控】选项中可以查看到ospf路由协议协商后所生成的路由条目如图所示。2综上所述防火墙路由表项中包含已配置宣告的路由条目满足实验预期2。3.部门A终端能够自动获取IP地址并且在防火墙DHCP服务中可查看到相关租约信息。1 切换至部门A终端右键点击桌面中的【网络】图标打开属性菜单点击左上角的【更改适配器设置】选项继续右键打开网卡属性配置IP地址为自动获取2 打开部门A终端的CMD窗口输入“ipconfig”命令查看地址是否获取3 再次切换至管理终端在防火墙【网络配置】→【DHCP】→【DHCP服务器】菜单中进入已经创建完成的DHCP服务在【租约信息】选项中即可查看到当前部门A终端所获取地址的租约信息4 综上所述部门A终端能够自动获取IP地址并且能够在防火墙DHCP服务中查看到相关租约信息满足实验预期3。4.管理终端可以实现ping通部门A和部门B终端。1切换至管理终端打开cmd命令窗口分别输入ping 172.16.1.2和ping 172.16.2.2命令测试网络连通性2综上所述管理终端可以ping通部门A和部门B终端满足实验预期4。5.管理终端修改IP地址后无法ping通部门A和部门B主机并且无法访问防火墙web管理界面。1为验证所配置IP-MAC地址绑定策略是否生效需要将管理终端中的主机IP地址更改为10.0.0.452再次打开cmd窗口执行ping 172.16.1.2和ping 172.16.2.2指令此时发现网络异常3在浏览器中刷新IP地址修改操作前的防火墙web管理页面发现此时访问页面已断开连接4将管理终端IP地址改回10.0.0.44再次刷新防火墙web管理访问页面单机【数据中心】–【日志】-【威胁日志】菜单在威胁日志告警页面中会有大量ipmac不匹配告警提示5打开cmd窗口再次尝试对部门A和部门B终端进行ping操作发现此时应可以正常ping通6综上所述当管理终端修改IP地址不满足IP-MAC绑定策略后管理终端无法ping通部门A和部门B终端并且无法访问防火墙web管理界面满足实验预期5。
)
)
)
