dcn 多核防火墙快速配置之

DCN 多核防火墙快速配置之目的 NAT配置

www.dcnetworks.com.cn

神州数码网络

蒋忠平

案例描述

需求描述使用外网口 IP为内网 FTP Server及WEB ServerB做端口映射，并允许外网用户访问该 Server的 FTP和WEB服务，其中Web服务对外映射的端口为TCP8000。

允许内网用户通过域名访问WEB ServerB(即通过合法 IP访问）。使用合法 IP 218.240.143.220为Web ServerA做 IP映射，放允许内外网用户对该 Server的Web访问。


神州数码网络 2

Eth0/0:192.168.1.91/24Zone:trust

Eth0/1:218.240.143.221/24Zone:untrust

FTP Server & Web ServerB

IP:192.168.1.10/24

Internet

Web ServerAIP:192.168.10.2/24

Eth0/2:192.168.10.1/24Zone:DMZ


需求 1 配置步骤使用外网口 IP为内网 FTP Server及WEB ServerB做端口映射，并允许外网用户访问该 Server的 FTP和WEB

服务，其中Web服务对外映射的端口为 TCP8000。配置目的 NAT

创建安全策略放行外网用户的访问。



配置准备工作为后面定义“目的 NAT”及“安全策略”而事先定义好相关的地址对象


使用“ IP成员”选项定义Trust区域的server地址


配置准备工作定义服务对象


我们要映射的端口为目的端口，端口号只有一个，所以只填写最小值即可

因为此处定义的 TCP8000端口将来为 HTTP应用，所以要需要与应用类型管理，以便让防火墙知道该端口为HTTP业务使用


配置目的 NAT 配置目的 NAT,为 trust区域 server映射 FTP(TCP21)和 HTTP(TCP80)端口


此地址即外网用户要访问的合法 IP。因为使用防火墙外网口 IP映射，所以此处引用防火墙中缺省定义的地址对象 ipv4.ethernet0/1。该对象表示 Eth0/1接口 IP 代表内网服务器的实际地址对象

webB Server对外宣布web服务端口为 TCP8000

webB Server真实的 web服务端口为 TCP80


创建安全策略创建安全策略，允许 untrust区域用户访问 trust区域 server的 FTP和 web应用


目的地址要定义为server映射前的合法IP。所以这里要选择代表外网口 IP的地址对象

从左边的可用成员中选中相应的服务对象推入右侧组成员中


目标 2 配置步骤允许内网用户通过域名访问WEB ServerB(即通过合法 IP访问）

实现这一步所需要做的就是在之前的配置基础上，增加 Trust -> Trust的安全策略


目的地址为转换前的合法 IP。


目标 3 配置步骤使用合法 IP 218.240.143.220为Web ServerA做 IP映射，放允许内外网用户对该 Server的Web访问。

使用 IP映射配置目的 NAT

创建安全策略，允许 untrust用户对Web ServerA的 web访问



准备工作定义地址对象


使用“ IP成员”选项定义DMZ区域的server地址

使用“ IP成员”选项定义要映射的合法IP


配置目的 NAT为 DMZ区域的Web ServerA配置静态 IP映射


对外宣告的合法 IP

用真实地址定义的地址对象


创建安全策略创建安全策略，允许 untrust用户访问Web ServerA的 HTTP应用。




创建安全策略创建安全策略，允许 trust用户访问Web ServerA的 HTTP应用。



The END


神州数码网络

dcn 多核防火墙快速配置之

Documents