dcn 多核防火墙快速配置之 目的 nat 配置 神州数码网络 蒋忠平
Post on 19-Dec-2015
286 Views
Preview:
TRANSCRIPT
DCN 多核防火墙快速配置之目的 NAT配置
www.dcnetworks.com.cn
神州数码网络
蒋忠平
案例描述
需求描述 使用外网口 IP为内网 FTP Server及WEB ServerB做端口映射,并允许外网用户访问该 Server的 FTP和WEB服务,其中Web服务对外映射的端口为TCP8000。
允许内网用户通过域名访问WEB ServerB(即通过合法 IP访问)。
使用合法 IP 218.240.143.220为Web ServerA做 IP映射,放允许内外网用户对该 Server的Web访问。
www.dcnetworks.com.cn
神州数码网络 2
Eth0/0:192.168.1.91/24Zone:trust
Eth0/1:218.240.143.221/24Zone:untrust
FTP Server & Web ServerB
IP:192.168.1.10/24
Internet
Web ServerAIP:192.168.10.2/24
Eth0/2:192.168.10.1/24Zone:DMZ
神州数码网络 3
需求 1 配置步骤
使用外网口 IP为内网 FTP Server及WEB ServerB做端口映射,并允许外网用户访问该 Server的 FTP和WEB
服务,其中Web服务对外映射的端口为 TCP8000。
配置目的 NAT
创建安全策略放行外网用户的访问。
www.dcnetworks.com.cn
神州数码网络 4
配置准备工作 为后面定义“目的 NAT”及“安全策略”而事先定义好相关的地址对象
www.dcnetworks.com.cn
使用“ IP成员”选项定义Trust区域的server地址
神州数码网络 5
配置准备工作
定义服务对象
www.dcnetworks.com.cn
我们要映射的端口为目的端口,端口号只有一个,所以只填写最小值即可
因为此处定义的 TCP8000端口将来为 HTTP应用,所以要需要与应用类型管理,以便让防火墙知道该端口为HTTP业务使用
神州数码网络 6
配置目的 NAT
配置目的 NAT,为 trust区域 server映射 FTP(TCP21)和 HTTP(TCP80)端口
www.dcnetworks.com.cn
此地址即外网用户要访问的合法 IP。因为使用防火墙外网口 IP映射,所以此处引用防火墙中缺省定义的地址对象 ipv4.ethernet0/1。该对象表示 Eth0/1接口 IP 代表内网服务器的实际地
址对象
webB Server对外宣布web服务端口为 TCP8000
webB Server真实的 web服务端口为 TCP80
神州数码网络 7
创建安全策略 创建安全策略,允许 untrust区域用户访问 trust区域 server的 FTP和 web应用
www.dcnetworks.com.cn
目的地址要定义为server映射前的合法IP。所以这里要选择代表外网口 IP的地址对象
从左边的可用成员中选中相应的服务对象推入右侧组成员中
神州数码网络 8
目标 2 配置步骤
允许内网用户通过域名访问WEB ServerB(即通过合法 IP访问)实现这一步所需要做的就是在之前的配置基础上,增加 Trust ->
Trust的安全策略
www.dcnetworks.com.cn
目的地址为转换前的合法 IP。
神州数码网络 9
目标 3 配置步骤 使用合法 IP 218.240.143.220为Web ServerA做 IP映射,放允许内外网用户对该 Server的Web访问。
使用 IP映射配置目的 NAT
创建安全策略,允许 untrust用户对Web ServerA的 web访问
www.dcnetworks.com.cn
神州数码网络 10
准备工作
定义地址对象
www.dcnetworks.com.cn
使用“ IP成员”选项定义DMZ区域的server地址
使用“ IP成员”选项定义要映射的合法IP
神州数码网络 11
配置目的 NAT
为 DMZ区域的Web ServerA配置静态 IP映射
www.dcnetworks.com.cn
对外宣告的合法 IP
用真实地址定义的地址对象
神州数码网络 12
创建安全策略 创建安全策略,允许 untrust用户访问Web ServerA的 HTTP应用。
www.dcnetworks.com.cn
目的地址为转换前的合法 IP。
神州数码网络 13
创建安全策略 创建安全策略,允许 trust用户访问Web ServerA的 HTTP应用。
www.dcnetworks.com.cn
目的地址为转换前的合法 IP。
The END
www.dcnetworks.com.cn
神州数码网络
top related