《防火墙技术项目化教程》课件_DNAT模式.ppt

信息安全与管理专业教学资源库防火墙技术信息安全与管理专业教学资源库防火墙技术配置需求案例及分析某企业内部局域网IP为/24，内有2台服务器，一台服务器用作IPServer及WebServerB的功能，另一台服务器WebServerA直接与防火墙连接，外网为/24，要求：1、使用外网口IP为内网IPServer及WebServerB做端口映射，并允许外网用户访问该Server的IP和Web服务，其中Web服务对外映射的端口为TCP8000。2、允许内网用户通过域名访问WebServerB(即通过合法IP访问）。3、使用合法IP20为WebServerA做IP映射，允许内外网用户对该Server的Web访问。配置步骤——配置准备工作1）设置地址簿，在对象选项卡中选择地址簿选项进行服务器地址设置?2）设置服务簿，防火墙出厂自带一些预定义服务，但是如果我们需要的服务不包含在预定义中，则需要在对象/服务簿中进行手工定义。由于此任务中TCP服务从8000端口进行访问，不是默认服务，因此需要手工定义服务配置步骤1）映射FTP端口为内网的trust安全域中的IPWebServerB服务器设置IP访问，由于IP访问服务没有端口限制，此处选择默认IP服务端口21。由于对内网中的服务器做服务，因此目的地址为外网出接口地址，此处选择IPv4.ethernet0/2。???????配置步骤——创建目的NAT2)映射TCP端口8000。同上面的IP服务操作类似，虚拟路由器仍为内网的虚拟路由器，目的地址选择出接口，服务选择自定义的tcp_8000，映射到的地址选择目标服务器B。这里注意映射到的端口应为实际的TCP访问端口80配置步骤——创建目的NAT配置步骤——放行安全策略1）制定高级策略由于DNAT策略是外网对内网的访问，因此源安全域为外网untrust，目的安全域为内网trust，目的地址为内网接口：ethernet0/1。在策略制定中可以将多个服务一起绑定到策略上，所以需要在服务簿中选择多个，对于行为操作，允许访问则选择允许选项。配置步骤——添加安全策略2）放行制定的FTP、TCP服务打开服务配置选项，可以同时将前面制定的服务和系统自带的服务同时添加进来*案例要求2：允许内网用户通过域名访问WebServerB（即通过合法IP访问）。实现这一步所需要做的就是在之前的配置基础上，添加trust到trust的安全策略，允许内网用户对内网的服务器进行访问。（三）案例要求3：使用合法IP20为WebServerA做IP映射，允许内外网用户对该Server的Web访问。第一步：配置准备工作1）为方便服务器的管理使用，可以将服务器的实际地址使用web_serverA来表示。通过新建地址簿的方式来创建。*2）为方便公网地址的使用，同样将服务器的公网地址使用IP_20来表示。通过新建地址簿方式来实现*第二步：创建静态NATIP映射引用前面新建的地址簿中的内容，在目的NAT中进行IP映射配置*第三步：放行安全策略1）放行untrust区域到dmz区域的安全策略，使外网用户可以访问dmz区域服务器。外网到服务器的访问策略*2）放行trust区域到dmz区域的安全策略，使内网用户可以通过公网IP地址访问dmz区域内的服务器。内网到服务器的访问策略*信息安全与管理专业教学资源库防火墙技术信息安全与管理专业教学资源库防火墙技术