天融信防火墙配置
地址轉換
在一般情況下,企業擁有的公有合法IP地址十分有限。所以,在企業內網中,一般使用私有IP地址。為了解決通過私有IP地址訪問公網(Internet)的問題,和隱藏內部網絡拓撲及真實IP的需要,地址轉換技術(Network AddressTranslation, NAT)經常會被應用到位于網絡出口的路由設備,如防火墻上。
基于地址對象的源地址轉換
網絡衛士防火墻的防火墻模塊的源地址轉換策略支持基于地址資源的源地址轉換,可轉換的地址資源包括單個主機、主機地址范圍和子網,對源地址可以進行的轉換方式有:將源地址固定映射為某一合法IP地址和將源地址動態映射某一網段或某一地址范圍的地址。
基本需求
網絡衛士防火墻的接口Eth0連接企業內網,內網為192.168.100.0/24,Eth0的IP地址為192.168.100.1;Eth1連接外網,Eth1的IP地址為202.10.10.1。企業可用的公網IP地址范圍為202.10.10.1-202.10.10.10,網絡拓撲結構的示意圖如下所示。
圖 1 基于地址資源的源地址轉換示意圖
配置要點
? 定義內網地址資源,可定義的地址資源包括主機地址資源、范圍地址資源、子網地址資源、區域和VLAN。
? 定義要轉換的公網地址資源。
? 定義源地址轉換策略。
WebUI配置步驟
1)選擇資源管理>區域,點擊“添加”,定義區域資源。
設置內網區域area_eth0與屬性eth0綁定且禁止訪問。?
外網區域area_eth1與屬性eth1綁定且允許訪問。
2)定義內部地址資源,選擇資源管理>地址,并選擇相應頁簽,點擊“添加”可以定義主機地址資源、地址范圍資源和子網地址資源。
a)定義NAT主機資源:選擇“子網”頁簽,點擊“添加”。
?
b)定義NAT地址池:選擇“范圍”頁簽,點擊“添加”。
?
3)定義NAT地址轉換策略。選擇防火墻>地址轉換,點擊右上角“添加”,進入NAT規則配置界面,如下圖所示,選擇“源轉換”選項設定源地址轉換策略。
?
a)點擊“源”頁簽,添加NAT規則的源,內部地址資源:子網100.X。如下圖所示。
?
b)點擊“目的”頁簽添加NAT規則的目的,外網區域:area_eth1。
?
c)設置源地址轉換為地址池中地址的轉換規則,設置為范圍地址資源nat-pool。也可以設置轉換為固定地址對象的轉換規則。
?
配置完成。
需要注意的是,系統默認情況下,在源地址轉換同時也會轉換源端口。只有在上圖中選擇“源端口不作轉換”時,數據包在經過防火墻時不改變源端口。
CLI配置步驟
1)定義區域資源
#defineareaaddnamearea_eth1access onattributeeth1
#defineareaaddnamearea_eth0accessoffattributeeth0
2)定義內網地址資源
#define subnet addname子網100.x ipaddr192.168.100.0 mask255.255.255.0
3)定義NAT地址池資源
#define range add namenat-poolip1202.10.10.1ip2202.10.10.10
4)定義NAT地址轉換規則
在地址池中動態選擇轉換后的IP
#nat policy addsrcareaarea_eth0orig_src子網100.xdstareaarea-eth1trans_srcnat-poolenableyes
注意事項
系統默認情況下,在源地址轉換同時也會轉換源端口。
?
?
?
?
?
轉載于:https://blog.51cto.com/shaohappy/1742073
總結
- 上一篇: linux内核之时间子系统
- 下一篇: 医院HIS系统简介