安全防御2

实验要求：

实验过程：

7，办公区设备可以通过电信链路和移动链路上网(多对多的NAT，并且需要保留一个公网IP不能用来转换)：

新建电信区：

新建移动区： 将对应接口划归到各自区域：

 新建安全策略放通办公区到电信或移动的流量：

 新建源地址池：

电信：

移动： 

多对多NAT：

8，分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器:

在FW1中新建目的地址池：

FW1中新建目标NAT：原始数据包中的目的地址是公网进入私网时需要在哪台设备上作地址转换。

这里需要建一条安全策略放通转换后的流量：

在FW2上配置源地址NAT：

新建源地址池：

 新建源NAT：

9，多出口环境基于带宽比例进行选路，但是，办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护，保护阈值80%:

电信：

移动：

修改全局选路策略：

链路开启过载保护（修改接口中）：

 移动：

电信：

做策略路由：

10，分公司内部的客户端可以通过域名访问到内部的服务器，公网设备也可以通过域名访问到分公司内部服务器:

新建地址池：

新建目标NAT一起建立新的安全策略：

将公网内的server5作为DNS服务器并添加HTTP服务器的信息：

在其他有需求的客户端上配置DNS服务器：

client3：

client4：

 公网访问测试：

私网访问需要作双向NAT（因为同属于一个trust区域，故不用作安全策略）：

11，游客区仅能通过移动链路访问互联网:

作源NAT：

 

作策略路由：