dcn 多核防火墙快速配置之 目的 nat 配置 神州数码网络 蒋忠平
Post on 19-Dec-2015
292 views
TRANSCRIPT
![Page 1: DCN 多核防火墙快速配置之 目的 NAT 配置 神州数码网络 蒋忠平](https://reader037.vdocuments.mx/reader037/viewer/2022102502/56649d2d5503460f94a035b4/html5/thumbnails/1.jpg)
DCN 多核防火墙快速配置之目的 NAT配置
www.dcnetworks.com.cn
神州数码网络
蒋忠平
![Page 2: DCN 多核防火墙快速配置之 目的 NAT 配置 神州数码网络 蒋忠平](https://reader037.vdocuments.mx/reader037/viewer/2022102502/56649d2d5503460f94a035b4/html5/thumbnails/2.jpg)
案例描述
需求描述 使用外网口 IP为内网 FTP Server及WEB ServerB做端口映射,并允许外网用户访问该 Server的 FTP和WEB服务,其中Web服务对外映射的端口为TCP8000。
允许内网用户通过域名访问WEB ServerB(即通过合法 IP访问)。
使用合法 IP 218.240.143.220为Web ServerA做 IP映射,放允许内外网用户对该 Server的Web访问。
www.dcnetworks.com.cn
神州数码网络 2
Eth0/0:192.168.1.91/24Zone:trust
Eth0/1:218.240.143.221/24Zone:untrust
FTP Server & Web ServerB
IP:192.168.1.10/24
Internet
Web ServerAIP:192.168.10.2/24
Eth0/2:192.168.10.1/24Zone:DMZ
![Page 3: DCN 多核防火墙快速配置之 目的 NAT 配置 神州数码网络 蒋忠平](https://reader037.vdocuments.mx/reader037/viewer/2022102502/56649d2d5503460f94a035b4/html5/thumbnails/3.jpg)
神州数码网络 3
需求 1 配置步骤
使用外网口 IP为内网 FTP Server及WEB ServerB做端口映射,并允许外网用户访问该 Server的 FTP和WEB
服务,其中Web服务对外映射的端口为 TCP8000。
配置目的 NAT
创建安全策略放行外网用户的访问。
www.dcnetworks.com.cn
![Page 4: DCN 多核防火墙快速配置之 目的 NAT 配置 神州数码网络 蒋忠平](https://reader037.vdocuments.mx/reader037/viewer/2022102502/56649d2d5503460f94a035b4/html5/thumbnails/4.jpg)
神州数码网络 4
配置准备工作 为后面定义“目的 NAT”及“安全策略”而事先定义好相关的地址对象
www.dcnetworks.com.cn
使用“ IP成员”选项定义Trust区域的server地址
![Page 5: DCN 多核防火墙快速配置之 目的 NAT 配置 神州数码网络 蒋忠平](https://reader037.vdocuments.mx/reader037/viewer/2022102502/56649d2d5503460f94a035b4/html5/thumbnails/5.jpg)
神州数码网络 5
配置准备工作
定义服务对象
www.dcnetworks.com.cn
我们要映射的端口为目的端口,端口号只有一个,所以只填写最小值即可
因为此处定义的 TCP8000端口将来为 HTTP应用,所以要需要与应用类型管理,以便让防火墙知道该端口为HTTP业务使用
![Page 6: DCN 多核防火墙快速配置之 目的 NAT 配置 神州数码网络 蒋忠平](https://reader037.vdocuments.mx/reader037/viewer/2022102502/56649d2d5503460f94a035b4/html5/thumbnails/6.jpg)
神州数码网络 6
配置目的 NAT
配置目的 NAT,为 trust区域 server映射 FTP(TCP21)和 HTTP(TCP80)端口
www.dcnetworks.com.cn
此地址即外网用户要访问的合法 IP。因为使用防火墙外网口 IP映射,所以此处引用防火墙中缺省定义的地址对象 ipv4.ethernet0/1。该对象表示 Eth0/1接口 IP 代表内网服务器的实际地
址对象
webB Server对外宣布web服务端口为 TCP8000
webB Server真实的 web服务端口为 TCP80
