1、DCN多核防火墙快速配置之,目的NAT配置,,神州数码网络,案例描述,需求描述 使用外网口IP为内网FTP Server及WEB ServerB做端口映射,并允许外网用户访问该Server的FTP和WEB服务,其中Web服务对外映射的端口为TCP8000。 允许内网用户通过域名访问WEB ServerB(即通过合法IP访问)。 使用合法IP 218.240.143.220为Web ServerA做IP映射,放允许内外网用户对该Server的Web访问。,,神州数码网络,2,需求1配置步骤,使用外网口IP为内网FTP Server及WEB ServerB做端口映射,并允许外网用户访问该Serve
2、r的FTP和WEB服务,其中Web服务对外映射的端口为TCP8000。配置目的NAT 创建安全策略放行外网用户的访问。,,神州数码网络,3,配置准备工作,为后面定义“目的NAT”及“安全策略”而事先定义好相关的地址对象,,神州数码网络,4,使用“IP成员”选项定义Trust区域的server地址,配置准备工作,定义服务对象,,神州数码网络,5,我们要映射的端口为目的端口,端口号只有一个,所以只填写最小值即可,因为此处定义的TCP8000端口将来为HTTP应用,所以要需要与应用类型管理,以便让防火墙知道该端口为HTTP业务使用,配置目的NAT,配置目的NAT,为trust区域server映射FT
3、P(TCP21)和HTTP(TCP80)端口,,神州数码网络,6,此地址即外网用户要访问的合法IP。因为使用防火墙外网口IP映射,所以此处引用防火墙中缺省定义的地址对象ipv4.ethernet0/1。该对象表示Eth0/1接口IP,代表内网服务器的实际地址对象,webB Server对外宣布web服务端口为TCP8000,webB Server真实的web服务端口为TCP80,创建安全策略,创建安全策略,允许untrust区域用户访问trust区域server的FTP和web应用,,神州数码网络,7,目的地址要定义为server映射前的合法IP。所以这里要选择代表外网口IP的地址对象,从左边
4、的可用成员中选中相应的服务对象推入右侧组成员中,目标2配置步骤,允许内网用户通过域名访问WEB ServerB(即通过合法IP访问) 实现这一步所需要做的就是在之前的配置基础上,增加Trust - Trust的安全策略,,神州数码网络,8,目的地址为转换前的合法IP。,目标3配置步骤,使用合法IP 218.240.143.220为Web ServerA做IP映射,放允许内外网用户对该Server的Web访问。使用IP映射配置目的NAT 创建安全策略,允许untrust用户对Web ServerA的web访问,,神州数码网络,9,准备工作,定义地址对象,,神州数码网络,10,使用“IP成员”选项定义DMZ区域的server地址,使用“IP成员”选项定义要映射的合法IP,配置目的NAT,为DMZ区域的Web ServerA配置静态IP映射,,神州数码网络,11,对外宣告的合法IP,用真实地址定义的地址对象,创建安全策略,创建安全策略,允许untrust用户访问Web ServerA的HTTP应用。,,神州数码网络,12,目的地址为转换前的合法IP。,创建安全策略,创建安全策略,允许trust用户访问Web ServerA的HTTP应用。,,神州数码网络,13,目的地址为转换前的合法IP。,The END,,神州数码网络,
