02_1 - DCN多核防火墙源NAT配置案例.ppt
-
资源ID:67225943
资源大小:1.05MB
全文页数:16页
- 资源格式: PPT
下载积分:16金币
快捷下载
会员登录下载
微信登录下载
三方登录下载:
微信扫一扫登录
|
友情提示
2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
|
02_1 - DCN多核防火墙源NAT配置案例.ppt
DCN多核防火墙快速配置之多核防火墙快速配置之源源NAT配置配置 神州数码网络神州数码网络配置需求配置需求v配置防火墙使内网192.168.1.0/24网段可以访问 神州数码网络神州数码网络 2InternetGW:222.1.1.1Eth0:192.168.1.1/24Zone:trustEth1:222.1.1.2/24Zone:untrust内网网段:192.168.1.0/24网络拓扑网络拓扑配置步骤配置步骤v将接口加入所属的安全域并为接口配置IP地址v添加路由v配置源NATv添加安全策略 神州数码网络神州数码网络 3内网接口配置内网接口配置&开启远程管理开启远程管理vCLI下先配置eth0/0接口?DCFW-1800#config?DCFW-1800(config)#interface eth0/0?DCFW-1800(config-if-eth0/0)#zone trust -将eth0/0接口加入trust安全域?DCFW-1800(config-if-eth0/0)#ip add 192.168.1.1/24?DCFW-1800(config-if-eth0/0)#manage https?DCFW-1800(config-if-eth0/0)#manage pingv添加管理主机?DCFW-1800(config)#admin host any 神州数码网络神州数码网络 4任意地址任意管理方式配置外网口配置外网口v通过WEBUI登陆防火墙v配置外网口所属安全域及IP 神州数码网络神州数码网络 5只有指定安全域类型为“三层安全域”时才能给接口配置IP添加路由添加路由v这里添加的是到外网的缺省路由下一跳网关地址为222.1.1.1v在“目的路由”中“新建”路由条目 神州数码网络神州数码网络 6这里的子网掩码既可以写成0也可以写成0.0.0.0,防火墙会自动识别配置配置NATv在“源NAT”中“新建”源NAT条目 神州数码网络神州数码网络 7出接口选择外网口内网访问Internet时转换为外网接口ip添加添加“安全策略安全策略”v在“安全”-“策略”中选择好“源安全域”和“目的安全域”后,新建策略。 神州数码网络神州数码网络 8若对策略中的各个选项有更多配置要求可点击“高级配置”进行编辑安全策略高级配置模式安全策略高级配置模式v安全策略的高级配置高级配置模式可以对各选项做出更多编辑 神州数码网络神州数码网络 9添加多个源地址添加多个目的地址添加多个服务对象可以添加时间对象以限制该策略仅在某个时段有效激活高级配置模式保存配置保存配置v所有配置在点击“确定”后立即生效,但并未保存到防火墙的启动配置中,所以为防止配置丢失需要对配置进行保存。通过给配置文件命名,防火墙最多可保存10份不同的配置 神州数码网络神州数码网络 10点击“保存”可以赋予配置文件不同的名称以对不同时间的配置加以区分CLI下相关命令参考下相关命令参考 接口配置接口配置v将接口加入所属的安全域并为接口配置IP地址?DCFW-1800(config)#interface ethernet0/0?DCFW-1800(config-if-eth0/0)#zone trust?DCFW-1800(config-if-eth0/0)#ip address 192.168.1.1/24?DCFW-1800(config-if-eth0/0)#manage https?DCFW-1800(config-if-eth0/0)#manage ping?DCFW-1800(config)#interface ethernet0/1?DCFW-1800(config-if-eth0/0)#zone untrust?DCFW-1800(config-if-eth0/0)#ip address 222.1.1.2/24v添加管理主机及可使用的管理方式?DCFW-1800(config)#admin host any 神州数码网络神州数码网络 11CLI下相关命令参考下相关命令参考 添加路由添加路由v添加缺省路由?DCFW-1800(config)#ip vrouter trust-vr?DCFW-1800(config-vrouter)#ip route 0.0.0.0/0 神州数码网络神州数码网络 12CLI下相关命令参考下相关命令参考 配置配置NATv添加源地址转换策略(即通常所说的动态NAT),本例中是转换为防火墙外网口IP。?DCFW-1800(config)#nat?DCFW-1800(config-nat)#snatrule from Any to Any eif ethernet0/1 trans-to eif-ip mode 神州数码网络神州数码网络 13CLI下相关命令参考下相关命令参考 添加安全策略添加安全策略v添加安全策略:运行内网any访问外网any?DCFW-1800(config)#policy from trust to untrust -定义策略方向为trust访问untrust?DCFW-1800(config-policy)#rule id 1 -标识策略条目,无区分优先级的作用?DCFW-1800(config-policy-rule)#src-addr any -指定源地址对象?DCFW-1800(config-policy-rule)#dst-addr any -指定目的地址对象?DCFW-1800(config-policy-rule)#service any -指定服务对象?DCFW-1800(config-policy-rule)#action permit -指定策略行为 神州数码网络神州数码网络 14CLI下相关命令参考下相关命令参考 保存配置保存配置v保存配置DCFW-1800#saveSave configuration,are you sure?y/n:y Backup current configuration file,are you sure?y/n:yBuilding configuration.Saving configuration is 神州数码网络神州数码网络 15The E 神州数码网络神州数码网络
