搜索
防火墙策略配置实践-地址转换基本需求网络卫士防火墙的接口Eth0连接企业内网,内网为192.168.100.0/24,Eth0的IP地址为192.168.100.1;Eth1连接外网,Eth1的IP地址为202.10.10.1。企业可用的公网IP地址范围为202.10.10.1-202.10.10.10,网络拓扑结构的示意图如下所示。配置要点定义内网地址资源,可定义的地址资源包括主机地址资源、范围地址资源、子网地址资源、区域和VLAN。定义要转换的公网地址资源。定义源地址转换策略。防火墙策略配置实践-地址转换1.选择资源管理区域,点击“添加”,定义区域资源。设置内网区域area_eth0与属性eth0绑定且禁止访问。WebUI配置步骤外网区域area_eth1与属性eth1绑定且允许访问。防火墙策略配置实践-地址转换2.定义内部地址资源,选择资源管理地址,并选择相应页签,点击“添加”可以定义主机地址资源、地址范围资源和子网地址资源。•A)定义NAT主机资源:选择“子网”页签,点击“添加”。WebUI配置步骤防火墙策略配置实践-地址转换2.定义内部地址资源,选择资源管理地址,并选择相应页签,点击“添加”可以定义主机地址资源、地址范围资源和子网地址资源。•B)定义NAT地址池:选择“范围”页签,点击“添加。WebUI配置步骤防火墙策略配置实践-地址转换3.定义NAT地址转换策略。选择防火墙地址转换,点击右上角“添加”,进入NAT规则配置界面,如下图所示,选择“源转换”选项设定源地址转换策略。WebUI配置步骤防火墙策略配置实践-地址转换3.定义NAT地址转换策略。选择防火墙地址转换,点击右上角“添加”,进入NAT规则配置界面,如下图所示,选择“源转换”选项设定源地址转换策略。•A)点击“源”页签,添加NAT规则的源,内部地址资源:子网100.X。如下图所示WebUI配置步骤防火墙策略配置实践-地址转换3.定义NAT地址转换策略。选择防火墙地址转换,点击右上角“添加”,进入NAT规则配置界面,如下图所示,选择“源转换”选项设定源地址转换策略。•B)点击“目的”页签添加NAT规则的目的,外网区域:area_eth1。WebUI配置步骤防火墙策略配置实践-地址转换3.定义NAT地址转换策略。选择防火墙地址转换,点击右上角“添加”,进入NAT规则配置界面,如下图所示,选择“源转换”选项设定源地址转换策略。•C)设置源地址转换为地址池中地址的转换规则,设置为范围地址资源nat-pool。也可以设置转换为固定地址对象的转换规则。WebUI配置步骤防火墙策略配置实践-地址转换1)定义区域资源#defineareaaddnamearea_eth1accessonattributeeth1#defineareaaddnamearea_eth0accessoffattributeeth02)定义内网地址资源#definesubnetaddname子网100.xipaddr192.168.100.0mask255.255.255.03)定义NAT地址池资源#definerangeaddnamenat-poolip1202.10.10.1ip2202.10.10.104)定义NAT地址转换规则在地址池中动态选择转换后的IP#natpolicyaddsrcareaarea_eth0orig_src子网100.xdstareaarea-eth1trans_srcnat-poolenableyes。CLI配置步骤更多实践案例参考演示配置手册上机实践任务目标任务1:学习使用防火墙设备设计网络安全方案子任务A:需求分析子任务B:方案设计任务2:学习防火墙中实际部署中的配置子任务A:防火墙部署策略设计子任务B:防火墙配置学习目标掌握一般网络安全方案设计方法熟悉防火墙配置策略设计了解天融信防火墙实际操作本讲任务与学习目标