Download presentation
Presentation is loading. Please wait.
1
DCN 多核防火墙快速配置之 目的 NAT 配置 www.dcnetworks.com.cn 神州数码网络 蒋忠平
2
案例描述 需求描述 使用外网口 IP 为内网 FTP Server 及 WEB ServerB 做端口映射,并允许外网用户访 问该 Server 的 FTP 和 WEB 服务,其中 Web 服务对外映射的端口为 TCP8000 。 允许内网用户通过域名访问 WEB ServerB( 即通过合法 IP 访问)。 使用合法 IP 218.240.143.220 为 Web ServerA 做 IP 映射,放允许内外网用户对该 Server 的 Web 访问。 www.dcnetworks.com.cn 神州数码网络 2 Eth0/0:192.168.1.91/24 Zone:trust Eth0/1:218.240.143.221/24 Zone:untrust FTP Server & Web ServerB IP:192.168.1.10/24 Internet Web ServerA IP:192.168.10.2/24 Eth0/2:192.168.10.1/24 Zone:DMZ
3
需求 1 配置步骤 使用外网口 IP 为内网 FTP Server 及 WEB ServerB 做端口映 射,并允许外网用户访问该 Server 的 FTP 和 WEB 服务,其 中 Web 服务对外映射的端口为 TCP8000 。 配置目的 NAT 创建安全策略放行外网用户的访问。 www.dcnetworks.com.cn 神州数码网络 3
4
配置准备工作 为后面定义 “ 目的 NAT” 及 “ 安全策略 ” 而事先定义好相关的地址对象 www.dcnetworks.com.cn 神州数码网络 4 使用 “IP 成员 ” 选 项定义 Trust 区 域的 server 地址
5
配置准备工作 定义服务对象 www.dcnetworks.com.cn 神州数码网络 5 我们要映射的端口为 目的端口,端口号只 有一个,所以只填写 最小值即可 因为此处定义的 TCP8000 端 口将来为 HTTP 应用,所以要 需要与应用类型管理,以便 让防火墙知道该端口为 HTTP 业务使用
6
配置目的 NAT 配置目的 NAT, 为 trust 区域 server 映射 FTP(TCP21) 和 HTTP(TCP80) 端口 www.dcnetworks.com.cn 神州数码网络 6 此地址即外网用户要访问的 合法 IP 。因为使用防火墙外 网口 IP 映射,所以此处引用 防火墙中缺省定义的地址对 象 ipv4.ethernet0/1 。该对象 表示 Eth0/1 接口 IP 代表内网服务器的实际地 址对象 webB Server 对外宣布 web 服务端口为 TCP8000 webB Server 真实的 web 服 务端口为 TCP80
7
创建安全策略 创建安全策略,允许 untrust 区域用户访问 trust 区域 server 的 FTP 和 web 应用 www.dcnetworks.com.cn 神州数码网络 7 目的地址要定义为 server 映射前的合法 IP 。所以 这里要选择代表外网口 IP 的地址对象 从左边的可用 成员中选中相 应的服务对象 推入右侧组成 员中
8
目标 2 配置步骤 允许内网用户通过域名访问 WEB ServerB( 即通过合法 IP 访问) 实现这一步所需要做的就是在之前的配置基础上,增加 Trust -> Trust 的安全策略 www.dcnetworks.com.cn 神州数码网络 8 目的地址为 转换前的合 法 IP 。
9
目标 3 配置步骤 使用合法 IP 218.240.143.220 为 Web ServerA 做 IP 映射,放允许内外 网用户对该 Server 的 Web 访问。 使用 IP 映射配置目的 NAT 创建安全策略,允许 untrust 用户对 Web ServerA 的 web 访问 www.dcnetworks.com.cn 神州数码网络 9
10
准备工作 定义地址对象 www.dcnetworks.com.cn 神州数码网络 10 使用 “IP 成员 ” 选 项定义 DMZ 区 域的 server 地址 使用 “IP 成员 ” 选 项定义要映射 的合法 IP
11
配置目的 NAT 为 DMZ 区域的 Web ServerA 配置静态 IP 映射 www.dcnetworks.com.cn 神州数码网络 11 对外宣告的合法 IP 用真实地址定义的 地址对象
12
创建安全策略 创建安全策略,允许 untrust 用户访问 Web ServerA 的 HTTP 应用。 www.dcnetworks.com.cn 神州数码网络 12 目的地址为 转换前的合 法 IP 。
13
创建安全策略 创建安全策略,允许 trust 用户访问 Web ServerA 的 HTTP 应用。 www.dcnetworks.com.cn 神州数码网络 13 目的地址为 转换前的合 法 IP 。
14
The END www.dcnetworks.com.cn 神州数码网络
Similar presentations
![首 页 首 页 上一页 下一页 本讲内容 投影法概述三视图形成及其投影规律平面立体三视图、尺寸标注 本讲内容 复习: P25~P31 、 P84~P85 作业: P7, P8, P14[2-32(2) A3 (1:1)]](/12/3353742/big_thumb.jpg "首 页 首 页 上一页 下一页 本讲内容 投影法概述三视图形成及其投影规律平面立体三视图、尺寸标注 本讲内容 复习: P25~P31 、 P84~P85 作业: P7, P8, P14[2-32(2) A3 (1:1)]>")
