DCFW-1800GES路由模式(做nat)的配置步骤--张向东.docVIP

撰写人员 张向东 撰写时间 2004-7-19 产品名称 DCFW-1800G/E/S 产品版本 2.8及以上版本 简单描述 DCFW-1800G/E/S路由模式下做NAT的配置步骤及方法。 限制范围 无 DCFW-1800 G/E/S路由模式（做NAT）配置步骤 1800 E/S 路由模式的配置步骤（作NAT） （本部分内容适用于：DCFW-1800E 和DCFW-1800S系列防火墙） 在本章节我们来介绍一下1800E和1800S防火墙路由模式的配置方法以及步骤。 本部分内容涉及: 安全规则，地址转换，更改防火墙网络属性（IP以及网关）等功能的配置 网络结构： 要求：将防火墙内网接口地址更改为 将外网接口地址更改为：31 将DMZ口地址更改为： 防火墙的默认网关为： DMZ内的服务器（pc 2）地址为： 管理主机地址： 规则要求：要求内网网段 能够访问互联网，并且能够访问pc2 的web，ftp，ping服务，要求外网能够访问pc2 上的web，ftp服务。 将内网网段（）转换成防火墙外网口地址 将dmz区内的服务器（）转换成合法地址：1 按照上面的描述，我们需要更改防火墙的网络地址和在防火墙上添加相应的安全规则，并作动态地址转换和静态地址转换。 实验步骤： 说明： 防火墙的网络地址的默认配置：内网口 , 外网口 ,DMZ口 系统管理员的名称：admin 密码：admin. 一 根据需求更改防火墙IP地址，添加管理主机，然后进入web管理界面 进入超级终端，添加管理防火墙的IP地址： ( 超级终端的配置 ) 点击 确定 ，然后按数下回车，进入到1800E/S防火墙的超级终端配置界面： 1.2 根据网络环境更改防火墙的IP地址的配置 说明：if0 为防火墙的外网口；if1 为防火墙的内网口；if2 为防火墙的DMZ口  1.3 为了验证我们刚才的配置，可以在超级终端中运行如下的命令： 1.4完成上面的配置后，我们就可以在管理主机上（也就是IP地址为的那台机器上）通过WEB 的方式来管理防火墙了 首先将管理主机的pc机的IP地址更改为： 然后打开浏览器，进入到防火墙的web管理界面模式，如下图： 进入web管理页面后我们就可以在图形界面下对防火墙进行其他复杂的操作了。 二 添加包过滤规则 说明：进lan只对外网访问内网时起作用 出wan只对内网访问外网时起作用 进dmz: 内网访问dmz服务器，外网访问dmz服务器时起作用 出dmz：dmz内的机器访问外网或内网的机器时起作用 所以lan访问外网的规则要在出wan处设置 lan和外网访问dmz的规则要在进dmz处设置 外网访问lan的规则要在进lan处设置 dmz访问外网和访问内网的规则要在出dmz处设置 2.1.1 添加内网访问外网的tcp，udp，ping的服务（注意：此规则在出wan处添加） 2.1.2点击 新增 添加如下的规则 2.1.3然后按照上述的方法添加udp，ping的放行规则： 2.1.4添加ping的放行规则 2.2．1 添加内网访问dmz服务器的http，ftp的服务（注意：此规则在进dmz处添加） 2.2.2点击 新增 添加如下的规则 2.2.3 然后按照上述的方法添加ftp的放行规则： 为了让内网主机ping通dmz服务器我们可以按照上述的方法添加ping等其他服务。 2.3.1 添加外网访问dmz服务器的http，ftp等服务的安全规则（注意：此规则在进dmz处添加） 2.3.2 添加外网访问dmz服务器ftp服务的放行规则（注意：此规则在进dmz处添加） 2.4.1 添加dmz主机访问外网的规则（注意:此规则在出dmz处设置） 2.4.2 添加dmz主机访问外网tcp的规则 2.4.3 添加dmz主机访问外网的udp规则 2.5.1 添加dmz主机访问内网的tcp规则（注意：dmz访问内网的规则在出dmz处添加） 2.5.2 添加dmz主机访问内网的udp服务 为了保证dmz主机能ping通内网必须添加访问内网的ping规则 三 完成规则配置后一定要注意保存，并应用，否则规则不能生效！！！切记！ 然后在下图点击 应用  四 添加地址转换的规则 4.1 为了让内网用户能够访问外网我们还必须添加动态地址转换的规则（将内网网段转换成防火墙外网口地址） 4.1.2 添加将内网网段转换成外网口ip地址的动态地址转换规则 为了让外网和内网用户能通过合法地址访问DMZ中的服务器，必须作静态地址转换，将DMZ内的服务器的内部地址（）转换成外网合法地址（1） 添加方法如下： 五 完成规则配置后一定要注意保存，并应用，否则规则不能生效！！！切记！ 这样新