收藏
下载资源

防火墙地址转换--教案

上传人:kms****20 文档编号:37364735 上传时间:2018-04-15 格式:DOC 页数:14 大小:508.50KB
返回 下载 相关 举报
防火墙地址转换--教案_第1页
第1页 / 共14页
防火墙地址转换--教案_第2页
第2页 / 共14页
防火墙地址转换--教案_第3页
第3页 / 共14页
防火墙地址转换--教案_第4页
第4页 / 共14页
防火墙地址转换--教案_第5页
第5页 / 共14页
点击查看更多>>
资源描述

《防火墙地址转换--教案》由会员分享,可在线阅读,更多相关《防火墙地址转换--教案(14页珍藏版)》请在金锄头文库上搜索。

1、第 1 页 共 15 页地址转换在一般情况下,企业拥有的公有合法IP 地址十分有限。所以,在企业内网中,一般使用私有IP 地 址。为了解决通过私有IP 地址访问公网(Internet)的问题,和隐藏内部网络拓扑及真实IP 的需要,地 址转换技术(Network Address Translation, NAT)经常会被应用到位于网络出口的路由设备,如防火墙 上。基于地址对象的源地址转换网络卫士防火墙的防火墙模块的源地址转换策略支持基于地址资源的源地址转换,可转换的地址资源包 括单个主机、主机地址范围和子网,对源地址可以进行的转换方式有:将源地址固定映射为某一合法IP 地址和将源地址动态映射某一

2、网段或某一地址范围的地址。基本需求网络卫士防火墙的接口Eth0 连接企业内网,内网为192.168.100.0/24,Eth0 的IP 地址为 192.168.100.1;Eth1 连接外网,Eth1 的IP 地址为202.10.10.1。企业可用的公网IP地址范围为 202.10.10.1-202.10.10.10,网络拓扑结构的示意图如下所示。图 20 基于地址资源的源地址转换示意图配置要点 定义内网地址资源,可定义的地址资源包括主机地址资源、范围地址资源、子网地址资源、区域和 VLAN。 定义要转换的公网地址资源。 定义源地址转换策略。WebUI 配置步骤1)选择 资源管理 区域,点击“

3、添加”,定义区域资源。 设置内网区域area_eth0 与属性eth0 绑定且禁止访问。外网区域area_eth1 与属性eth1 绑定且允许访问。第 2 页 共 15 页2)定义内部地址资源,选择 资源管理 地址,并选择相应页签,点击“添加”可以定义主机地址资 源、地址范围资源和子网地址资源。 a)定义NAT 主机资源:选择“子网”页签,点击“添加”。 b)定义NAT 地址池:选择“范围”页签,点击“添加”。3)定义NAT 地址转换策略。选择 防火墙 地址转换,点击右上角“添加”,进 入NAT 规则配置界面,如下图所示,选择“源转换”选项设定源地址转换策略。a) 点击“源”页签,添加NAT

4、规则的源,内部地址资源:子网100.X。如下图所示。第 3 页 共 15 页b)点击“目的”页签添加NAT 规则的目的,外网区域:area_eth1。第 4 页 共 15 页c)设置源地址转换为地址池中地址的转换规则,设置为范围地址资源nat-pool。也可以设置转换为固定 地址对象的转换规则。配置完成。 需要注意的是,系统默认情况下,在源地址转换同时也会转换源端口。只有在上图中选择“源端口不作 转换”时,数据包在经过防火墙时不改变源端口。CLI 配置步骤1)定义区域资源 #define area add name area_eth1 access on attribute eth1 #def

5、ine area add name area_eth0 access off attribute eth0 2)定义内网地址资源#define subnet add name 子网100.x ipaddr 192.168.100.0 mask 255.255.255.0 3)定义NAT 地址池资源 #define range add name nat-pool ip1 202.10.10.1 ip2 202.10.10.10 4)定义NAT 地址转换规则 在地址池中动态选择转换后的IP#nat policy add srcarea area_eth0 orig_src 子网100.x dsta

