Day1-7-目的NAT配置指导(FW)选编.docxVIP

序号配置功能配置目的1组网配置配置物理接口的参数信息，用于设备管理及业务转发2安全域将设备接口（物理/逻辑）加入到指定安全域，根据域优先级进 行安全隔离，实现数据访问控制3静态路由数据报文根据手工配置的目的网段信息，进行路由转发4地址池将可用的公网地址添加到地址池中，在源?NAT?策略引用后，内 应用防火墙典型配置案例 公开 1.1.1?目的?NAT?配置指导 ?功能简介 出于安全考虑，大部分私网主机通常并不希望被公网用户访问。但在某些实际应 用中，需要给公网用户提供一个访问私网服务器的机会。而在源?NAT?方式下，由于 由公网用户发起的访问无法动态建立?NAT?表项，因此公网用户无法访问私网主机。 目的?NAT（映射内部服务器）方式就可以解决这个问题——通过目的?NAT?配置“公 网?IP?地址＋端口号”与“私网?IP?地址＋端口号”间的映射关系，NAT?设备可以将公 网地址“反向”转换成私网地址。 ?网络拓扑 某互联网主机，通过?Internet?网络访问某企业内网的一台对外提供服务的服务器 （Web?Server），通过部署在企业网出口的一台防火墙做目的?NAT?转换，防火墙出接 口?IP（地址）+Port（端口）映射企业内网的服务器。  ② Src:5:XXXX Dst::8080 ① Src:5:XXXX Dst::8888  Internet Gige0_2 /24 Gige0_3 /24 /24 GW: 5/24 GW:  ③ Src::8080 Dst:5:XXXX ④ Src::8888 Dst:5:XXXX    ?配置概览 第?1?页 网主机可将源?IP?地址转换为地址池?IP?访问互联网5目的?NAT互联网主机访问内网服务器，设备将数据报文的目的?IP?地址转 换为内网服务器地址 6 包过滤策略通过配置安全域、地址对象/组、服务对象/组、生效时间等参 数，对指定数据报文进行“通过”、“丢包”及“高级安全业 务”的处理 7 会话日志通过记录?NAT?日志，可查询?NAT?前、后的地址及端口信息， 便于溯源查询；通过记录会话日志，可查询防火墙设备所建立 的会话信息，便于问题排查及数据分析   应用防火墙典型配置案例?????????????????????????????????????????????????????????????????????????? 公开 ?详细配置 (1)?访问：基本??网络管理??接口管理??组网配置，配置接口参数  (2)?访问：基本??网络管理??网络对象??安全域，配置安全域  (3)?访问：基本??网络管理??单播?IPv4?路由??静态路由（配置静态路由），配置 静态路由  第?2?页  应用防火墙典型配置案例 公开  (4)?访问：基本??防火墙??NAT（地址池），配置?NAT?地址池  (5)?访问：基本??防火墙??NAT（目的?NAT），配置目的?NAT  ??说明：目的?NAT?可对公网?IP?及服务（端口）、内网?IP?地址及服务（端口）进行精细化 配置，若无特殊需求，使用默认配置即可；当高级配置参数为“缺省配置”，即与公网?IP?的 服务端口一致。 ??注意：如果防火墙部署在?VRRP?环境下，须开启“关联?VRRP”，以确保备防火墙设备的 目的?NAT?功能为禁用状态，且其地址池中的地址不发送?ARP?报文。 (6)?访问：基本??防火墙?包过滤策略（配置包过滤策略），配置包过滤策略。  ??说明：报文匹配包过滤策略的顺序是从上往下依次匹配，可添加?Untrust?至?Trust?全部放 行策略，也可根据地址、服务、生效时间等选项进行精细化控制。 ??注意：如果在包过滤策略中对目的地址进行精细化控制，此地址应为服务器私网?IP。 第?3?页  应用防火墙典型配置案例 公开 (7)?访问：基本??防火墙??会话管理（会话日志配置），配置?NAT/会话日志  ??说明： 1、Syslog?日志类型适用于?Syslog?服务器，流日志类型（报文内容加密）适用于?UMC?服务器， 以上配置基于?UMC?统一管理中心； 2、负载分担方式是根据权重设置分担比例，将包过滤日志发送到多台日志服务器，全部发 送方式是将所有包过滤日志发送到指定服务器； 3、日志源?IP?为设备本地接口地址（物理/逻辑），且可达日志服务器；日志源端口为大于?1024 且不与设备本地端口冲突。 ?功能验证 外网?Host?主机（5）可访问公司内网?Server?服务器（），并在防 火墙会话列表中查询到目的?NAT?转换过程（Web?Ser