1 / 14

DCN 多核防火墙快速配置之

DCN 多核防火墙快速配置之. 目的 NAT 配置. 蒋忠平. 案例描述. Eth0/0:192.168.1.91/24 Zone:trust. Eth0/1:218.240.143.221/24 Zone:untrust. 需求描述 使用外网口 IP 为内网 FTP Server 及 WEB ServerB 做端口映射,并允许外网用户访问该 Server 的 FTP 和 WEB 服务,其中 Web 服务对外映射的端口为 TCP8000 。 允许内网用户通过域名访问 WEB ServerB( 即通过合法 IP 访问)。

hall
Download Presentation

DCN 多核防火墙快速配置之

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. DCN多核防火墙快速配置之 目的NAT配置 蒋忠平 神州数码网络

  2. 案例描述 Eth0/0:192.168.1.91/24 Zone:trust Eth0/1:218.240.143.221/24 Zone:untrust • 需求描述 • 使用外网口IP为内网FTP Server及WEB ServerB做端口映射,并允许外网用户访问该Server的FTP和WEB服务,其中Web服务对外映射的端口为TCP8000。 • 允许内网用户通过域名访问WEB ServerB(即通过合法IP访问)。 • 使用合法IP 218.240.143.220为Web ServerA做IP映射,放允许内外网用户对该Server的Web访问。 Internet FTP Server & Web ServerB IP:192.168.1.10/24 Eth0/2:192.168.10.1/24 Zone:DMZ Web ServerA IP:192.168.10.2/24 神州数码网络

  3. 需求1配置步骤 • 使用外网口IP为内网FTP Server及WEB ServerB做端口映射,并允许外网用户访问该Server的FTP和WEB服务,其中Web服务对外映射的端口为TCP8000。 • 配置目的NAT • 创建安全策略放行外网用户的访问。 神州数码网络

  4. 配置准备工作 • 为后面定义“目的NAT”及“安全策略”而事先定义好相关的地址对象 使用“IP成员”选项定义Trust区域的server地址 神州数码网络

  5. 配置准备工作 • 定义服务对象 我们要映射的端口为目的端口,端口号只有一个,所以只填写最小值即可 因为此处定义的TCP8000端口将来为HTTP应用,所以要需要与应用类型管理,以便让防火墙知道该端口为HTTP业务使用 神州数码网络

  6. 配置目的NAT • 配置目的NAT,为trust区域server映射FTP(TCP21)和HTTP(TCP80)端口 此地址即外网用户要访问的合法IP。因为使用防火墙外网口IP映射,所以此处引用防火墙中缺省定义的地址对象ipv4.ethernet0/1。该对象表示Eth0/1接口IP 代表内网服务器的实际地址对象 webB Server对外宣布web服务端口为TCP8000 webB Server真实的web服务端口为TCP80 神州数码网络

  7. 创建安全策略 • 创建安全策略,允许untrust区域用户访问trust区域server的FTP和web应用 从左边的可用成员中选中相应的服务对象推入右侧组成员中 目的地址要定义为server映射前的合法IP。所以这里要选择代表外网口IP的地址对象 神州数码网络

  8. 目标2配置步骤 • 允许内网用户通过域名访问WEB ServerB(即通过合法IP访问) • 实现这一步所需要做的就是在之前的配置基础上,增加Trust -> Trust的安全策略 目的地址为转换前的合法IP。 神州数码网络

  9. 目标3配置步骤 • 使用合法IP 218.240.143.220为Web ServerA做IP映射,放允许内外网用户对该Server的Web访问。 • 使用IP映射配置目的NAT • 创建安全策略,允许untrust用户对Web ServerA的web访问 神州数码网络

  10. 准备工作 • 定义地址对象 使用“IP成员”选项定义DMZ区域的server地址 使用“IP成员”选项定义要映射的合法IP 神州数码网络

  11. 配置目的NAT • 为DMZ区域的Web ServerA配置静态IP映射 对外宣告的合法IP 用真实地址定义的地址对象 神州数码网络

  12. 创建安全策略 • 创建安全策略,允许untrust用户访问Web ServerA的HTTP应用。 目的地址为转换前的合法IP。 神州数码网络

  13. 创建安全策略 • 创建安全策略,允许trust用户访问Web ServerA的HTTP应用。 目的地址为转换前的合法IP。 神州数码网络

  14. The END 神州数码网络

More Related