6、rea area-eth1 trans_src nat-pool enable yes注意事项系统默认情况下,在源地址转换同时也会转换源端口。基于属性的源地址转换基本需求当使用网络卫士防火墙的某一接口拨号接入ADSL,或者将某一接口作为DHCP 客户端时,此时,接口 连接外网并且由ISP 或DHCP 服务器动态分配IP 地址,即接口IP 地址不固定。当内网用户需要通过此 接口访问外网时,可以对接口进行属性绑定,在定义地址转换规则时将转换后地址设定为这些属性的名 称。地址转换时系统会自动将内网地址转换为属性所绑定的接口的当前地址。图 21 基于属性的源地址转换示意图第 5 页 共 15 页本例中

7、网络卫士防火墙的Eth1 连接外网,为DHCP 客户端,需要DHCP 服务器动态分配IP 地址。 Eth0 的IP 地址为192.168.100.1,连接内网192.168.100.0/24。内网用户通过Eth1 访问外网。配置要点 定义区域资源。 定义属性资源。 为接口绑定属性。 定义基于属性的源地址转换策略。WebUI 配置步骤1)定义区域资源area_eth0、area_eth1。选择 资源管理 区域,点击“添加”。设置完成后界面如下图2)定义属性资源,选择 资源管理 属性,点击“添加新属性”。3)通过CLI 界面为接口eth1 绑定属性 #network interface eth1

8、attribute add DHCP 4)定义源地址转换策略,选择 防火墙 地址转换,点击“添加”,进入NAT 规则配置界面,如下图 所示,选择“源转换”选项设定源地址转换策略。a)点击“源”页签,选择源区域:area_eth0。第 6 页 共 15 页b)点击“目的”页签添加NAT 规则的目的区域:area_eth1。c)设置转换地址,源地址转换为:DHCP属性。配置完成。第 7 页 共 15 页以上配置完成后,用户还需要在eth1 口启动DHCP 客户端的功能,具体操作请参见防火墙作为DHCP 客户端的相关案例。CLI 配置步骤1)定义区域资源 #define area add name

9、area_eth0 access on attribute eth0 #define area add name area_eth1 access on attribute eth1 2)定义属性资源。 #network attribute add name DHCP 3)为接口绑定属性 #network interface eth1 attribute add DHCP 4)定义源地址转换策略 #nat policy add srcarea area_eth0 dstarea area_eth1 trans_src DHCP enable yes注意事项1)网络卫士防火墙的内网用户当通过AD

10、SL 访问外网时,必须手工配置源地址转换策略。 2)未做接口绑定的属性资源不能作为地址转换规则的转换后地址。 3)Eth1 作为DHCP 客户端的配置方法请参见配置案例“DHCP 客户端”。基于IP 地址的目的地址转换基本需求由于来自INTERNET 的对政府、企业的网络攻击日益频繁,因此需要对内网中向外网提供访问服务的 关键设备进行有效保护。采用目的地址NAT 可以有效地将内部网络地址对外隐藏。图 22 基于IP 地址的目的地址转换示意图 图中:公网Internet 用户需要通过防火墙访问WEB 服务器,为了隐藏服务器在内网 中的真实地址172.16.1.2,使用公网地址202.99.27.