![Page 7: DCN 多核防火墙快速配置之 目的 NAT 配置 神州数码网络 蒋忠平](https://reader037.vdocuments.mx/reader037/viewer/2022102502/56649d2d5503460f94a035b4/html5/thumbnails/7.jpg)
神州数码网络 7
创建安全策略 创建安全策略,允许 untrust区域用户访问 trust区域 server的 FTP和 web应用
www.dcnetworks.com.cn
目的地址要定义为server映射前的合法IP。所以这里要选择代表外网口 IP的地址对象
从左边的可用成员中选中相应的服务对象推入右侧组成员中
![Page 8: DCN 多核防火墙快速配置之 目的 NAT 配置 神州数码网络 蒋忠平](https://reader037.vdocuments.mx/reader037/viewer/2022102502/56649d2d5503460f94a035b4/html5/thumbnails/8.jpg)
神州数码网络 8
目标 2 配置步骤
允许内网用户通过域名访问WEB ServerB(即通过合法 IP访问)实现这一步所需要做的就是在之前的配置基础上,增加 Trust ->
Trust的安全策略
www.dcnetworks.com.cn
目的地址为转换前的合法 IP。
![Page 9: DCN 多核防火墙快速配置之 目的 NAT 配置 神州数码网络 蒋忠平](https://reader037.vdocuments.mx/reader037/viewer/2022102502/56649d2d5503460f94a035b4/html5/thumbnails/9.jpg)
神州数码网络 9
目标 3 配置步骤 使用合法 IP 218.240.143.220为Web ServerA做 IP映射,放允许内外网用户对该 Server的Web访问。
使用 IP映射配置目的 NAT
创建安全策略,允许 untrust用户对Web ServerA的 web访问
www.dcnetworks.com.cn
![Page 10: DCN 多核防火墙快速配置之 目的 NAT 配置 神州数码网络 蒋忠平](https://reader037.vdocuments.mx/reader037/viewer/2022102502/56649d2d5503460f94a035b4/html5/thumbnails/10.jpg)
神州数码网络 10
准备工作
定义地址对象
www.dcnetworks.com.cn
使用“ IP成员”选项定义DMZ区域的server地址
使用“ IP成员”选项定义要映射的合法IP
![Page 11: DCN 多核防火墙快速配置之 目的 NAT 配置 神州数码网络 蒋忠平](https://reader037.vdocuments.mx/reader037/viewer/2022102502/56649d2d5503460f94a035b4/html5/thumbnails/11.jpg)
神州数码网络 11
配置目的 NAT
为 DMZ区域的Web ServerA配置静态 IP映射
www.dcnetworks.com.cn
对外宣告的合法 IP
用真实地址定义的地址对象
![Page 12: DCN 多核防火墙快速配置之 目的 NAT 配置 神州数码网络 蒋忠平](https://reader037.vdocuments.mx/reader037/viewer/2022102502/56649d2d5503460f94a035b4/html5/thumbnails/12.jpg)
神州数码网络 12
创建安全策略 创建安全策略,允许 untrust用户访问Web ServerA的 HTTP应用。
www.dcnetworks.com.cn
目的地址为转换前的合法 IP。
![Page 13: DCN 多核防火墙快速配置之 目的 NAT 配置 神州数码网络 蒋忠平](https://reader037.vdocuments.mx/reader037/viewer/2022102502/56649d2d5503460f94a035b4/html5/thumbnails/13.jpg)
神州数码网络 13
创建安全策略 创建安全策略,允许 trust用户访问Web ServerA的 HTTP应用。
www.dcnetworks.com.cn
目的地址为转换前的合法 IP。
![Page 14: DCN 多核防火墙快速配置之 目的 NAT 配置 神州数码网络 蒋忠平](https://reader037.vdocuments.mx/reader037/viewer/2022102502/56649d2d5503460f94a035b4/html5/thumbnails/14.jpg)
The END
www.dcnetworks.com.cn
神州数码网络