DCN多核防火墙目的NAT配置案例.ppt

《DCN多核防火墙目的NAT配置案例.ppt》由会员分享，可在线阅读，更多相关《DCN多核防火墙目的NAT配置案例.ppt（14页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、DCN多核防火墙快速配置之多核防火墙快速配置之目的NAT配置 神州数码网络神州数码网络案例描述案例描述v需求描述?使用外网口IP为内网FTP Server及WEB ServerB做端口映射，并允许外网用户访问该Server的FTP和WEB服务，其中Web服务对外映射的端口为TCP8000。?允许内网用户通过域名访问WEB ServerB(即通过合法IP访问）。?使用合法为Web ServerA做IP映射，放允许内外网用户对该Server的Web访问。Eth0/0:192.168.1.91/24Zone:trustEth0/1:218.240.143.221/24Zone:untrustFTP

2、Server&Web ServerBIP:192.168.1.10/24InternetWeb ServerAIP:192.168.10.2/24Eth0/2:192.168.10.1/24Zone:DMZ 2神州数码网络神州数码网络 需求需求1配置步配置步骤骤v使用外网口IP为内网FTP Server及WEB ServerB做端口映射，并允许外网用户访问该Server的FTP和WEB服务，其中Web服务对外映射的端口为TCP8000。?配置目的配置目的NAT?创建安全策略放行外网用建安全策略放行外网用户的的访问。 3神州数码网络神州数码网络 配置准配置准备备工作工作v为后面定义“目的NAT”

3、及“安全策略”而事先定义好相关的地址对象使用“IP成员”选项定义Trust区域的server地址 4神州数码网络神州数码网络 配置准配置准备备工作工作v定义服务对象我们要映射的端口为目的端口，端口号只有一个，所以只填写最小值即可因为此处定义的TCP8000端口将来为HTTP应用，所以要需要与应用类型管理，以便让防火墙知道该端口为HTTP业务使用 5神州数码网络神州数码网络 配置目的配置目的NATv配置目的NAT,为trust区域server映射FTP(TCP21)和HTTP(TCP80)端口此地址即外网用户要访问的合法IP。因为使用防火墙外网口IP映射，所以此处引用防火墙中缺省定义的地址对象i

4、pv4.ethernet0/1。该对象表示Eth0/1接口IP代表内网服务器的实际地址对象webB Server对外宣布web服务端口为TCP8000webB Server真实的web服务端口为TCP 6神州数码网络神州数码网络 创创建安全策略建安全策略v创建安全策略，允许untrust区域用户访问trust区域server的FTP和web应用目的地址要定义为server映射前的合法IP。所以这里要选择代表外网口IP的地址对象从左边的可用成员中选中相应的服务对象推入右侧组成员中 7神州数码网络神州数码网络 目目标标2配置步配置步骤骤v允许内网用户通过域名访问WEB ServerB(即通过合法I

5、P访问）?实现这一步所需要做的就是在之前的配置基础上，增加Trust-Trust的安全策略目的地址为转换前的合法IP。 8神州数码网络神州数码网络 目目标标3配置步配置步骤骤v使用合法为Web ServerA做IP映射，放允许内外网用户对该Server的Web访问。?使用IP映射配置目的NAT?创建安全策略，允许untrust用户对Web ServerA的web访问 9神州数码网络神州数码网络 准准备备工作工作v定义地址对象使用“IP成员”选项定义DMZ区域的server地址使用“IP成员”选项定义要映射的合法IP 10神州数码网络神州数码网络 配置目的配置目的NATv为DMZ区域的Web ServerA配置静态IP映射对外宣告的合法IP用真实地址定义的地址对象 11神州数码网络神州数码网络 创创建安全策略建安全策略v创建安全策略，允许untrust用户访问Web ServerA的HTTP应用。目的地址为转换前的合法IP。 12神州数码网络神州数码网络 创创建安全策略建安全策略v创建安全策略，允许trust用户访问Web ServerA的HTTP应用。目的地址为转换前的合法IP。 13神州数码网络神州数码网络 The END 神州数码网络神州数码网络