11、201 作为用户的访问地址。配置要点 定义区域资源:area_eth1。 定义WEB 服务器真实地址对应地址资源。 定义WEB 服务器的公网虚拟IP 地址资源。 定义地址转换策略。WebUI 配置步骤1)选择 资源管理 区域,点击“添加”,定义区域资源。 设置内网区域area_eth0 与属性eth0 绑定且禁止访问。外网区域area_eth1 与属性eth1 绑定且允许访问第 8 页 共 15 页2) 定义WEB 服务器的内网真实地址资源。 选择 资源管理 地址,选择“主机”页签,点击“添加”,系统出现添加主机资 源的页面,如下图所示。3)定义WEB 服务器的公网IP 地址资源 选择 资源管

12、理 地址,选择“主机”页签,点击“添加”,系统出现添加主机资 源的页面,如下图所示。4)定义目的地址转换策略 在导航菜单选择 防火墙 地址转换,进入地址转换规则列表界面,点击“添加”进入NAT 规则配置 界面,如下图所示,选择“目的转换”选项设定目的地址转换策略。a)选择“源”页签,打开“高级”属性设置按钮,添加NAT 规则的源,在“选择源AREA”中选择源 区域为area_eth1。第 9 页 共 15 页b)选择“目的”页签添加NAT 规则的目的,WEB 服务器的公网IP 地址资源:MAP_IP。c)选择“服务”页签,选择服务HTTP(TCP:80)。d)设置目的地址转换规则。定义目的地址

13、转换为固定地址的转换规则:设置转换后 的地址为WEB_server 如下图所示。第 10 页 共 15 页“启用规则”处选择启用,此为默认选项。 “目的地址转换为”中选择WEB_server。 “目的端口转换为”由于内网WEB 服务器用标准的80 端口向外网提供WEB 服务,因此选择“不作转 换” 设置完成后,点击“确定”按钮,完成目的NAT 规则设置。CLI 配置步骤1)设置区域area_eth1,定义缺省属性为允许访问: #define area add name area_eth1 access on attribute eth1 设置区域area_eth0,定义缺省属性为禁止访问: #

14、define area add name area_eth0 access off attribute eth0 2)定义WEB 服务器真实地址资源: #define host add name WEB_server ipaddr 172.16.1.2 3)定义WEB 服务器公网地址资源 #define host add name MAP_IP ipaddr 202.99.27.201 4)设置地址转换规则 #nat policy add srcarea area_eth1 orig_dst MAP_IP orig_service http trans_dst WEB_server注意事项1)

15、定义地址转换策略在“目的” 处,不能指定目的区域或目的VLAN。 2)如果WEB 服务器提供WEB 服务使用的不是标准的80 端口,而是自定义的端口 号,则定义地址转换策略时,在“目的端口转换为”处应填写服务器的真实应用端口。具 体配置方法请参见“基于端口的目的NAT 转换”配置案例。基于端口的目的地址转换基本需求采用目的地址NAT 可以有效地将内部网络地址对外隐藏,但有些时候服务器开放的 应用端口与用户访问时使用的端口(一般为默认端口)可能不同,需要进行端口的地址转 换。图 23 基于端口的目的地址转换示意图 如上图,公网Internet 用户通过公网地址202.99.27.199:80 访

16、问WEB 服务器,WEB服务器真实地址为: 172.16.1.2,提供HTTP 服务的端口为8080。第 11 页 共 15 页配置要点需要配置如下选项: 定义区域资源。 定义WEB 服务器真实地址。 定义WEB 服务器访问地址。 定义WEB 服务器真实端口。 定义地址转换策略。WebUI 配置步骤1)定义区域资源 选择 资源管理 区域,点击“添加”,分别设置接口Eth0 对应的区域为E0,区域权限为“禁止”;接口Eth1 对应的区域为E1,设置区域的访问权限为“允许”。2)定义WEB 服务器真实地址 选择 资源管理 地址,并选择“主机”页签,点击“添加”,系统出现添加主机 地址资源的页面,如下图所示。3)定义WEB 服务器公网访问地址 选择 资源管理 地址,并选择“主机”页签,点击“添加”,系统出现添加主机 地址资源的页面,如下图所示。第 12 页 共 15 页4)定义服务端口 由于WEB 服务器提供服务的端口是:8080,不是默认端口,在设置NAT 转换规则时需要

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 生活休闲 > 科普知识

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号